吴蕴喆 周熙

苏州高新有轨电车培训学院 江苏 苏州 215000

1 常规渗透的形式

渗透的主要目的，是通过搭建带有目的性的人际关系网，获取重要信息，为后续的入侵提供可靠的情报支撑。目前针对企业的渗透形式有伪造身份的物理渗透、通过操控员工完成的渗透和非交互式渗透三种，以下将对上述渗透行为做出分析。

（1）伪造身份的物理渗透。常见的形式为冒充可以直接访问企业关键设备和具有内网访问权限的设备供应商人员，对目标企业网络进行渗透;该手法利用收集到的信息，分析供应商人员的行为，并使用真实事件对目标企业进行误导，在取得目标公司人员的信任后，通过对目标设备直接操作或执行后台程序，实现对目标的渗透和信息收集。

（2）通过操控雇员完成的渗透。此类渗透是由外部渗透团队和企业内部被渗透人员共同完成，受其性质的影响，可分为主动配合的和无意识配合两种。

主动配合是指由内部雇员发起的，通过主动提供公司内部网络的登陆及访问权限及公司关键情报和资料，以报复公司或获取利益为目的，其常用手法包括拷贝重要数据资料、发送邮件、对关键资料进行拍照或拍摄带涉密视频，并将其发送给渗透人员的行为。

无意识的作案是指受到误导或由于知识结构缺陷，在自身不知情的情况下访问鱼网站、邮件，与社交软件中所谓的同事或朋友进行聊天，或将不可靠的设备接入公司内部网络，导致攻击者通过间接的方式获得对公司网络的访问权限，并以此为基础进行横向渗透，从而开展信息收集的行为，这种行为本身不存在主观性，但因不知情而具有极强的隐蔽性[1]。

（3）非交互式渗透。非交互式渗透包含利用人性漏洞和网上信息收集两种攻击手法；利用人性漏洞是指攻击者利用人性的缺陷，通过对目标人员赠送带有后门的电子设备终端或存储介质或设备，或者通过故意遗弃设备的行为，通过人性漏洞（占有欲），实现在非干预的情况下，由目标人员造成的渗透。该攻击具有高度的隐蔽性和不可追踪性，且当安全公司介入时，也只能追踪到造成信息泄露的设备，且无法进行进一步的追踪。网上信息收集是利用信息泛化的特性，通过网上披露的信息，对其进行收集整理，并以此为跳板，通过钓鱼邮件或远程入侵目标服务器，实现渗透的目的。

2 新技术下的渗透形式

新技术下的渗透，是指利用最新的技术产物与传统渗透相结合，从而产生足以改变原有形式，提高渗透成功率并增加企业防范难度的手段。如近期出现的高仿人类面具，因其制作的紧密性和良好的拟态性，当运用于社工时，则有可能出现以下情况：

（1）针对目标身份的精确模拟。当高仿人脸应用于社会工程学时，将直接改变原有的渗透规则，只需收集特定人员的面部信息，通过制作与之脸部特征完全一致的高仿面具，就能实现对特定人员的面部模拟，该手法可以大幅增加目标单位人员的信任度，并让对方无法起疑心，同时配合社工的使用，以达到渗透的目的，因其特有的欺骗性，可避免在后期取证中，因暴露在监控和目击者环境下的产生的风险[2]。

（2）针对监控设备的身份逃逸。针对监控设备的逃逸是指在进行渗透期间，利用高仿人脸面具，对企业所安装的监控设备进行欺骗。受制于当前监控技术的水平，最先进的监控系统仅能做到对人脸特征的识别，但因无法对面部的生物特征进行识别，所以即使遭到拍摄，也会因无法抓取真实的人脸信息造成身份逃逸，从而增加后期取证的难度。

3 针对社工渗透的防御策略

由于技术的不断迭代，社工的渗透手法得到高新技术的不断加持且隐蔽性逐渐增强，而高仿人脸面具作为新崛起的技术，因其具备的高拟态性和欺骗性，未来可能成为社工渗透中的一种手段，因此，针对传统社工渗透和新技术加持下的渗透，可以采用以下对策：

（1）采用生物认证机制。生物认证机制指针对眼部虹膜特征的验证、指纹和声纹的验证，由于其特殊性，虹膜、声纹验证具有不可复制的自然属性，因此可信度非常高，具有抗身份伪装能力，且现有的高仿人脸面具制作技术无法实现对声纹、虹膜特征的还原，因此，可以通过采集相关人员、供应商人员的生物信息，建立虹膜、声纹特征库的办法，对机房和限制区域采取先验证后放行的策略，可有效杜绝社工人员通过物理手法对相关设备进行渗透可能[3]。

（2）二次身份确认制度。由于社工技术的特殊性，因此在面对面的过程中，对实体身份的二次确认会非常的重要，由于传统的二次确认方法无法对佩戴高仿人脸面具的人员进行有效身份确认，因此在进行现场身份真实性确认时，因突破传统手法，采取直接对个人进行确认的办法，包括直接对个人采取现场电话呼叫确认、使用约定的暗号、佩戴不同的特使识别物的办法，实现对身份的确认。若出现委托第三人来访的情况，可要求对方配合进行多方身份验证，从而杜绝因认知偏差导致的身份误判。

（3）综合手段提高安全。通过邀请第三方安全公司对企业进行渗透测试，找出存在的漏洞和薄弱环节，同时加强对雇员安全意识的宣传和再教育，消除因不同岗位，学历人员之间的认知偏差，建立统一的、完善的安全认知体系，此外还需从公司制度入手，规范访客、身份查验制度，完善网络区域建设和访问权限划分，从根本上杜绝渗透带来的破坏[4]。由于社会工程学的复杂性和特殊性，相比后期的排查，预防性手段可以在很大程度上杜绝因渗透造成的信息外泄和损失，并杜绝由此浪费的人力、物理成本，只有重视系统安全的重要性，不断完善、优化体制建设，实现规范化、标准化的操作流程，才能保证企业的信息安全。