人性是安全过程中最脆弱的一个环节。
社交工程攻击是对抗人性的攻击,特别是人性中的:信任、同情、热情、懒惰等(本人暂时能想到的)。
前前后后花了快一个月的时间将这本书给看完了。在每次阅读完一个故事情节后,我都会想,这都能成功?
但假如受害者换成我,我会上当吗?带着这个问题去幻想的时候,我发现在某些情节下,也许我真的会被欺骗。
因为我很可能在一些场景下(如工作繁忙中)无心去验证身份。
贯穿全书,所有的事例都说明了两个最基本的操作的重要性:身份验证和访问控制。
书中的例子对于今天来讲较为古老(但是如今还存在着大量的电信诈骗及电话诈骗),在公司中我们不大可能会信任一个未知来电者。
可是欺骗手段可以过时,但是欺骗的原理却不会变。作为一名第三方视角的读者,从书中收获的不是事例中的欺骗方法,而是该方法背后的核心思想。
比如第一章第1个案例,个人认为其本质是数据安全的机密性(机密代码管理不善)和身份验证的完备性(验证过程简单且不合理)遭到破坏。
再比如第九章逆向行骗,这一章节的本质问题或许应该是身份验证的规则出现了问题。
书中的这些本质性的原因放到今天也依然在起着作用。只是表现出来的形式发生了变化。
书中的最后部分对于如何防范社交工程攻击也给出了许多的建议,其中最重要的也许是将身份验证和访问控制流程化,要求每个员工都必须按流程来验证对方。
流程化的验证程序无疑能抵挡大多数的社交工程攻击,但是其过程设计及应用则需要反复斟酌和实践,以便得出比较高效的方式。因为人趋于懒,如果将验证程序设计得复杂了,那么员工可能会为了减少麻烦而忽视部分步骤。另外需要关注的是,在设计验证程序的时候,我们也应该去思考如何减少人性的影响(或者说人的参与度),自动化的验证方式是必不可少的。
以上,便是我从《反欺骗的艺术》一书中所收获的,我也从中窥知Kevin D. Mitnick确实是一名传奇黑客,他的黑客思维方式是独特的,是我本人要去学习的。
这是我第一次在成年后自觉下写的读书笔记/读后感,之前的我读完后就觉得自己已全盘吸收,但是等过了一阵子后又会忘记我收获了什么。现在的我需要作出改变,记录并分享我所收获的知识。