[CISSP] [3] 人员安全与社会工程

#AUP # NDA # UBA # UEBA # 风险管理 # 社会工程 # 钓鱼邮件前置词 # Spear Phishing # Whaling Phishing # Smishing # Vishing # Shoulder Surfing # 发票诈骗 # Tailgating # Piggybacking # Dumpster Diving

AUP

AUP的关键内容

AUP 主要包括以下方面:

  1. 目的和范围

    • 说明AUP的适用范围,包括哪些用户、系统和数据受此策略约束。
  2. 可接受的使用

    • 规定允许的活动,如:
      • 合法业务用途
      • 访问组织批准的网站和服务
      • 合规的数据处理和存储
  3. 禁止的行为

    • 列出不允许的行为,例如:
      • 访问恶意或非法网站
      • 未经授权的数据访问或修改
      • 使用公司资源进行个人商业活动
      • 传播恶意软件或垃圾邮件
  4. 安全要求

    • 规定用户必须遵守的安全措施:
      • 使用强密码并定期更换
      • 避免共享账号或凭据
      • 遵循数据分类和加密要求
  5. 监控和隐私

    • 声明组织是否会监控用户的活动(如日志记录、流量分析)。
    • 说明用户对隐私的期望(通常组织有权审查工作设备上的数据)。
  6. 违规处理

    • 说明违反AUP的后果,如:
      • 口头警告、书面警告
      • 账户冻结、权限撤销
      • 纪律处分,甚至法律责任

AUP的作用

  • 保护组织安全:防止数据泄露、恶意软件传播等安全风险。
  • 确保合规性:符合法律法规(如GDPR、HIPAA)和行业标准。
  • 提供法律依据:在发生安全事件时,为调查和处罚提供依据。

AUP 通常由安全团队IT管理部门制定,并要求所有员工、承包商和第三方签署同意遵守。它是信息安全治理的重要组成部分,在CISSP中属于安全政策管理(Security Policy Management)的一部分。

NDA

NDA(Non-Disclosure Agreement),即保密协议,是一种法律合同,规定一方或多方在特定情况下不得泄露机密信息。它通常用于保护敏感信息,防止未经授权的披露或滥用。

NDA 的核心内容

  1. 当事人

    • 明确协议适用于哪些个人或组织(披露方和接受方)。
  2. 保密信息的定义

    • 说明哪些信息属于机密,例如:
      • 业务计划、财务数据
      • 客户名单、市场策略
      • 研发项目、专有技术
      • 代码、加密算法、安全策略
  3. 保密义务

    • 规定接受方如何保护信息,例如:
      • 不能私自分享或复制机密信息
      • 只能在授权范围内使用
      • 需要采取合理的安全措施(如加密、访问控制)
  4. 例外情况

    • 某些情况下信息可被披露,例如:
      • 法律要求(如法院传票)
      • 信息已公开或非保密信息
  5. 协议期限

    • 说明 NDA 的有效期,例如:
      • 一般为 2-5 年
      • 可能包括“持续有效”条款,即使合作结束仍需保密
  6. 违约责任

    • 规定违反 NDA 可能导致的后果,如:
      • 赔偿损失
      • 诉讼及法律责任

NDA 的应用场景

  • 公司内部:员工、顾问、承包商入职时签署,以保护公司机密信息。
  • 商业合作:企业在谈判或合作时签署,防止商业机密泄露。
  • 投资与并购:投资者或收购方在尽职调查期间访问机密信息时签署。
  • 安全领域:涉及敏感数据(如网络安全研究、漏洞披露)时,团队成员或外部合作方通常需签署 NDA。

UBA(User Behavior Analytics)和 UEBA(User and Entity Behavior Analytics)

UBA 和 UEBA 都是用于检测异常行为并增强安全防护的技术,主要用于检测内部威胁、账户泄露、恶意软件活动等安全事件。


UBA && UEBA

1. UBA(用户行为分析)

UBA(User Behavior Analytics,用户行为分析) 专注于分析 用户 的行为模式,识别异常或潜在威胁。

UBA 的核心功能

  • 用户基线建立
    • 通过机器学习建立每个用户的“正常行为模式”(如工作时间、登录地点、访问的系统等)。
  • 异常检测
    • 例如:
      • 账户突然在不常见的国家/地区登录
      • 非 IT 人员突然访问服务器或数据库
      • 平时只访问文档的员工,突然下载大量敏感数据
  • 内部威胁检测
    • 识别恶意内部人员、受感染账户、社工攻击等异常行为。

UBA 只关注用户行为,不分析设备、服务器或其他实体的行为。

2. UEBA(用户和实体行为分析)

UEBA(User and Entity Behavior Analytics) 是 UBA 的进阶版,不仅分析用户行为,还分析“实体”(Entity)的行为,例如:

  • 端点设备(如工作站、服务器)
  • 应用程序
  • 数据库
  • 网络设备(如防火墙、交换机)

UEBA 的增强功能

分析范围更广

  • 不仅监控用户,还监控设备、进程、流量等非人类行为。
    检测更加智能
  • 结合 AI/ML 发现复杂的攻击链,例如:
    • 恶意代码通过某台服务器横向移动
    • 某个 IoT 设备被入侵并开始扫描内部网络
      更强的关联分析
  • 结合 SIEM(安全信息与事件管理),跨多个数据源(日志、网络、端点)进行检测。

3. UBA vs. UEBA:主要区别

对比项UBA(用户行为分析)UEBA(用户和实体行为分析)
监控对象用户用户 + 设备 + 应用
目标检测用户异常行为监控整个 IT 环境的异常
数据来源登录、访问日志用户行为 + 端点、网络、服务器等
应用场景内部威胁检测复杂攻击链分析、APT 攻击

4. 典型应用场景

UBA

  • 监测员工数据泄露(如敏感文件被大规模下载)
  • 识别账户被劫持(如突然在深夜登录关键系统)
  • 发现社工攻击的受害者(如员工短时间内输入错误密码多次)

UEBA

  • 检测高级持续性威胁(APT),比如黑客横向移动
  • 监测 IoT 设备异常(如某台打印机突然发送大量数据)
  • 发现恶意软件攻击(如服务器进程异常访问外部 IP)

风险管理术语和概念

1. 风险(Risk)

风险 是指威胁(Threat)利用漏洞(Vulnerability)导致资产(Asset)损失的可能性。

示例:如果公司服务器有未修补的漏洞(Vulnerability),黑客可以利用该漏洞(Threat)进行攻击,导致数据泄露(Risk)。


2. 资产(Asset)

资产是对组织有价值的事物,包括:

  • 信息(数据、知识产权、机密文件)
  • IT 设备(服务器、网络设备、终端)
  • 人员(员工、客户、供应商)
  • 业务流程(运营、生产、销售)

示例:公司数据库存储客户信用卡信息,是一种高价值的资产


3. 威胁(Threat)

威胁是可能导致损害的潜在危险,可能来自:

  • 自然灾害(地震、洪水)
  • 人为行为(黑客攻击、内部人员泄密)
  • 系统故障(硬件损坏、软件漏洞)

示例:黑客组织对公司服务器发动 DDoS 攻击,属于一种威胁


4. 漏洞(Vulnerability)

漏洞是资产的弱点,可能被威胁利用,包括:

  • 技术漏洞(未修补的软件漏洞、弱密码)
  • 物理漏洞(未锁门的服务器机房)
  • 人员漏洞(社工攻击、缺乏安全意识)

示例:公司员工使用简单密码 “123456”,这是一个漏洞,可能被黑客暴力破解。


5. 控制(Control)/ 对策(Countermeasure)

控制是降低风险的措施,包括:

  • 技术控制(防火墙、入侵检测系统)
  • 管理控制(安全策略、培训)
  • 物理控制(门禁、摄像头)

示例:部署多因素认证(MFA)可以降低账户被盗的风险。


6. 风险评估(Risk Assessment)

风险评估是识别、分析和衡量风险的过程,主要包括:

  1. 识别资产(确定哪些资产需要保护)
  2. 识别威胁和漏洞(发现可能影响资产的风险)
  3. 评估影响(如果风险发生,会有什么后果?)
  4. 计算风险等级(定性/定量方法)

7. 风险分析方法

CISSP 主要采用两种风险分析方法:

定性风险分析(Qualitative Risk Analysis)

  • 依赖专家判断、经验、风险矩阵来评估风险等级(低、中、高)。
  • 快速,但不精确,适用于战略决策。

定量风险分析(Quantitative Risk Analysis)

  • 使用数学模型计算损失(如 $$)。
  • 主要指标:
    • SLE(单次损失预期值) = 资产价值 × 影响率
    • ARO(年发生率) = 一年内该事件可能发生的次数
    • ALE(年度损失预期值) = SLE × ARO

8. 风险处理策略

面对风险,组织可采取以下策略:

策略描述示例
规避(Avoidance)消除风险,不执行该活动停用易受攻击的软件
降低(Mitigation)减少风险影响部署防火墙、加密数据
转移(Transfer)转嫁风险给第三方购买网络安全保险
接受(Acceptance)接受风险并准备应对低影响风险无需处理

9. 残余风险(Residual Risk)

即使采取控制措施,仍然会有未消除的风险

示例:公司部署了入侵检测系统(IDS),但仍然可能遭遇零日攻击,这部分风险就是残余风险


10. 风险管理框架

CISSP 相关的风险管理框架包括:

  • NIST RMF(Risk Management Framework):美国政府机构广泛采用
  • ISO 31000:国际通用的风险管理标准
  • ISO 27005:专注于信息安全风险管理
  • OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation):组织内部风险评估方法

总结

术语含义
风险(Risk)资产、威胁和漏洞共同作用下的潜在损失
资产(Asset)需要保护的有价值资源
威胁(Threat)可能导致损害的事件或行为
漏洞(Vulnerability)资产的弱点,可能被威胁利用
控制(Control)用于降低风险的安全措施
风险评估(Risk Assessment)识别和分析风险的过程
SLE、ARO、ALE用于定量风险分析
规避、降低、转移、接受处理风险的方法
残余风险(Residual Risk)采取控制措施后仍然存在的风险

社会工程:钓鱼邮件前置词

前置词是在通信开头加一个标语。例如垃圾邮件、恶作剧、网络钓鱼。攻击者可以在攻击消息主题前加上RE:FW(分别表示关于、转发),让接收方误以为是先前的对话继续。通常还会包含"外部"、“私人”、“内部”。

前置词还可以欺骗过滤器。例如加上字段"X-Spam-Category:LEGIT" 或者 “X-Spam-Condition:SAFE”

鱼叉式网络钓鱼 Spear Phishing

鱼叉式网络钓鱼(Spear Phishing) 是一种 高度定制化的网络钓鱼攻击,针对特定个人、公司或组织 量身定制 欺骗性电子邮件,以窃取敏感信息、安装恶意软件,甚至执行更复杂的攻击(如 商业电子邮件诈骗 BEC)。

与**传统钓鱼(Phishing)**不同,鱼叉式钓鱼通常包含:

个性化信息(如姓名、职位、同事姓名、公司内部术语)。
伪造可信来源(如公司 IT 部门、供应商、银行或高管)。
诱骗目标点击恶意链接或附件,导致凭据泄露、木马感染等。

网络钓鲸 Whaling Phishing

网络钓鲸(Whaling Phishing) 是一种针对企业高层(如 CEO、CFO、CTO) 的高级钓鱼攻击。
它属于鱼叉式网络钓鱼(Spear Phishing) 的一种,但重点是攻击“重量级”目标(Whale),即 企业决策者、高管、董事会成员。

短信钓鱼 Smishing

短信钓鱼(Smishing, SMS Phishing) 是一种基于短信的社会工程攻击,攻击者通过伪造短信(SMS),诱导受害者点击恶意链接、下载恶意应用,或泄露敏感信息(如密码、银行卡信息)。
与传统网络钓鱼(Phishing)不同,Smishing 通过手机短信传播,通常针对移动设备用户!

语音网络钓鱼 Vishing

Vishing(Voice Phishing),即语音钓鱼,是一种利用电话或语音技术实施的社会工程攻击。攻击者伪装成银行、政府、IT 支持人员或公司高管,通过电话或 AI 语音诱导受害者泄露敏感信息、转账或执行恶意操作。
Vishing 利用人类对电话交流的信任,比电子邮件或短信更具欺骗性!

肩窥 Shoulder Surfing

肩窥(Shoulder Surfing) 是一种低技术含量的社会工程攻击,攻击者通过在受害者身后或侧面偷窥屏幕、键盘输入,获取敏感信息。这种攻击方式不依赖黑客技术,但仍然非常有效,特别是在公共场所(如咖啡厅、机场、公司开放办公区)。

发票诈骗 Invoice Fraud

发票诈骗(Invoice Fraud) 是一种基于社会工程的金融欺诈,攻击者伪造供应商或公司内部财务人员的身份,发送假冒发票,诱骗受害者支付款项到攻击者控制的银行账户。
典型目标:
企业财务人员(会计、财务主管)。
采购部门(供应链管理)。
CEO / 高管(攻击者可能直接伪装高管指示付款)。
假冒供应商(Vendor Impersonation)
攻击方式:
黑客通过社交工程或数据泄露获取真实供应商信息。
伪造供应商发票,使用与供应商极其相似的邮箱发送给财务部门。
提供虚假银行账户,诱骗财务人员付款。

尾随(Tailgating)和捎带(Piggybacking)

尾随(Tailgating) 是一种物理安全攻击,攻击者未经授权,紧跟在授权人员身后进入受限区域(如机房、办公室、数据中心)。

典型目标:

公司办公大楼(黑客伪装成员工进入企业内部)。
数据中心 / 机房(黑客潜入窃取服务器数据)。
机场 / 安保区(攻击者进入限制区域,绕过安检)。

Twitter 机房尾随攻击
2018 年,黑客尾随 Twitter 员工,未经授权进入服务器机房。
黑客插入恶意 USB,尝试植入后门。
企业发现后升级了门禁控制和安保监控。

垃圾箱搜寻(Dumpster Diving)

垃圾箱搜寻(Dumpster Diving) 是一种社会工程攻击,黑客从垃圾箱、废弃文件、电子垃圾中获取敏感信息,用于进一步的攻击,如身份盗窃、企业间谍、金融欺诈等。
目标信息可能包括:
纸质文件(机密合同、财务报表、员工名单)。
客户信息(信用卡信息、身份证复印件)。
电子垃圾(旧硬盘、USB 设备,可能存有敏感数据)。
企业邮件(包含内部流程、业务信息)。

误植域名(Typosquatting)URL 劫持

误植域名(Typosquatting),也称域名欺诈或URL 劫持(URL Hijacking),是网络钓鱼(Phishing)的一种形式。
攻击者注册与知名网站相似的域名,利用用户的拼写错误,引导他们访问伪造的网站,用于欺诈、恶意软件传播或数据窃取。

攻击方式示例攻击手法
拼写错误(Typo Errors)goolge.com(Google)利用常见拼写错误欺骗用户。
字符替换(Character Substitution)rnicrosoft.com(Microsoft)使用类似字符(rn vs. m)欺骗视觉认知。
额外字符(Additional Letters)faceboook.com(Facebook)在正确域名中增加一个字符,不易察觉。
缺少字符(Missing Letters)gogle.com(Google)移除一个字符,仍易读但是假网址。
不同 TLD(顶级域名变化)paypal.co(paypal.com)使用不同的域名后缀,如 .co.net 代替 .com
连字符欺骗(Hyphenation)microsoft-secure.com在品牌名称中插入连字符,伪装成官方网站。
国际化域名(IDN Homograph Attack)аpple.com(实际是 Cyrillic “а”)使用 Unicode 字符,使域名看起来与原始品牌相同。

影响力运动(Influence Operations, IO)

策略手段示例
虚假信息传播(Disinformation)制造并传播假新闻、篡改事实伪造政府声明,制造恐慌
操纵社交媒体(Social Media Manipulation)机器人账号、水军、带节奏假评论影响选举结果
心理战(Psychological Warfare)煽动恐惧、制造分裂突出负面新闻,削弱政府信任
深度伪造(Deepfake)AI 伪造视频、音频伪造领导人讲话,引发危机
搜索引擎优化攻击(SEO Poisoning)操控搜索结果,放大特定内容让假新闻排在 Google 搜索第一
社会工程(Social Engineering)影响个人或组织决策假冒记者,获取机密信息
经济胁迫(Economic Coercion)影响股市、操控舆论传播企业负面新闻,导致股价暴跌

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/34166.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

《计算机图形学》第二课笔记-----二维变换的推导

前言:为什么这么突兀的把这一节内容放在了第二课,第一是因为我急于求成,第二是因为这一章节太重要了,这几乎是二维三维变换的最核心的东西,理解了这一章节内容,后面的就会像打通了任督二脉一样,…

OTP单片机调试工具之—单线数据编码

OTP单片机调试工具在实现过程中离不开单线数据的传输,那么使用哪一种方式的数据编码会比较好呢? 我所了解的主要有以下三种: 1.UART(串口),这种方式在单片机和pc之间进行传输都非常常见,效率比较…

背诵--2

DAY01 面向对象回顾、继承、抽象类 学习目标 能够写出类的继承格式public class 子类 extends 父类{}public class Cat extends Animal{} 能够说出继承的特点子类继承父类,就会自动拥有父类非私有的成员 能够说出子类调用父类的成员特点1.子类有使用子类自己的2.子类没有使用…

穷举vs暴搜vs深搜vs回溯vs剪枝刷题 + 总结

文章目录 全排列题解代码 子集题解代码 总结 全排列 题目链接 题解 1. 画一颗决策树 2. 全局变量: int[ ][ ] ret:用于存结果的二维数组 int[ ] path:用于存每次路径的答案 bool[ ] check:判断这个数是否已经用过,…

深度学习中学习率调整策略

学习率衰减策略是深度学习优化过程中的一个关键因素,它决定了训练过程中学习率的调整方式,从而影响模型收敛的速度和效果。不同的衰减策略在不同的任务和模型上可能有不同的表现,下面从我用到过的几个衰减策略进行记录,后续慢慢跟…

《Electron 学习之旅:从入门到实践》

前言 Electron 简介 Electron 是由 GitHub 开发的一个开源框架,基于 Chromium 和 Node.js。 它允许开发者使用 Web 技术(HTML、CSS、JavaScript)构建跨平台的桌面应用程序。 Electron 的优势 跨平台:支持 Windows、macOS 和 Linux…

UBuntu24.04-JDK7-TOMCAT7安装

jdk7 apt-get 找不到。 tomcat7 也没找到。 以下是安装成功的,供大家参考。 1.JAVA openjdk-7-jdk /usr/lib/jvm/java-7-openjdk-amd641.安装指定版本apt search jdk //查找版本sudo apt install default-jdk //此为默认版本sudo apt install ope…

美畅物联丨WebRTC 技术详解:构建实时通信的数字桥梁

在互联网技术飞速发展的今天,实时通信已成为数字生活的核心需求。WebRTC作为一个开源项目,凭借卓越的技术实力与创新理念,为网页和移动应用带来了颠覆性的实时通信能力。它突破了传统通信方式的限制,实现了音频、视频和数据在用户…

驾驭 DeepSeek 科技之翼,翱翔现代学习新天际

在当今这个信息爆炸的时代,学习的方式和途径正在经历着前所未有的变革。人工智能技术的飞速发展,为我们的学习带来了全新的机遇和挑战。DeepSeek 作为一款强大的大语言模型,凭借其卓越的性能和丰富的功能,为现代学习注入了新的活力…

写时拷贝技术

目录 写时拷贝 核心思想 基本原理 基本过程 一个例子深入理解 补充知识--引用计数 小总结 写时拷贝实现 宏观理解(进程、线程角度) 资源共享 只读访问 写操作触发拷贝 独立修改 微观理解(fork系统调用角度) 进程创…

requests库的request和response对象的属性和方法

Python requests库 request 参数信息 response 参数信息

MySQL数据库操作

目录 SQL语句 1、SQL的背景 2、SQL的概念 SQL的分类 SQL的书写规范 MySQL数据库 1、MySQL数据库的编码 (1)utf8和utf8mb4的区别 (2)MySQL的字符集 (3)MySQL默认编码为 latin1 ,如何更改…

Blender-MCP服务源码5-BlenderSocket插件安装

Blender-MCP服务源码5-BlenderSocket插件安装 上一篇讲述了Blender是基于Socket进行本地和远程进行通讯,现在尝试将BlenderSocket插件安装到Blender中进行功能调试 1-核心知识点 将开发的BlenderSocket插件安装到Blender中 2-思路整理 1)将SocketServe…

Androidstudio实现一个app引导页(超详细)

文章目录 1. 功能需求2. 代码实现过程1. 创建布局文件2. 创建引导页的Adapter3. 实现引导页Activity4. 创建圆点指示器的Drawable5. 创建“立即体验”按钮的圆角背景 2.效果图 1. 功能需求 1、需要和原型图设计稿对应的元素保持一致的样式。 2、引导页需要隐藏导航栏&#xff…

蓝桥杯省赛真题C++B组-小球反弹

一、题目 有一长方形,长为 343720 单位长度,宽为 233333 单位长度。在其内部左上角顶点有一小球(无视其体积),其初速度如图所示且保持运动速率不变,分解到长宽两个方向上的速率之比为 dx:dy 15:17。小球碰到长方形的边框时会发生…

基于深度学习的多模态人脸情绪识别研究与实现(视频+图像+语音)

这是一个结合图像和音频的情绪识别系统,从架构、数据准备、模型实现、训练等。包括数据收集、预处理、模型训练、融合方法、部署优化等全流程。确定完整系统的组成部分:数据收集与处理、模型设计与训练、多模态融合、系统集成、部署优化、用户界面等。详…

AI 数字人短视频源码开发:开启虚拟世界的创意引擎

在当今数字化浪潮中,AI 数字人正以惊人的速度融入我们的生活,尤其是在短视频领域,AI 数字人凭借其独特的魅力吸引了无数目光。从虚拟偶像的舞台表演到智能客服的贴心服务,AI 数字人已成为推动短视频行业创新发展的重要力量。而这背…

Java 代理模式:从静态代理到动态代理

前言 代理模式是 Java 中常见的设计模式之一,它的核心思想是通过一个代理对象来控制对真实对象的访问。代理模式不仅可以扩展目标对象的功能,而且在不修改原目标对象的情况下,可以增加一些我们自定义的操作。 1. 代理模式简介 代理模式的核心…

PyCharm 2019.1.3使用python3.9创建虚拟环境setuptools-40.8.0报错处理

目录 前置: 一劳永逸方法(缺最后一步,没有成行) step one: 下载高版本的pip、setuptools、virtualenv的tar.gz包 step two: 进入PyCharm安装目录的 helpers 目录下 step three: 下载并安装grep和sed命令,然后执行 …

word处理控件Aspose.Words教程:使用 Python 删除 Word 中的空白页

Aspose.Words 是一种高级Word文档处理API,用于执行各种文档管理和操作任务。API支持生成,修改,转换,呈现和打印文档,而无需在跨平台应用程序中直接使用Microsoft Word。 Aspose API支持流行文件格式处理,并…