社会工程学: 办公室五大漏洞（上）

DoSECU 安全分析 9月10日消息：如果你认为敏感信息面临的最大风险来自于网络安全，那么再好好考虑一下。一旦犯罪分子隐藏在办公楼内部，那么这些人所访问的数据或造成的破坏就具有无限的可能性。关注办公楼内的安全，进入企业内部有多么轻而易举呢？

我们花费了一个下午的时间与社会工程专家兼美国科罗拉多州安全咨询公司Lares的创始人克里斯.尼克森一起探讨了这个问题，以便了解他对犯罪分子利用办公楼内重要的安全漏洞的看法。Lares公司专门采用一种被尼克森称之为"红队测试"的方法衡量真实环境中的风险。换句话说，尼克森和他的团队被企业聘请进入办公楼来寻找安全鸿沟的所在。

尼克森表示，我们的目标就是任意选择一座办公楼，假装成公司的员工进入企业办公楼内部。一旦进入就伪装成合法的工作人员，这些以窃取数据，作为黑客攻击网络或者实施其他犯罪行为为目的的可能性很大。即使是最安全的办公室也是有漏洞的。

"办公室最大的问题之一是你可以怀有某种目的进入进去，因为你必须去工作"尼克森强调说。

当然安全需求根据不同办公楼的不同会有所变化。安全和社会管理者必须自己做出应该采取何种安全级别的决策。但是按照尼克森的说法，我们的目标是帮助用户在社会工程犯罪分子试图进入他们没有权限进入的区域时找到他们。

第一印象

我们需要建立首席安全官总部来观测我们发现的结果。我们从几种有安全入口并且须有认证方可进入的备选区域中选择了一座办公楼。然后立即步入这座办公楼，尼克森指出第一个漏洞就是外部摄像头覆盖面的不足。

尼克森表示"我可能昂首挺胸的进入办公楼，或者佩戴办公楼的准入证，或者用摄像头拍下设备的外形，所有这些都具备很好的隐蔽性"

如果你认为敏感信息面临的最大风险来自于网络安全，那么再好好考虑一下。一旦犯罪分子隐藏在办公楼内部，那么这些人所访问的数据或造成的破坏就具有无限的可能性。关注办公楼内的安全，进入企业内部有多么轻而易举呢？

我们花费了一个下午的时间与社会工程专家兼美国科罗拉多州安全咨询公司Lares的创始人克里斯.尼克森一起探讨了这个问题，以便了解他对犯罪分子利用办公楼内重要的安全漏洞的看法。Lares公司专门采用一种被尼克森称之为"红队测试"的方法衡量真实环境中的风险。换句话说，尼克森和他的团队被企业聘请进入办公楼来寻找安全鸿沟的所在。

尼克森表示，我们的目标就是任意选择一座办公楼，假装成公司的员工进入企业办公楼内部。一旦进入就伪装成合法的工作人员，这些以窃取数据，作为黑客攻击网络或者实施其他犯罪行为为目的的可能性很大。即使是最安全的办公室也是有漏洞的。

"办公室最大的问题之一是你可以怀有某种目的进入进去，因为你必须去工作"尼克森强调说。

当然安全需求根据不同办公楼的不同会有所变化。安全和社会管理者必须自己做出应该采取何种安全级别的决策。但是按照尼克森的说法，我们的目标是帮助用户在社会工程犯罪分子试图进入他们没有权限进入的区域时找到他们。

第一印象

我们需要建立首席安全官总部来观测我们发现的结果。我们从几种有安全入口并且须有认证方可进入的备选区域中选择了一座办公楼。然后立即步入这座办公楼，尼克森指出第一个漏洞就是外部摄像头覆盖面的不足。

尼克森表示"我可能昂首挺胸的进入办公楼，或者佩戴办公楼的准入证，或者用摄像头拍下设备的外形，所有这些都具备很好的隐蔽性"

供电设备

尼克森强调的下一个区域就是办公楼里的发电机。这些供电设备即没有被铁栅栏围住也没有从外部采取任何保护措施。由于供电设备没有上锁尼克森可以接近这些设备，然后轻而易举的打开它。除了办公楼的业务持续性/灾难恢复计划遗留的一些显而易见的漏洞外，尼克森还指出供电设备是如何被用在社会工程诈骗之中的。

未经允许不得转载：DOIT » 社会工程学: 办公室五大漏洞（上）