Qcon上海2014

无意的内部威胁:社会工程

讲师: 
所属专题: 

内部威胁被认为是计算机和组织安全专业人员的重大安全隐患,其中超过40%的报告说,他们最大的安全威胁是员工通过数据泄露或类似的错误意外地危及安全。由CERT?内部威胁团队卡耐基梅隆大学软件工程研究所先前的一份报告的一部分提供了无意内部威胁(UIT)问题的初步审查,包括UIT的业务定义,可能的原因和影响因素的相关研究,并报告UIT在多种类型中出现次数的频率的评价。

这项工作的初期为政府和行业的利益相关者传达了有关问题及其潜在的原因,并指导研究与开发(R&D)投资,向高优先级的R&D投资打击UIT。目前的努力旨在推动我们通过专注于设计社会工程的UIT事件因素导致的对UIT的理解。

该项目的目标是收集更多UIT的事件数据来建立一套社会工程案例被添加到CERT部门之管理和内部威胁风险教育(MERIT)数据库(称为内部威胁数据库),并分析UIT的案件,以找出可能的行为和技术形态和前体,尤其侧重于社会工程的情况。我们希望这项研究会告诉UIT缓解战略今后的研究和发展。

文档研究旨在推进源于社会工程的无意内部威胁(UIT)的理解。本研究的目标是收集更多的UIT的社会工程事件数据构建一套针对内部威胁(MERIT)数据库的风险管理和教育案例,并分析这些案件,以确定可能的行为和技术模式和前体。作者希望这项研究能够对未来研究和发展UIT的缓解策略。

自由咨询顾问

樊山,国家信息安全测评中心认证信息安全工程师(CISP)、国家信息安全测评中心认证CISP讲师(CISI)、OWASP中国高级会员、国家认证认可监督管理委员会检查机构资质认定内审员,实验室资质认定内审员,ISO 27001内审员,国内早期声像资料司法鉴定员(电子数据鉴定),广东信息安全自由技术论坛发起人。

先后任职于广东省计算机信息网络安全协会培训部主管、广州市计算机信息网络安全协会技术服务部部长、广东中证声响资料司法鉴定所副所长、广州天网安系统集成有限公司技术总监、深圳市汇安科技有限公司技术总监等职,现为自由咨询顾问,受聘于多家信息安全公司顾问及国内多10余家培训机构讲师。

常年为通信、政府、金融、能源、军工、其他企事业单位实施信息安全规划设计、信息安全风险评估、信息安全管理体系(ISMS)建设,IS审计,计算机入侵取证于分析、培训等工作,先后编写广东省公安厅计算机安全教材《计算机信息网络安全教程》、《广州市计算机信息网络安全普及读本》、《信息安全等级保护基础教程》、《信息网络法律法规基础教程》,通用信息安全材料读本《企业信息安全指南 V1.0》、《信息安全审计与风险评估》,翻译OWASP Project AntiSamy Java、ESAPI、Owasp-ciso-guide、CISO 2014调查表以及美国CERT多篇技术文章:管理企业安全实施指南(GES)、企业安全管理实施指南等及多套BCM、ISMS及ITIL相关文档工具等。承担多套行业信息安全标准的修订工作。