[CISSP] [3] 人员安全与社会工程

发布于:2025-03-16 ⋅ 阅读:(13) ⋅ 点赞:(0)

#AUP # NDA # UBA # UEBA # 风险管理 # 社会工程 # 钓鱼邮件前置词 # Spear Phishing # Whaling Phishing # Smishing # Vishing # Shoulder Surfing # 发票诈骗 # Tailgating # Piggybacking # Dumpster Diving

AUP

AUP的关键内容

AUP 主要包括以下方面:

  1. 目的和范围

    • 说明AUP的适用范围,包括哪些用户、系统和数据受此策略约束。
  2. 可接受的使用

    • 规定允许的活动,如:
      • 合法业务用途
      • 访问组织批准的网站和服务
      • 合规的数据处理和存储
  3. 禁止的行为

    • 列出不允许的行为,例如:
      • 访问恶意或非法网站
      • 未经授权的数据访问或修改
      • 使用公司资源进行个人商业活动
      • 传播恶意软件或垃圾邮件
  4. 安全要求

    • 规定用户必须遵守的安全措施:
      • 使用强密码并定期更换
      • 避免共享账号或凭据
      • 遵循数据分类和加密要求
  5. 监控和隐私

    • 声明组织是否会监控用户的活动(如日志记录、流量分析)。
    • 说明用户对隐私的期望(通常组织有权审查工作设备上的数据)。
  6. 违规处理

    • 说明违反AUP的后果,如:
      • 口头警告、书面警告
      • 账户冻结、权限撤销
      • 纪律处分,甚至法律责任

AUP的作用

  • 保护组织安全:防止数据泄露、恶意软件传播等安全风险。
  • 确保合规性:符合法律法规(如GDPR、HIPAA)和行业标准。
  • 提供法律依据:在发生安全事件时,为调查和处罚提供依据。

AUP 通常由安全团队IT管理部门制定,并要求所有员工、承包商和第三方签署同意遵守。它是信息安全治理的重要组成部分,在CISSP中属于安全政策管理(Security Policy Management)的一部分。

NDA

NDA(Non-Disclosure Agreement),即保密协议,是一种法律合同,规定一方或多方在特定情况下不得泄露机密信息。它通常用于保护敏感信息,防止未经授权的披露或滥用。

NDA 的核心内容

  1. 当事人

    • 明确协议适用于哪些个人或组织(披露方和接受方)。
  2. 保密信息的定义

    • 说明哪些信息属于机密,例如:
      • 业务计划、财务数据
      • 客户名单、市场策略
      • 研发项目、专有技术
      • 代码、加密算法、安全策略
  3. 保密义务

    • 规定接受方如何保护信息,例如:
      • 不能私自分享或复制机密信息
      • 只能在授权范围内使用
      • 需要采取合理的安全措施(如加密、访问控制)
  4. 例外情况

    • 某些情况下信息可被披露,例如:
      • 法律要求(如法院传票)
      • 信息已公开或非保密信息
  5. 协议期限

    • 说明 NDA 的有效期,例如:
      • 一般为 2-5 年
      • 可能包括“持续有效”条款,即使合作结束仍需保密
  6. 违约责任

    • 规定违反 NDA 可能导致的后果,如:
      • 赔偿损失
      • 诉讼及法律责任

NDA 的应用场景

  • 公司内部:员工、顾问、承包商入职时签署,以保护公司机密信息。
  • 商业合作:企业在谈判或合作时签署,防止商业机密泄露。
  • 投资与并购:投资者或收购方在尽职调查期间访问机密信息时签署。
  • 安全领域:涉及敏感数据(如网络安全研究、漏洞披露)时,团队成员或外部合作方通常需签署 NDA。

UBA(User Behavior Analytics)和 UEBA(User and Entity Behavior Analytics)

UBA 和 UEBA 都是用于检测异常行为并增强安全防护的技术,主要用于检测内部威胁、账户泄露、恶意软件活动等安全事件。


UBA && UEBA

1. UBA(用户行为分析)

UBA(User Behavior Analytics,用户行为分析) 专注于分析 用户 的行为模式,识别异常或潜在威胁。

UBA 的核心功能

  • 用户基线建立
    • 通过机器学习建立每个用户的“正常行为模式”(如工作时间、登录地点、访问的系统等)。
  • 异常检测
    • 例如:
      • 账户突然在不常见的国家/地区登录
      • 非 IT 人员突然访问服务器或数据库
      • 平时只访问文档的员工,突然下载大量敏感数据
  • 内部威胁检测
    • 识别恶意内部人员、受感染账户、社工攻击等异常行为。

UBA 只关注用户行为,不分析设备、服务器或其他实体的行为。

2. UEBA(用户和实体行为分析)

UEBA(User and Entity Behavior Analytics) 是 UBA 的进阶版,不仅分析用户行为,还分析“实体”(Entity)的行为,例如:

  • 端点设备(如工作站、服务器)
  • 应用程序
  • 数据库
  • 网络设备(如防火墙、交换机)

UEBA 的增强功能

分析范围更广

  • 不仅监控用户,还监控设备、进程、流量等非人类行为。
    检测更加智能
  • 结合 AI/ML 发现复杂的攻击链,例如:
    • 恶意代码通过某台服务器横向移动
    • 某个 IoT 设备被入侵并开始扫描内部网络
      更强的关联分析
  • 结合 SIEM(安全信息与事件管理),跨多个数据源(日志、网络、端点)进行检测。

3. UBA vs. UEBA:主要区别

对比项 UBA(用户行为分析) UEBA(用户和实体行为分析)
监控对象 用户 用户 + 设备 + 应用
目标 检测用户异常行为 监控整个 IT 环境的异常
数据来源 登录、访问日志 用户行为 + 端点、网络、服务器等
应用场景 内部威胁检测 复杂攻击链分析、APT 攻击

4. 典型应用场景

UBA

  • 监测员工数据泄露(如敏感文件被大规模下载)
  • 识别账户被劫持(如突然在深夜登录关键系统)
  • 发现社工攻击的受害者(如员工短时间内输入错误密码多次)

UEBA

  • 检测高级持续性威胁(APT),比如黑客横向移动
  • 监测 IoT 设备异常(如某台打印机突然发送大量数据)
  • 发现恶意软件攻击(如服务器进程异常访问外部 IP)

风险管理术语和概念

1. 风险(Risk)

风险 是指威胁(Threat)利用漏洞(Vulnerability)导致资产(Asset)损失的可能性。

示例:如果公司服务器有未修补的漏洞(Vulnerability),黑客可以利用该漏洞(Threat)进行攻击,导致数据泄露(Risk)。


2. 资产(Asset)

资产是对组织有价值的事物,包括:

  • 信息(数据、知识产权、机密文件)
  • IT 设备(服务器、网络设备、终端)
  • 人员(员工、客户、供应商)
  • 业务流程(运营、生产、销售)

示例:公司数据库存储客户信用卡信息,是一种高价值的资产


3. 威胁(Threat)

威胁是可能导致损害的潜在危险,可能来自:

  • 自然灾害(地震、洪水)
  • 人为行为(黑客攻击、内部人员泄密)
  • 系统故障(硬件损坏、软件漏洞)

示例:黑客组织对公司服务器发动 DDoS 攻击,属于一种威胁


4. 漏洞(Vulnerability)

漏洞是资产的弱点,可能被威胁利用,包括:

  • 技术漏洞(未修补的软件漏洞、弱密码)
  • 物理漏洞(未锁门的服务器机房)
  • 人员漏洞(社工攻击、缺乏安全意识)

示例:公司员工使用简单密码 “123456”,这是一个漏洞,可能被黑客暴力破解。


5. 控制(Control)/ 对策(Countermeasure)

控制是降低风险的措施,包括:

  • 技术控制(防火墙、入侵检测系统)
  • 管理控制(安全策略、培训)
  • 物理控制(门禁、摄像头)

示例:部署多因素认证(MFA)可以降低账户被盗的风险。


6. 风险评估(Risk Assessment)

风险评估是识别、分析和衡量风险的过程,主要包括:

  1. 识别资产(确定哪些资产需要保护)
  2. 识别威胁和漏洞(发现可能影响资产的风险)
  3. 评估影响(如果风险发生,会有什么后果?)
  4. 计算风险等级(定性/定量方法)

7. 风险分析方法

CISSP 主要采用两种风险分析方法:

定性风险分析(Qualitative Risk Analysis)

  • 依赖专家判断、经验、风险矩阵来评估风险等级(低、中、高)。
  • 快速,但不精确,适用于战略决策。

定量风险分析(Quantitative Risk Analysis)

  • 使用数学模型计算损失(如 $$)。
  • 主要指标:
    • SLE(单次损失预期值) = 资产价值 × 影响率
    • ARO(年发生率) = 一年内该事件可能发生的次数
    • ALE(年度损失预期值) = SLE × ARO

8. 风险处理策略

面对风险,组织可采取以下策略:

策略 描述 示例
规避(Avoidance) 消除风险,不执行该活动 停用易受攻击的软件
降低(Mitigation) 减少风险影响 部署防火墙、加密数据
转移(Transfer) 转嫁风险给第三方 购买网络安全保险
接受(Acceptance) 接受风险并准备应对 低影响风险无需处理

9. 残余风险(Residual Risk)

即使采取控制措施,仍然会有未消除的风险

示例:公司部署了入侵检测系统(IDS),但仍然可能遭遇零日攻击,这部分风险就是残余风险


10. 风险管理框架

CISSP 相关的风险管理框架包括:

  • NIST RMF(Risk Management Framework):美国政府机构广泛采用
  • ISO 31000:国际通用的风险管理标准
  • ISO 27005:专注于信息安全风险管理
  • OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation):组织内部风险评估方法

总结

术语 含义
风险(Risk) 资产、威胁和漏洞共同作用下的潜在损失
资产(Asset) 需要保护的有价值资源
威胁(Threat) 可能导致损害的事件或行为
漏洞(Vulnerability) 资产的弱点,可能被威胁利用
控制(Control) 用于降低风险的安全措施
风险评估(Risk Assessment) 识别和分析风险的过程
SLE、ARO、ALE 用于定量风险分析
规避、降低、转移、接受 处理风险的方法
残余风险(Residual Risk) 采取控制措施后仍然存在的风险

社会工程:钓鱼邮件前置词

前置词是在通信开头加一个标语。例如垃圾邮件、恶作剧、网络钓鱼。攻击者可以在攻击消息主题前加上RE:FW(分别表示关于、转发),让接收方误以为是先前的对话继续。通常还会包含"外部"、“私人”、“内部”。

前置词还可以欺骗过滤器。例如加上字段"X-Spam-Category:LEGIT" 或者 “X-Spam-Condition:SAFE”

鱼叉式网络钓鱼 Spear Phishing

鱼叉式网络钓鱼(Spear Phishing) 是一种 高度定制化的网络钓鱼攻击,针对特定个人、公司或组织 量身定制 欺骗性电子邮件,以窃取敏感信息、安装恶意软件,甚至执行更复杂的攻击(如 商业电子邮件诈骗 BEC)。

与**传统钓鱼(Phishing)**不同,鱼叉式钓鱼通常包含:

个性化信息(如姓名、职位、同事姓名、公司内部术语)。
伪造可信来源(如公司 IT 部门、供应商、银行或高管)。
诱骗目标点击恶意链接或附件,导致凭据泄露、木马感染等。

网络钓鲸 Whaling Phishing

网络钓鲸(Whaling Phishing) 是一种针对企业高层(如 CEO、CFO、CTO) 的高级钓鱼攻击。
它属于鱼叉式网络钓鱼(Spear Phishing) 的一种,但重点是攻击“重量级”目标(Whale),即 企业决策者、高管、董事会成员。

短信钓鱼 Smishing

短信钓鱼(Smishing, SMS Phishing) 是一种基于短信的社会工程攻击,攻击者通过伪造短信(SMS),诱导受害者点击恶意链接、下载恶意应用,或泄露敏感信息(如密码、银行卡信息)。
与传统网络钓鱼(Phishing)不同,Smishing 通过手机短信传播,通常针对移动设备用户!

语音网络钓鱼 Vishing

Vishing(Voice Phishing),即语音钓鱼,是一种利用电话或语音技术实施的社会工程攻击。攻击者伪装成银行、政府、IT 支持人员或公司高管,通过电话或 AI 语音诱导受害者泄露敏感信息、转账或执行恶意操作。
Vishing 利用人类对电话交流的信任,比电子邮件或短信更具欺骗性!

肩窥 Shoulder Surfing

肩窥(Shoulder Surfing) 是一种低技术含量的社会工程攻击,攻击者通过在受害者身后或侧面偷窥屏幕、键盘输入,获取敏感信息。这种攻击方式不依赖黑客技术,但仍然非常有效,特别是在公共场所(如咖啡厅、机场、公司开放办公区)。

发票诈骗 Invoice Fraud

发票诈骗(Invoice Fraud) 是一种基于社会工程的金融欺诈,攻击者伪造供应商或公司内部财务人员的身份,发送假冒发票,诱骗受害者支付款项到攻击者控制的银行账户。
典型目标:
企业财务人员(会计、财务主管)。
采购部门(供应链管理)。
CEO / 高管(攻击者可能直接伪装高管指示付款)。
假冒供应商(Vendor Impersonation)
攻击方式:
黑客通过社交工程或数据泄露获取真实供应商信息。
伪造供应商发票,使用与供应商极其相似的邮箱发送给财务部门。
提供虚假银行账户,诱骗财务人员付款。

尾随(Tailgating)和捎带(Piggybacking)

尾随(Tailgating) 是一种物理安全攻击,攻击者未经授权,紧跟在授权人员身后进入受限区域(如机房、办公室、数据中心)。

典型目标:

公司办公大楼(黑客伪装成员工进入企业内部)。
数据中心 / 机房(黑客潜入窃取服务器数据)。
机场 / 安保区(攻击者进入限制区域,绕过安检)。

Twitter 机房尾随攻击
2018 年,黑客尾随 Twitter 员工,未经授权进入服务器机房。
黑客插入恶意 USB,尝试植入后门。
企业发现后升级了门禁控制和安保监控。

垃圾箱搜寻(Dumpster Diving)

垃圾箱搜寻(Dumpster Diving) 是一种社会工程攻击,黑客从垃圾箱、废弃文件、电子垃圾中获取敏感信息,用于进一步的攻击,如身份盗窃、企业间谍、金融欺诈等。
目标信息可能包括:
纸质文件(机密合同、财务报表、员工名单)。
客户信息(信用卡信息、身份证复印件)。
电子垃圾(旧硬盘、USB 设备,可能存有敏感数据)。
企业邮件(包含内部流程、业务信息)。

误植域名(Typosquatting)URL 劫持

误植域名(Typosquatting),也称域名欺诈或URL 劫持(URL Hijacking),是网络钓鱼(Phishing)的一种形式。
攻击者注册与知名网站相似的域名,利用用户的拼写错误,引导他们访问伪造的网站,用于欺诈、恶意软件传播或数据窃取。

攻击方式 示例 攻击手法
拼写错误(Typo Errors) goolge.com(Google) 利用常见拼写错误欺骗用户。
字符替换(Character Substitution) rnicrosoft.com(Microsoft) 使用类似字符(rn vs. m)欺骗视觉认知。
额外字符(Additional Letters) faceboook.com(Facebook) 在正确域名中增加一个字符,不易察觉。
缺少字符(Missing Letters) gogle.com(Google) 移除一个字符,仍易读但是假网址。
不同 TLD(顶级域名变化) paypal.co(paypal.com) 使用不同的域名后缀,如 .co.net 代替 .com
连字符欺骗(Hyphenation) microsoft-secure.com 在品牌名称中插入连字符,伪装成官方网站。
国际化域名(IDN Homograph Attack) аpple.com(实际是 Cyrillic “а”) 使用 Unicode 字符,使域名看起来与原始品牌相同。

影响力运动(Influence Operations, IO)

策略 手段 示例
虚假信息传播(Disinformation) 制造并传播假新闻、篡改事实 伪造政府声明,制造恐慌
操纵社交媒体(Social Media Manipulation) 机器人账号、水军、带节奏 假评论影响选举结果
心理战(Psychological Warfare) 煽动恐惧、制造分裂 突出负面新闻,削弱政府信任
深度伪造(Deepfake) AI 伪造视频、音频 伪造领导人讲话,引发危机
搜索引擎优化攻击(SEO Poisoning) 操控搜索结果,放大特定内容 让假新闻排在 Google 搜索第一
社会工程(Social Engineering) 影响个人或组织决策 假冒记者,获取机密信息
经济胁迫(Economic Coercion) 影响股市、操控舆论 传播企业负面新闻,导致股价暴跌