来自 数据 2021-06-08 22:15 的文章

香港高防服务器_云网盾_打不死

香港高防服务器_云网盾_打不死

人因安全的珍妮·雷德克里夫谈社会工程社会工程是大多数网络攻击的主要因素。随着时间的推移,用户会受到特洛伊木马、网络钓鱼电子邮件、鱼叉式网络钓鱼和其他类型的数字诈骗的攻击,尤其是那些在对攻击者有很高价值的公司和组织工作的用户,例如银行和金融机构。社会工程专家在网络安全行业发挥着重要作用,因为他们解决了安全中的人为因素,而这些因素往往可以绕过最好的企业防火墙和杀毒软件。Jenny Radcliffe是一位社会工程专家,也是"人因安全"播客的主持人,华为DDOS防御做的最好,我去年有幸在该播客上露面。我最近有机会采访珍妮,防御攻击cc,我真的学到了很多。金:你的专业是社会工程。你怎么会这么做的?珍妮:我在艰苦的环境中长大,学到了很多。我总是以不同于大多数人的方式看待事物。我研究了很多人,幸运的是,有雇主给了我一些挑战我的工作,并培养出了其他技能。我学习,练习,犯了很多错误。最后,网络行业认识到了社会工程和物理渗透对安全的贡献,并给了我使用我奇怪技能的机会。我从没想过有人会认为我所能做的会被认为是对保护人民安全的贡献。我每天都很感激社区对我的欢迎并使我的角色合法化。我仍然很兴奋,热爱我的工作。金:如果有人想了解更多与网络攻击有关的社会工程,你会怎么建议他们?珍妮:我经常被问到,"我应该从哪里开始?"我总是说要真正理解别人。作为团体,作为公司的一部分,作为个人。我真的认为,要成为一名优秀的社会工程师,你应该对人类的行为着迷,学会尽可能地观察规律、互动和习惯。分析语言,人们如何消磨时间,观察收集到的智力差距,找出隐藏的故事。尽量不要把自己插入叙述中。自我是社会工程的祸根——它实际上是关于"他们",而不是你。第二个人看不清他们为什么要做这项工作,cc防御攻略,保护人们,他们就失去了优势。如果你从根本上不爱别人,不想保护他们,就不要立志成为一名社会工程师。其他的都是装饰。金:很明显,社会工程知识不需要学校就可以获得,但是雇主有没有资格要求?珍妮:在标准和资质方面,社会工程可能是最后的前沿。很难衡量能力,甚至很难证明自己的能力和经验。我觉得,将如此无形和细微差别的东西标准化会适得其反,但我担心这个术语经常被淡化,以至于客户和雇主不知道该找什么。也许对于一个细致入微的角色来说,没有标准的衡量标准是恰当的。我建议人们提供情景或案例研究,以了解某人的想法,而不是依赖资格。我正在努力解决这个问题,也许将来会有一些认证机制,但这对行业来说是一个具有挑战性的问题。金:有没有其他网络安全领域的证书可以帮助他们的社会工程事业?詹妮:我想说的是,除了单纯的技术方面的认证和经验,而是集中在安全方面,会很有用的。例如,与我共事的许多执法人员和军方人员非常了解人为因素,并且在这种情况下比只看到技术方面的风险更快地理解。因此,能够全面了解业务连续性和风险的东西是好的。金:你花了很多时间研究木马恶意软件吗?例如,它的社会工程方面?珍妮:是的。我分析(编程)语言的说服力和影响力杠杆,并被要求从使用的机制和策略来描述攻击者。金:在你看来,这些年来特洛伊人的欺骗性变强了吗?詹妮:我想说攻击者很快就能学会什么是有效的,并会以此为基础。虽然有些人很懒,但我发现自己几乎是在欣赏那些更成熟和优雅的方法,虽然目标仍然是犯罪和有害的。金:网络钓鱼也变得更复杂了吗?詹妮:是的,也不是。虽然有更多的攻击报告,但大多数都是些空头支票,希望有人会因为一个通常很蹩脚的借口而上当。不过,我注意到某些电子邮件有一些改动,似乎表明罪犯正在接受"反馈"并采取行动例如,我看到基于性别的性侵犯网络钓鱼中的语调正在发生变化,这表明适应和学习的程度令人担忧。鱼叉式钓鱼与真正的定制,研究内容是罕见的,但通常工作良好,信任建立得更快。金:你有没有看过在黑暗网络上出售的钓鱼网站和电子邮件套件?珍妮:是的。我经常想象这种方法是有效的。如果我再想买一张能让我觉得很有创意的报纸,那我就去买吧。金:一个真正彻底的笔试将包括一家公司的员工和承包商对社会工程的敏感性。应该怎么做?詹妮:应该尽可能与业务有关。当我的公司这样做的时候,我们通常会考虑最坏的情况,比如贿赂、勒索或者更糟的情况,所以我们会关注个人信息以及与公司相关的事情。在大多数情况下,匿名员工信息的一个横截面样本应该足以显示个人的弱点以及它与公司之间的联系。同样,很难给出一个估计,因为每个目标都是非常不同的。我想说的是彻底的,合乎道德的,并且能够用确凿的理由来支持任何证据。金:我经常说,一般来说,大多数网络攻击都会在某个时候涉及到社会工程。是真的吗?詹妮:我认为大多数袭击都涉及到一定程度的社会工程。必须有一个"零病人",因为大多数攻击在某个时候都需要人工干预,因为攻击者利用它作为绕过技术防御的直接而快速的途径。金:你认为我们的行业低估了社会工程的重要性吗?詹妮:我认为整个行业绝对接受当今社会工程的危险性。我只是偶尔听到一些关于跟踪的奇怪评论,或者一封明显的网络钓鱼邮件并不是一种复杂的攻击。这确实让我的内心充满了魔鬼,因为最好的标记是那些认为自己不能被抓住的人,我在傲慢中看到了很多机会。尽管人们很清楚这个行业的风险,并承认社会工程需要关注,尤其是如果我很可能听到他们说什么的话!金:你认为我们这些网络安全行业的人高估了我们抵制社会工程技术的能力吗?珍妮:跟踪和网络钓鱼并不复杂,但假设这是社会工程的极限是天真的。我认为,网络安全行业肯定比一般公众更关注潜在的社会工程。然而,在正确的时间正确的脚本可以抓住任何人和每个人。没有人能幸免,尤其是当他们认为自己会发现一切的时候。金:跟车是不是比我想象的更普遍?我不常听到这件事。珍妮:在物理渗透中,ddos攻击防御系统搭建,它仍然是一个标准的攻击媒介,也是讨论社会工程时词汇的一部分。在更高的安全目标上不用那么多了!金·克劳利:你最近在忙什么,职业方面?珍妮·雷德克里夫:我认为可以公平地说,我的工作在去年发生了很大的变化。我很少进行物理渗透,尽管我参与的设施处于更高的安全级别。我也为定义社会工程和如何评估世界各地的实践者能力的研究和标准做出了贡献,我很荣幸能成为其中的一员。金:你认为什么是一个好的播客,什么激励你开始你的播客?珍妮:要有创意!真正做你的研究,而不是为了追随者或认可。另外,试着学习一下面试技巧。我认为很多节目都是以懒散的方式进行的。人们认为"聊聊天"很容易,但最好的播客们真的很努力地做他们所做的,专注于质量和非标准的问题。如果你看看格雷厄姆克鲁利(Graham Cluley)和卡罗尔·蒂劳尔(Carole Thierault)的《说"粉碎安全",他们让这一切看起来毫不费力,但我知道他们的表演投入了多少工作,这就是为什么他们是成功的,也是正确的。这有点像其他任何事情-你可以尝试任何事情,并有一点成功,但做一件好的事情需要努力。也就是说,如果你想开始播客,免备案cc防御,那就努力工作,坚持下去。安全社区会出现并支持你!我真的很喜欢我和珍妮的谈话,我希望你看看她的播客,"人的因素"。关于珍妮·雷德克里夫Jenny Radcliffe(@Jenny_Radcliffe)演讲、咨询和培训人们"黑客攻击"的技能,并解释了使用心理方法的社会工程如何对各种规模的组织构成巨大威胁。她揭示了同样的知识是如何成为各种安全专业人员预防这些攻击、诈骗和各种各样的犯罪的宝贵工具。詹妮综合运用了骗局、心理战术、高级剖析和非语言交流技巧,着重介绍了犯罪分子、特殊利益集团和其他有恶意的人是如何通过交谈或欺骗的方式来获取情报的