一起聊聊:那些让安全工程师抓狂的逗比用户

时间:2015-4-3    作者:晨曦    分类:


文章所述均基于真实故事。不过为了避免主人公在公众面前出丑,文章处理了他们的身份。如有雷同,绝非巧合。

我和我的小伙伴们都惊呆了



作为一名安全专家,有时候你只能双手捂脸痛哭;不过有时候人们干的那些将企业置于风险境地的事儿又会让你惊得下巴都能掉下来。下面就是这样一些基于真实生活的场景。



(1)试试开机?







有一天,我不小心偷听到技术支持接听的一通电话,我很诧异这个小伙(内部员工)为什么对技术支持一顿狂吼加狂虐。于是,我插手此事并试着救场。我大概查看了下小伙那台不会启动的台式电脑有什么问题。他确信自己被黑了。然后他说显示器的电源指示灯是黄色的。我顿了顿,深吸一口气,然后问他电脑上的灯是什么颜色。他回答说“那儿没你说的破灯。”我让他把电脑打开。这次轮到他愣神了……他清了清喉咙……对我们表示感谢然后把电话挂了。随后他跟HR童鞋进行了一次促膝长谈。



(2)至少他们没把“password”当密码







一次,一个调查小组通知用户说他的账户可能已经被攻陷了,有人知道了他的密码,所以他需要改一下,这哥们儿听倒是听了,但效果却不敢让人恭维。比如说他的密码是trustno1,你猜怎么着,他改成了trustno2。就好像窃取他密码的黑客智商不够不会尝试大一个的数字似的。这里给大家提个醒儿:黑客一般都非常聪明,而且也够聪明,所以能想到尝试所有此类变化。



(3)是谁把邮件隔离的?







曾经有一次,我们公司成了一次钓鱼攻击的靶子,于是我们跟员工做了很多沟通,通知他们在点击链接时一定要小心。同时我们启动了邮件过滤工具确保这些钓鱼邮件被隔离。但我们就有这样一个用户,他进入隔离邮箱并提取出了邮件,之后回到收件箱,目的就是能点击到这个链接......然后,他用恶意软件感染了自己的机器。



(4)我赢了,我赢了……但却丢掉了工作







我们之前的一名系统管理员想通过提交在线技术视频赢得1000美元的奖金。所以他举着一台摄像机到了安全数据中心然后录制了客户非常敏感的设备信息。后来客户打电话报告说他们在网上看到了自己的信息。要揪出制作视频的人并不难。于是这名系统管理员损失了一个9万美元的工作,虽然赢取了1000美元的奖励!



(5)我只不过是想把USB放到一个安全的地方







公司规定,不准将敏感的公司数据复制到非公司系统中。我们发现一名经理将敏感数据拷到了个人USB设备。她说自己需要给数据做个备份,以防在旅行时汽车里的笔记本电脑丢失/或被盗。我问她把USB放办公室了还是家里。她回答说,“都没有”,她把USB放到了电脑包里,还是跟笔记本放在一起!窃贼(最有可能的场景)有可能也把USB盗走啊!啊!啊!



(6)扔掉新员工?







从前公司有个经理,在入职第二天在公司电脑上安装了Dropbox并同步了之前公司的敏感专利信息。这种做法违背了公司原则,而且有可能将我们送上法庭!



(7)跳窗而出







一名准备离职的员工决定拿走客户数据。他将大量数据拷贝到一个USB中。公司的DLP截获了这批数据并在他的电脑屏幕上发了一条信息,告知他关于使用USB的规定。这哥们儿吓晕了,直接将USB扔到了窗外!后来公司再也没找着那个USB,而且很不幸,这是一次数据泄露事故。



(8)安全的Wi-Fi







一名公司经理解释,类似说他的无线流量是被加密的,原因是使用密码才能连接Wi-Fi!



(9)家里有这个程序,为啥不给自己发?







一名合规员工无法打开包含50万信用卡数据的文件。想起自己在家的电脑程序可以打开文件,她把邮件给自己发了一份。



(10)永远别信任老丈人/丈母娘!







一家公司的CEO收到一份邮件,还以为是老丈人/丈母娘发来的。他打开一看才发现是钓鱼信息,拿走了他的Google凭证然后钓鱼公司的另外一名CEO。当Google提醒他再次认证时他并没有感到奇怪。钓鱼分子后来尝试诱骗CEO的助手给某账户转一笔钱。

评论:

路易大叔 2015-04-03 15:18
用户都是小白