【TechTarget中国原创】问:社会工程应该是渗透测试的一部分吗?这样做是道德的吗?
答:这个问题的答案还在争论之中。以下尽量不偏颇地列出对这个尴尬问题的双方的观点。然后,我会谈一下我的意见。
有些安全专家坚决认为社会工厂测试不应该成为渗透测试的一部分。原因是安全人员需要对企业的所有员工都非常信任。
如果没有这种信任,这些员工可能会忽视在渗透测试中的社会工程演习一部分的欺骗他们的人提出的建议。更糟的是,在这种测试中发现的缺乏良好的安全实践的员工可能会被动或者主动地破坏他们的安全主动性,并对整个企业的安全状况的改善带来不利影响。
在这个问题的另一个方面,有些人认为确保员工理解并遵守安全实践至关重要,不必企业的技术结构和配置的重要性低。即使有完美的安全技术(而这是不存在的),不遵守可靠的安全实践的用户可能会破坏整个企业。而且如果员工的做法没有标准,如何决定他们是不是合适呢?最好的安全测量的方法之一就是对目标企业进行等级式的社会工程攻击,来看看他们如何反应。这样的测试对员工的行为必调查或者测验有了更好的实际的了解,在调查或者测验中,员工的反应总是像他们是模范市民。
虽然我对双方的观点都很尊重,但是我更赞同第二种观点。社会工程测试具有很高的启迪作用,可以揭示目标企业的安全意识中的不足。具体的发现可以帮助企业以更快更划算的方式建立更好的安全意识。但是,这样的测试的进行必须要极端关注和专业精神。在开始任何社会工程测试之前,都要确定:
- 列出测试的内容,并创建具体的测试假象脚本。
- 确定管理层预先同意在最后的报告中不提及具体的员工姓名,测试应该关注确定企业中的漏洞,以及对员工整体改善的建议,而不是查找有问题的个人。
- 记录测试中的所有的交互动作,但是不再最后的报告中包括员工姓名。
- 考虑企业是否具有管理这种测试的专业技术,或者还是应该雇佣第三方。