网络安全需要学心理学吗
时间:2022-06-10
网络安全需要学心理学吗
盾叔会经常收到一些小伙伴问这样一个问题:未来如果做网络安全工程师,未来需要学心理学吗?
盾叔的回答是,你需要了解的是与心理学相关的社会工程学。
什么是社会工程学?
社会工程学(Social Engineering,又被翻译为:社交工程学)。上世纪60年代左右作为正式的学科出现。
广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学。
如果黑客掌握的是网络社会工程学,那么作为网络安全工程师掌握社会工程学就显得尤为重要了。
那么黑客领域的社工到底是什么呢?
黑客大佬凯文米特尼克在《反欺骗的艺术》中曾提到:人为因素才是安全的软肋。
很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
对于黑客们来说,仅仅通过一个用户名、一串数字、一串英文代码,再通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。
简单讲就是黑客利用网络公开资源,或是和用人性弱点与他人交流来干预其心理,从而收集信息入侵系统。这个弱点可以是任何不起眼的地方,它或许是你到处乱丢的个人信息,或许是你对各种技术人士的信任,也或许是你每个网站APP都一模一样的密码。
凯文米特尼克曾说过:与其大费周章的破解系统,不如直接从管理员那里问密码。每一个固若金汤的系统都是由喜怒哀乐的活人在控制,搞定他们就搞定了他们背后的系统。
根据权威网络安全研究机构profpoint2016年的人类因素报告,社会工程学攻击是排名第一的网络攻击方法。相比于只依靠数学逻辑来进行工作的硬件系统来说,人类有个致命的弱点认知偏差。
攻击者利用社会工程学的手段是多种多样的,总体上分为生活中的社会工程学和网络中的社会工程学,目前社会工程学已经将最新的一些网络技术应用到其中,尤其是结合未公开的应用程序漏洞(0day)进行攻击,在杀毒软件不能对其进行查杀前,攻击效果是100%,危害巨大。
社会工程学的运用主要有以下几种典型的形式:
一、环境渗透
为了获得所需要的情报或敏感信息,对特定的环境进行渗透是常规手段之一。攻击者会通过各种手段进入目标内部,然后利用各种便利条件进行观察或窃听,得到自己所需的信息;或者与相关人员进行侧面沟通,逐步取得信任,从而获取情报。
二、身份伪造
身份伪造是指攻击者利用各种手段隐藏真实身份,以一种目标信任的身份出现来达到获取情报的目的。攻击者大多以能够自由出入目标内部的身份出现,获取情报和信息;或者采取更高明的手段,例如:伪造身份证、ID卡等,在没有专业人士或系统检测的情况下,要识别其真伪是有一定难度的。
三、冒名电话
冒名电话是一种简单有效的攻击手段,攻击者也不必担当很大的风险。一般情况下,攻击者冒名亲戚、朋友、同学、同事、上司、下属、高级官员、知名人士等通过电话从目标处获取信息。相对来说,冒名上司或高级官员容易一些,因为迫于一种压力,目标就算有所怀疑也不敢加以追究。利用设备转换或者模拟正常上司或者其他人的声音来进行电话欺骗其成功率更高。
四、个体配合
个体配合是对信息安全危害较大的一种社会工程学攻击方法,它要求目标内部人员与攻击者达成某种一致,为攻击提供各种便利条件。个人的说服力是使某人配合或顺从攻击者意图的一种有力手段,特别是当目标的利益与攻击者的利益没有冲突,甚至与攻击者的利益一致时,这种手段就会非常有效。如果目标内部人员已经心存不满甚至有了报复的念头,那么配合就很容易达成,他(她)甚至会成为攻击者的助手,帮助攻击者获得意想不到的情报或数据。
五、反向社会工程学
反向社会工程学(Reverse Social Engineering)是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造问题,使其公司员工深信,诱使工作人员或者网络管理人员透露或者泄漏攻击者需要获取的信息。该方法比较隐蔽,很难发现,危害也特别大,不容易防范。
六、邮件欺骗
邮件欺骗是指攻击者通过发送垃圾邮件说服目标相信某一事件或引诱目标访问某一链接,或者替换邮件中的附件为木马程序,或者直接捆绑木马程序到附件中,诱使目标运行,以达到某种不可告人的目的。利用应用程序漏洞捆绑木马程序进行邮件欺骗攻击的隐蔽性强,成功率高,危害性大,所以目前邮件欺骗攻击已经成为网络攻击的主要方式之一。