社会工程渗透测试教程(四)(1)https://developer.aliyun.com/article/1508456
执行摘要
执行摘要主要设计为为那些最初至少不打算阅读整份报告的人提供服务。
对于需要查阅报告并了解评估工作及评估结果的人来说,执行摘要是报告中最重要的部分。执行摘要起到了报告的结论作用,尽管报告的主体内容尚未出现。
执行摘要包含作为评估的一部分选择的每个攻击向量的所有主要要点,并强调结果、结论和建议。
除了文字性内容之外,还建议在报告中包含一些重点突出的正面和负面行动的项目符号。
执行摘要通常长约两到三页,应注意确保其保持在这个长度而不是扩展到数页或太多细节以致成为摘要。
编写报告主体后撰写执行摘要可能更容易,从而按顺序编写报告。这将确保所有相关部分都以简洁而准确的方式包含在内。
单个攻击向量
执行摘要提供了结论和易于阅读的发现概述,但下一节则作为报告的主体。在这里,每个攻击向量都会被详细解释,并支持评估过程中收集到的支持证据,结果、结论和建议。
在此级别,移至涵盖每个攻击向量的各自子部分之前,会生成简要介绍。每个部分的简要结构可能如下:
• 攻击向量介绍
• 顾问意见
• 评估证据
攻击向量介绍提供了选择攻击向量的依据以及向量包含的内容的概述,然后介绍评估范围和执行内容。
顾问意见提供了关于顾问为测试攻击向量所做的事情的书面叙述。这讲述了评估的故事,并详细概述了每个部分的发现。与执行摘要一样,此级别上包含一份良好和不良发现的清单以及推荐的补救措施是有用的,以纠正评估中概述的任何缺陷。
评估证据是支持顾问意见和每个单独攻击向量的发现的支持材料。虽然这不必是一种结构,但保持按时间顺序排列并确保包括有关此攻击向量的评估发现的时间轴是有用的。
在本章的数据收集部分,我们研究了一个样本社会工程参与,在该评估中包括了远程电话攻击、网络钓鱼电子邮件攻击以及两个位置的现场实体攻击。利用这个例子,本报告的本节结构将如下所示:
• 个别攻击向量
• 介绍
• 远程电话攻击
– 介绍
– 顾问评论
– 评估证据
• 网络钓鱼电子邮件攻击
– 介绍
– 顾问评论
– 评估证据
• 现场实体攻击
– 介绍
– 第一站点
• 介绍
• 顾问评论
• 评估证据
– 第二站点
• 介绍
• 顾问评论
• 评估证据
报告的交付
此时,社会工程评估已经完成,并使用所选择的数据收集方法收集了数据。这些数据用于制定和撰写一份结构化报告,为最终用户提供价值,并形成公司所从事的咨询工作的最终交付物。下一阶段的关注点是将报告交付给客户。
关于敏感客户数据的保密性问题已经在本章的数据收集部分中讨论过。完整的保护标记介绍不在本书的范围之内,但是必须遵守组织制定的指导方针,以符合其保护标记标准。
除了数据存储问题之外,报告还必须安全地传输给客户。可以假定任何从事此类专业服务的公司的员工都将执行安全文档交付的公司标准。这可能是使用安全客户门户,客户通过加密的安全门户进行身份验证,然后安全地下载报告,或者通过使用电子邮件加密方案,其中电子邮件被加密并安全地发送给客户。
许多专业服务公司似乎采用了“点火并忘记”报告交付策略。这就是客户收到报告后,顾问或项目团队不再与客户进行任何进一步的沟通。
在客户收到报告后,建议安排客户在几天后进行一次客户简报,以便客户有时间阅读和消化提供的信息。这将给他们时间制定一些问题,以问询执行评估的顾问。这次简报可以通过电话进行,如果条件允许,最好是面对面进行。
概要
本章介绍了社会工程评估报告。从数据收集的必要性开始,并建议顾问可以采取三种方式来收集必要的数据以起草和撰写文档。接下来是讨论如何撰写报告,建议使用了一个简单的专业服务咨询报告模板,该模板涵盖了社会工程报告所需的必要要素。本章的最后一节涵盖了交付报告以及在客户消化报告中的信息后,需要注意确保报告的数据机密性和完整性,以及建议的客户简报。
下一章将提供针对社会工程攻击加固政策和程序的建议。
第十四章:制定加固的政策和程序
安德鲁·梅森, 技术总监,RandomStorm 有限公司
防御策略部分的这一起始章节将探讨读者如何加强其政策和程序,以防范可能的社会工程攻击。将提供各种方法和建议,以帮助读者识别政策弱点并进行必要的更改,以避免潜在问题的发生。
关键词
外层保护;内层保护;行业信息安全;网络安全标准;社会工程政策和程序;密码指导
本章信息
• 背景
• 外层保护
• 内层保护
• 社会工程防御:一种积极的方法
• 行业信息安全和网络安全标准
• 预期变更
• 制定适合目的的社会工程政策和程序
• 用户密码重置程序
• 请求的可接受来源
• 确认呼叫者的身份
• 重置密码
• 密码指导
• 选择密码
• 保护密码
• 更改密码
介绍
第十三章讨论了如何最好地撰写社会工程学报告。本章将讨论如何创建强有力的社会工程政策。
一个胜任的社会工程师所采用的方法的唯一限制是他们可用的工具、他们的想象力和完成攻击的胆量。
有了这一切,企业可以采取什么措施来减少成为目标的潜在风险,减少成功攻击的可能性。有效的社会工程防御策略的成功或失败是通过多层次的防御方法构建的,这些方法在很大程度上依赖于其坚实的基础。这些基础由两个关键组成部分组成:
- 社会工程政策
- 员工社会工程安全意识和教育计划(在第十五章中广泛涵盖)。
本章将详细介绍社会工程政策的目的以及如何构建一个适合目的并满足组织需求的政策。然而,应该记住,即使是最强大的政策,支持各种技术和物理控制,也无法完全消除受到高度决心、装备精良和胜任的社会工程师的侵害的潜在风险。
尽管如此,这两种基础都被证明是最有效和成本效益最高的方法。例如,开发可信赖的基础所需的只是管理支持,加上知识丰富的信息安全专家的奉献、热情和意愿,以及其开发和交付的时间。因此,与可用的丰富技术和物理控制相比,制定政策所需的成本相对较小。
本章还将为读者提供有关制定适当政策和程序的额外指导,深入了解什么是一份好文件。
背景
举个例子,让我们看看一个寻求加强围绕其敏感或关键资产安全的中小型零售企业。企业对其信息资产遭受侵犯的潜在成本进行风险评估,当评估估计为 400 万美元时,相当于他们的年营业额时,他们感到惊讶。因此,这引起了高级管理层的全力关注,企业开始加强其安全措施。
在外部安全产品供应商的建议下,企业花费了大约 200 万美元购买大量技术和物理设备,以确保这些资产受到良好构建的深度防御安全基础设施的保护。
工作完成了吗?还差一点…!
尽管这种方法存在着穿越世纪的问题,但仍然是最常用的模型。例如,看看特洛伊的围攻。公元前 12 世纪,数十年来,阿伽门农人围攻了保护特洛伊城的防御工事,试图进入城市。然而,特洛伊城是通过分层防御构建的,配置如下:
外层保护
外层 1:宽阔、深的壕沟
外层 2:1300 英尺宽的“禁区”,地面装有尖刺
外层 3:土墙(石加固),带有木制联接桩
外层 4:由木梁构建的塔楼
内层保护
内层 1:500 英尺宽的“禁区”
内层 2:两侧堆积的土堤
内层 3:木制内墙
内层 4:高木门
因此,在遭受持续损失后,阿尔基亚人被迫提出一种新的鼓舞人心的攻击方法,这将使他们能够隐秘地穿过强大的防御。这就是他们实施社会工程战术进行袭击的方法,利用与人相关的弱点。这就是特洛伊木马式攻击的诞生;通过这种方法,一份吸引人的礼物被送达,等待着一个信任的居民将其运送,其中包含一个隐藏的有效负载,通过各种防御层。这种方法不仅具有更大成功的潜力,而且还允许攻击者发动一次强有力的攻击(避免通过众多防御层而削弱),更靠近目标的核心。
上面的例子突出了社会工程攻击所涉及的漏洞,并清楚地展示了与利用人性的弱点相关的漏洞。
除了对特洛伊围攻的大量报道外,社会工程的概念也在各个时代大量出现。看看许多故事(无论是儿童还是成人),其中包括社会工程的使用。例如,大部分儿童童话故事都是基于社会工程的概念(《韩赛尔与格雷特》、《白雪公主》、《小红帽》、《匹诺曹》等),整个“终结者”系列电影的概念也是基于社会工程的概念创造的,当机器自我意识到威胁来自人类时,它们开始通过社会工程来消灭它们,伪装机器看起来像人类,作为脆弱性管理计划的一部分。
尽管如此,社会工程仍然是信息安全面临的最重大威胁。例如,考虑到所有前述的现成例子,为什么人们仍然易受攻击,并愿意通过打开那些虚假电子邮件,在他们的虚拟世界中将那匹神话般的木马推过各种防御层?
既然这是现实,那么如何减轻这种威胁呢?组织需要专注于那些人的弱点,确保他们的员工变得自我意识,并将人的因素纳入其脆弱性管理计划中。只有通过正式政策和程序衍生出的改善意识,并在安全意识计划的支持下,特别是在包含社会工程的情况下,才能提供实质性的保护。
回顾特洛伊的围攻,如果有关于接受意外礼物的严格政策,或者特洛伊市民接受了一个安全意识计划,强调与人类本性利用相关的漏洞,那么围攻是否会以同样的方式结束呢?事实上,最终结果可能会明显不同。例如,如果基础设施 1 和 2 是防御基础设施的一部分,那么特洛伊市居民会将大木马拉过各种防御层的机会有多大呢?
社会工程防御:一种积极的方法
在为确立强有力的基础的必要性铺平道路之后,本节将解释什么是好的政策以及如何有效地制定和实施。
和任何政策一样,只有得到高层管理的全力支持,政策才能发挥作用。对企业来说,一个常见的失败是当引入一个政策或程序,但企业领导并没有完全理解或支持该政策试图实现的目标。让我们看一些例子:
• 例 1。某组织最近成为了入室盗窃的受害者,因此引入了一些物理安全控制措施。随后,发现一个外部门或窗户未锁上,使得这些补充安全措施失效。作为回应,公司实施了一个正式的停工程序,要求最后一个离开大楼的人进行一次物理巡视,以确保没有敏感文件被遗漏,所有的门窗都被锁好。在引入几周后,每个人都遵守新程序,改进的安全措施的好处显而易见。然后,就像处理人们问题时总是会发生的那样,自满开始蔓延,人员开始放松。这导致窗户再次被留开,使额外的安全措施失效。管理层做出了半心半意的谴责,这提供了很少的威慑,并对减少再次发生的机会几乎没有影响。一周后,当人们得知一名高级管理人员对此只是敷衍了事,并留下了不安全的场所时,这一新程序的相关性和重要性进一步受到损害。
• 示例 2。公司做出有意识的决定,确保在不需要时将所有敏感数据安全存放。结果,他们推出了一个明确的桌面政策,要求所有员工确保任何敏感数据被锁在安全的办公家具内。这一切听起来都是为了帮助企业保护其敏感信息而采取的良好做法。然而,该政策仅由作者和审批者看到,保存在私人文件夹中,没有向公司所有员工提供,而这些员工作为其职责的一部分负责处理敏感信息资产。随后,在非工作时间,一名清洁工无意中拿起了其中一些物品以及各种垃圾,并将其送到了当地的垃圾填埋场。这样的意外可能导致保密性泄露或在需要时此关键信息不可用时对业务造成重大影响。
这两个例子展示了政策和程序在帮助确保通过解决与人员相关的弱点来保护资产方面的重要性。如果保险库的安全性在保护它的人员将门敞开时变得毫无价值。
思及到这一点,制定和实施有价值的政策和程序,以帮助应对社会工程师的利用,是任何成功的信息安全计划的基石。社会工程师的攻击利用了四个阶段(准备、操纵、执行和利用),以利用与人类行为相伴随的固有的弱点:
• 信任
• 乐于助人
• “快速成功”
• 好奇心
• 无知
• 粗心大意
因此,希望采取积极主动方法的公司,以确保减少对其组织的风险,将从撰写良好的政策和程序开始。这些文件必须针对最容易受到社会工程攻击的受众(基于人的或基于计算机/IT 的),并且使用不带行话的简洁语言编写。实质上,这些政策应该是 readily available 并清晰地阐明公司的目标以及员工必须和不能做什么。
根据商业的非常动态的性质和这些关键信息所在的技术环境,有必要定期审查任何支持文件,以确保它们保持相关性并根据需要更新版本。
行业信息安全和网络安全标准
为了帮助组织改进其信息安全和网络安全防御,有大量行业标准可供公司使用,以便将自己与之进行对标。
尽管社会工程学被报道为头号网络安全威胁,但在各种行业安全标准(IEC 27001:2013;COBIT 4.1;PCI:DSS 版本 2.0;ITIL 等)中只是间接提到。然而,也许这是对社会工程学威胁日益增加的迹象,导致支付卡行业安全标准委员会现在在 3.0 版本中直接提到了这一威胁,而以前只在附加文档“导航 PCI:DSS 版本 2.0”中涵盖:
8.2.2 在修改任何身份验证凭据之前验证用户身份——例如,执行密码重置、提供新令牌或生成新密钥 - 指导: 许多恶意个体使用“社会工程学”—例如,打电话给帮助台并假装成合法用户—来更改密码,以便他们可以利用用户 ID。考虑使用“秘密问题”,只有正确用户才能回答,以帮助管理员在重新设置或修改身份验证凭据之前识别用户。
然而,与之完全相反,ISO/IEC 27001/2:2013(信息技术—安全技术—信息安全管理系统—要求) 没有直接提及,也不需要强制执行政策要求。直到最新的 ISO/IEC 27001/2:2013 的推出。在起草本文件时,2011 年 10 月,Dejan Kosutic 确认了旧标准中省略了社会工程学。
预期变化
在撰写本章时,无法预测 ISO/IEC 27002:2013 中的所有变化,因为最终草案尚未撰写。然而,可以通过听 ISO/IEC/IEC 27001 专家的建议来判断可能的变化—以下是 ISO/IEC 27k 论坛关于 ISO/IEC 27001/ISO/IEC 27002 的主要专家论坛的建议摘要:
• 问责制:在与人力资源管理相关的定义。
• 身份验证,身份管理,身份盗窃:由于对基于网络的服务至关重要,它们需要更好的描述。
• 云计算:这种模式在现实生活中变得越来越主导,但在标准中尚未涵盖。
• 数据库安全:技术方面在现有修订中尚未系统地阐明。
• 道德和信任:在现有修订中根本没有涵盖的重要概念。
• 欺诈,网络钓鱼,黑客和社会工程学:这些特定类型的威胁变得越来越重要,但在现有修订中没有系统地涵盖。
• 信息治理:这个概念对信息安全的组织方面非常重要,但在当前修订中没有涵盖。
• IT 审计:需要更多关注计算机审计。
• 隐私:需要比现有的数据保护和法律合规范围更广,特别是因为云计算的存在。
• 弹性:这个概念在现有修订版中完全缺失。
• 安全测试,应用程序测试,漏洞评估,渗透测试等:这些在当前修订版中基本上是缺失的。
发表于 2012 年 7 月的(ISO/IEC 27032:2012 信息技术—安全技术—网络安全指南)确认了社会工程作为一种威胁的重要性。
如定义的,*“网络空间”似乎意味着一个复杂、高度可变或流动的虚拟在线环境,因此很难确定相关的信息安全风险。虽然与“网络空间”相关的许多信息安全风险(如网络和系统黑客攻击,间谍软件和恶意软件,跨站脚本,SQL 注入,社会工程等,以及与“Web 2.0”,云计算和虚拟化技术相关的信息安全问题,这些技术通常支撑虚拟在线环境和应用程序)可以被归类为正常或传统的系统、网络和应用程序安全风险,并且在实践中,标准主要关注与互联网相关的信息安全风险,而不是“网络空间”本身。然而,由于这些风险已经被其他 ISO/IEC 或 ISO/IEC 信息安全标准充分覆盖,无论是已发布还是正在开发中,目前尚不清楚哪些信息安全风险真正独特于“网络空间”。标准中提到了属于大型多人在线角色扮演游戏(MMORPGs)玩家的虚拟资产的风险,但并未直接解决,例如。在“网络空间”领域的频繁创新使得在这一领域制定国际标准尤为困难,这本身可能被归类为一种信息安全风险,尽管这种风险并未被标准覆盖。
标准的第 7 节区分了对个人和组织资产的威胁,这些威胁似乎归结为隐私/身份和公司信息的泄露,分别:当然有许多信息安全标准涵盖了这两个方面。(出于某种不明原因,第 7 节还提到了对在线政府服务和基础设施的威胁,包括恐怖主义,尽管我不清楚这些与“网络空间”有什么关系,因为我不知道任何政府提供虚拟环境或 MMORPGs,除非“管理国家经济”被归类为一种游戏!)
不幸的是,由于这被视为一种人为威胁,这个标准依赖于其他 ISO/IEC 标准来确保这些威胁已经得到解决。因此,组织可能忽视了保护自己免受社会工程攻击的必要性,但希望通过引入更新的 ISO/IEC 27001/2 标准来解决这个疏忽。
上述行业标准针对所有三个信息安全领域(技术、人员和流程),可应用于保护组织关键/敏感信息资产,这些都是信息安全管理系统(ISMS)文件集的关键领域。例如,一个良好的 ISMS 文件集的构建包括一个总体的信息安全政策,该政策涉及支持组织关键或敏感数据资产保护的任何其他政策和程序(可接受的使用、电子邮件、清晰桌面、恶意软件等)。因此,由于社会工程是这三个领域的合并,允许攻击者秘密访问数据,任何未包含政策和流程的 ISMS 都是基本有缺陷的。
制定这些政策和程序的发展必须解决社会工程攻击向量;从两个角度攻击(如本书中已经提到的),包括:
- 基于人类
• 冒充
• 假装成一个重要的雇主
• 成为供应商
• 利用桌面支持
• “肩部冲浪”
• “跳跃式窃听”
- 基于计算机的
• 钓鱼
• 诱饵
• 网络诈骗
制定适用的社会工程政策和程序
现在已经设定了组织需要解决与社会工程攻击相关威胁的场景,使用一种结合了政策、程序和意识培训的方法;现在至关重要的是概述正确的政策和程序制定方法。
那么一个组织从何处开始制定适用的社会工程政策和相关程序?有两个选择:
- 购买一些现成的政策和程序怎么样?嗯,这总比没有好,但是针对一个业务类型编写的社会工程政策和程序是否适用于所有业务类型?当然不是!但是,如果一个组织不确定他们可以使用这些文件作为基础,从而构建一个适合并满足该机构需求的良好的社会工程文件集。
- 第二种选择是用一支铅笔和一张空白的纸开始,以确定社会工程攻击的类型和业务领域,可能易受此类攻击的影响。下一阶段是与在易受攻击的区域工作的人员坐下来,深入了解他们目前使用的流程。这将成为制定任何政策和程序的基础。
人们在如何正确构建文件上感到困惑,但实际上,有效的政策或程序是能够起作用的。例如,一个人们可以轻松遵循并且特定于特定组织的政策或程序;而不是一个写得很好但像《战争与和平》一样厚重,没有人会读或遵守的政策或程序。如前所述,这些政策和程序的目的是正式传达安全和安全的操作方法。
现在已经收集了所有支持信息,可以实施到组织的社会工程文件集中。尽管不需要正式结构,以确保组织拥有有效的文件集。事实上是企业希望看到正式结构化的文件。因此,下面提供了一个关于总体社会工程政策的结构和内容示例,但不明确包括:
• 页眉:
• 公司名称和标志
• 标题
• 页脚:
• 标题
• 版本号
• 日期
• 作者/批准者
• 内容:
• 标题
– 概述
文档试图实现什么?
– 目的
提供员工对社会工程攻击发生的意识
创建特定的对策程序
– 范围
适用于业务领域、员工、承包商等的政策/程序列表。
– 社会工程攻击类型
适用于特定业务的社会工程攻击类型列表。
– 应采取的行动
详细指导以协助员工在可能受到此类攻击时应遵循的适当行动。
– 执行
奖励员工成功应用适当行动应对社会工程攻击的详细信息。
对未遵守政策或程序的员工的负面强化细节。
– 参考文件
支持额外安全防范社会工程的政策和程序列表。
– 修订历史
包含表格:
版本号
批准日期
授权者
评论
这提供了对总体社会工程政策构建的洞察;然而,正如已经提到的,根据组织面临的特定威胁,还需要额外的支持性政策和程序。因此,鉴于社会工程对帮助台存在的威胁已经被确认,这里提供了一个帮助台密码重置程序的示例:
重置用户密码的程序
请求的可接受来源
用户只能请求重置自己的密码。如果呼叫者要求重置其他人的密码,则 IT 帮助台必须要求呼叫者让用户帐户所有者直接与他们联系。
请求必须通过亲自或通过电话接收。不接受来自其他人的电子邮件地址的电子邮件请求,也不接受传真、短信等请求。
确认呼叫者的身份
如果亲自前来的用户对 IT 帮助台不熟悉,则应要求提供身份证明,例如驾驶执照,并且必须在帮助台事件记录中记录已查看此信息。
如果电话是通过电话接收的,则应采取以下步骤确认呼叫者的身份(如果电话是通过外部电话号码接收的,无论是固定电话还是移动电话,都应格外小心):
• 如果认识呼叫者,声音听起来像他们的吗?
• 如果是内部电话,请检查用户呼叫的分机号是否与内部电话目录中其姓名旁边列出的号码相符。
• 询问他们经理的姓名——在内部网上查找正确答案。
• 如果对呼叫者的身份存在疑问,请要求他们让他们的经理发送电子邮件授权重置密码。
重置密码
一旦用户身份验证通过:
- 将密码更改为随机字母和数字序列。
- 立即告知用户密码,只要密码成功更改即可写下来。
- 让用户登录并在电话上更改密码。
- 确认他们现在可以访问网络或系统。
密码指导
应向用户提供以下有关将来密码创建的指导。
选择密码
密码是我们 IT 系统的第一道防线,与用户名一起帮助确定人们是否为自己声称的人。
选择不当或滥用密码是一种安全风险,可能影响我们计算机和系统的保密性、完整性或可用性。
一个弱密码是很容易被不应知道的人发现或检测到的密码。弱密码的例子包括从字典中选取的单词、孩子和宠物的名字、车辆注册号码以及计算机键盘上的简单字母模式。
一个强密码是设计成不太可能被不应知道的人发现,并且即使借助计算机的帮助也很难推断出来的密码。
每个人都必须使用强密码,具有以下最低标准:
• 至少八个字符
• 包含字母和数字的混合体,至少一个数字
• 比单个词更复杂(这种密码更容易被黑客破解)
保护密码
密码始终保持保护至关重要。必须始终遵守以下准则:
• 永远不要向任何人透露你的密码。
• 永远不要使用“记住密码”功能。
• 永远不要写下你的密码或将它们存储在易受盗窃的地方。
• 永远不要将密码存储在没有加密的计算机系统中。
• 不要在密码中使用用户名的任何部分。
• 不要使用相同的密码访问不同的 Sandwell Homes 系统。
• 工作内外的系统不要使用相同的密码。
更改密码
所有用户级密码必须在最多每 90 天更改一次,或者系统提示用户更改密码时更改密码。默认密码也必须立即更改。如果怀疑或明显密码已被泄露,必须立即更改,并向 IT 服务台报告任何疑虑。
用户不能在 20 次密码更改中重复使用相同的密码。
在这个特定的例子中,密码重置指向了后续电子邮件的使用,但读者可能已经注意到这已被确定为可利用的验证方法,那么这如何适用呢?这归结为平衡安全和业务利益。因此,正式流程的弱点只有通过适当的测试才能真正识别,如果识别出这样的漏洞,则可能需要采取额外的措施。比如应用定期更改的身份验证口令,该口令仅可从内部位置获取,例如公司内部网络的管理受限区域或本地区域网络上的受限文件夹。
以上所有内容展示了与人员相关的复杂性和潜在风险。但是,它还展示了如何正确应用、解释和采用这样一个服务台流程可以帮助减少成为成功的社会工程攻击对象的机会,并利用这种方法识别潜在的社会工程攻击。
总结
本章已开始探讨如何加强政策和程序以提供足够的自我意识和培训水平,以减少社会工程学攻击风险。
本章以特洛伊木马作为社会工程学事件的一个现实示例开始,然后思考了在特洛伊时代如何通过政策和程序来减轻这种风险的问题。然后讨论了另外两个更为现代的例子,然后开始研究各种行业安全标准,如 PCI:DSS 和 ISO/IEC 27001:2013,以及它们如何涵盖社会工程学政策的需求。本章最后提供了一个关于这种社会工程学政策的示例模板,该模板可以在首先评估风险并了解社会工程学攻击对企业的真实威胁之后为企业编写。
接下来的章节将继续讨论社会工程防御策略的主题,重点是意识和培训计划。
社会工程渗透测试教程(四)(3)https://developer.aliyun.com/article/1508458
