网络安全的死敌：欺骗工程 (如今网络安全)

无论我们购买了多少安全技术，我们的面前依然横亘着一道巨大的安全障碍：人。

整理分享网络安全的死敌：欺骗工程 (如今网络安全)，希望有所帮助，仅作参考，欢迎阅读内容。

内容相关其他词:网络安全最终是,网络安全最终是,网络安全你知道吗?,网络安全最终是,网络安全的大厂,网络安全的死敌有哪些,网络安全的死敌有哪些,网络安全的死敌有哪些,内容如对您有帮助，希望把内容链接给更多的朋友！

　　作为研究分析师和咨询公司行业顾问的安全从业者，或经验丰富或技术纯熟，花费无数时间评估安全技术，帮助企业确定什么技术和产品能更好保护公司数据安全。然而，只需一名恶意或粗心大意的人员，便可抵消所有技术性控制措施的效果。理想很丰满，现实很骨感。*往往残酷到令人扼腕：人类作为我们最后一道防线的同时，也是我们最大的威胁。　　为使人类起到最后一道防线的作用，我们需首先处理好两个令人不安的*：所有人都是骗术*我们都很容易受骗　　我们每个人，从童年很小的时候起，就在经受各种欺骗训练。我们被教导：谎言让生活更容易，让社会环境更舒适。还记得家庭聚会前，爸爸妈妈告诉你，要表现得很享受这种氛围吗？就算被吓到瑟瑟发抖也不能躲开怪叔叔的熊抱？再讨厌芹菜也得给我愉快地吃下去？随着我们渐渐长大，说谎的技术越发炉火纯青——从学会巧妙地转移“这牛仔裤是不是让我屁屁看起来很大？”此类的问题，到娴熟应对另一半问自己喜不喜欢她的新发型，到完美回答老板咨询关于他/她新战略的“诚恳意见”。　　这些还仅仅是“善意谎言”类别里的；我们都还没触及牵涉隐瞒、藏匿、欺诈、误导、窃取、诱骗等等真正的弥天大谎。而且，善意和恶意谎言都认同的*有人在。如果我们坦诚面对自己，我们甚至会承认，我们每个人在一生之中总会被狠狠地骗上那么几次。　　如果非要给个我们为什么那么容易受骗上当的主要原因，那必须得是我们的大脑就是那么容易被骗。人类大脑的工作就是过滤并呈现现实。大脑接受大量输入，然后确定哪些是重要的，这些输入的影响是什么，需要什么响应。而且，我们的大脑会走捷径，非常高效地搞定这些判断。千百年来，魔术师、小偷、骗术*、欺诈师等，学会了怎样*这些心理捷径，将之用于争取己方有利地位。　　*纵人类大脑的方式，可以用魔术、妙手空空术和*术方便快捷地加以展示。不过，即便不能利用上述方式从视觉上直观演示，一些高层次理论和基本原则也是可以通过文字加以叙述的。　　原则1：误导和注意力　　人类大脑惯于不断扫描并确定哪些东西需要“锁定”。脑科学家将之称为“注意力焦点”。魔术师和小偷，是利用我们注意力焦点漏洞的*。他们会把你的注意力引向某个物体或地方，然后在注意力焦点边缘部分或完全在焦点之外，进行他们的“脏活儿”。他们通常会用显眼的大动作，来掩护暗处的小动作。　　我们总觉得自己才是自身注意力的主人，但我们的注意力其实很容易被*。不幸的是，不仅仅是魔术师知道并利用这一点，罪犯和骗术*也精通此道。今日，世界仍在努力恢复NotPetya造成的伤害。该恶意软件最初被广泛认为是其表面上呈现出的那样——勒索软件。然而，其本质远比表面现象恶劣。这是一款伪装成勒索软件的数据清除器，极有可能是国家支持的网络攻击。　　网络安全世界中，另一个误导的例子，是攻击者对金融服务公司发起DDoS攻击，以转移对账户窃取攻击的注意力。终端用户和银行的目光被DDoS攻击的显著效果吸引，账户窃取和欺诈交易活动就暂时被混淆，不引人注意。　　原则2：影响和关系　　大脑思维*活动中起效的另一个基本原理，是影响和关系。*师、魔术师、扒手，还有罪犯和骗子，全都是撬动影响杠杆和建立信任关系的能手。街头和舞台魔术师、*师、扒手，都会努力确保他们的参与者快速建立起一定的信任。这能使他们方便*纵目标对象站哪儿、做什么、看哪里等等。　　罗伯特·恰尔蒂尼，亚利桑那州立大学心理学及营销学的名誉教授，撰写了《影响力：说服术的心理学分析》一书。该书被认为是影响力起效机制的权威书籍。恰尔蒂尼的影响力理论，基于6条关键原则：互惠、承诺及一致性、社会认同、权威、喜好、稀缺性。他最近还加上了第7条原则：统一性原则。该原则是关于共享认同的；也就是营销*赛斯·高汀所说的“部落”。我们越认同他人，越容易被他人影响。　　恰尔蒂尼的书值得一看，还有很多在他研究基础之上的衍生作品。然而，全世界的骗子和网络钓鱼者，在下饵时也会利用很多此类技巧。影响力战术还是可以叠加的的，老练的网络钓鱼者会在一封邮件中采用多种影响力战术，让诱饵更加可口。例如，如果网络钓鱼者在一封钓鱼邮件中运用了稀缺性/紧迫性、权威、社会认同和互惠多种战术，就会比不用此类战术或只用一种战术的邮件拥有更多火力。　　原则3：框架和情境　　框架对演员、政客和营销人员特别重要，对社会工程师和骗术*而言，同样十分关键。框架的概念，源自社会科学，基本上就是情境、世界观，或者某人看待现实（或某特定场景）的方式。框架也可以是社会工程师或攻击者用以大隐隐于市的途径（服装、角色演绎、随机应变）。　　在演示中运用的框架例子，通常是根据想拟的框架能以多种方式呈现特定效果的场景。举个例子，如果握有内装参与者选项的密封信封，那么既可以预测的方式揭晓（如果想扮演巫师的角色），也可以展现如何影响参与者选择某样东西的能力（扮演精神导师或**的角色）。　　简单讲，框架赋予我们翻译或理解眼前信息或身处情况的上下文环境。事实上，有很多*、宗教和营销组织在专门搞清人们的各种框架，理解怎样*作或扩展这些框架，以便人们对新的或不一样性/难理解的想法持*态度。框架是非常强大的力量，且它们通常不是基于事实的。当框架和事实相互冲突，事实会被推到一边，而框架被人们紧紧拥抱。FrameWorks总裁苏珊·贝尔斯的名言：“当事实不符合框架，事实被拒绝，而不是框架。”　　鉴于所有事都在框架内运作，骗子、网络钓鱼者和其他令人讨厌的家伙，就会学习怎样按框架*作。他们会冒充备受尊敬的权威人士——比如在商业电邮*(BEC)攻击中。框架也会出现在语言运用、攻击媒介选择等等方面。想要深入解析社会工程中的框架，可以看看Social-Engineer.org上《社会工程框架》中“影响他人”一节里的“框架”条目。　　结论　　理解我们的大脑会被怎样愚弄来针对我们自身，是学习对抗老练攻击者的关键第一步。　　我们需要让自己慢下来，三思而后行。这么做，可以让我们摆脱以条件反射/自动的方式行事的情形，让我们得以更逻辑性地处理事务。然后，我们就可以对人们的话语、收到的邮件、所处的情况背后隐藏的行动和潜在动机，反复深入分析，确定是不是有人正试图*我们的大脑。