第6卷 第2期 2021 年 3 月 信 息 安 全 学 报 Vol. 6 No. 2 Journal of Cyber Security March, 2021 社工概念演化分析 王作广 1,2, 朱红松 1,2, 孙利民 1,2 1 2 中国科学院大学 网络空间安全学院 北京 中国 100049 中国科学院信息工程研究所 物联网信息安全技术北京市重点实验室 北京 中国 100093 摘要 社工是黑客社区一种非常流行的攻击方法, 对网络空间安全造成了严重的危害。然而, 社工的概念定义作为理解社工威 胁、开展社工研究的基础, 却并不一致、明晰, 而且随着概念的演化逐渐显现模糊、泛化、消解的趋势, 影响社工安全研究与防 护工作的开展。本文对社工概念演化进行了体系化的研究, 同时也分析了社工攻击威胁的特性及态势, 梳理了社工实现方式/技 术的发展和趋势, 总结了社工概念定义存在的问题及面临的挑战, 并对社工概念重新定义问题进行了讨论, 以期为社工安全研 究提供参考、促进社工安全防护研究。 关键词 社会工程学/社交工程/社工; 概念; 演化; 定义; 安全; 威胁; 攻击; 防护 中图法分类号 TN915.08 DOI 号 10.19363/J.cnki.cn10-1380/tn.2021.03.02 m o .c The Concept Evolution Analysis of Social Engineering 5 b WANG Zuoguang1,2, ZHU Hongsong1,2, SUN Limin1,2 2 1 School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China Beijing Key Laboratory of IoT Information Security Technology, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China u th Abstract Social engineering is a very popular attack in the hacker community, and has brought severe damage to cyber security. However, the concept of social engineering is not consistent and clear, despite its fundamental role in social engineering research. Furthermore, there is a tendency to be obscure, overgeneralize and decompose in the concept evolution of the social engineering. These phenomena impede the security research and defense on social engineering. This paper studies the concept evolution of social engineering, and analyzes the problems and challenges faced by the concept. It ends with a discussion on the concept redefinition, to promote the future research on social engineering. Key words 1 引言 1.1 i g social engineering; concept; evolution; definition; security; threat; attack; defense 领域界定与术语使用说明 迄今为止, Social Engineering 主要有两个不同领 域的概念。 在社会科学领域, Social Engineering 通常被译作 “社会工程”。社会工程是解决社会问题的工程技术, 是改造社会、建设社会和管理社会的科学体系, 如降 低社会运行成本、规范社会活动、提高工作效率、 控制社会发展风险, 并对社会的发展进行预测、规 划、设计和评估等[1]。社会工程师(Social Engineer) 就是处理社会问题的个人或群体。 社会工作者(Social Worker), 有时也简称“社工”, 是指在社会福利、社会救助、社会慈善、残障康复、 优抚安置、医疗卫生、青少年服务、司法矫治等社 会服务机构中从事社会服务工作的专业技术人员。 在网络空间安全领域, Social Engineering 在国内 通常翻译最多的为“社会工程学”“社交工程”“社 会工程” “社工”等名词。其中“社会工程学”作为 传统字面翻译一直被国内沿用下来, 而“社交工程” 的翻译则从字面直接体现了社交互动的一面。 为交流的方便性与意涵的全面性起见, 本文统 一采用 Social Engineering 的中文翻译简写“社工” 进行论述, 特殊之处仍用英文原词“Social Engineering”或其简写“SE”进行论述。 “Social Engineer” 译作“社工师”, 意指实施社工攻击的攻击者。正文 中无特别指明处, “社工”均指网络空间安全范畴中 的 Social Engineering 概念, 而非社会科学领域中社 通讯作者: 朱红松, 博士, 研究员, Email: zhuhongsong@iie.ac.cn。 本课题得到国家重点研发计划(No.2017YFB0802804); 自然基金青年项目(No.61702503)资助。 收稿日期: 2019-03-19; 录用日期: 2019-04-23; 定稿日期: 2020-12-21 13 王作广 等: 社工概念演化分析 会工作者的简称。 1.2 研究问题与论文结构 社工在全球信息安全史上已成为一种严重的现 象 , 构成了人、机、物全方位、多层次安全威胁态 势, 但社工安全威胁却并没有引起工业界和学术界 应有的关注和研究。在现实生活中, 社工作为黑客社 区非常流行的攻击手段, 社工威胁的却被多数人忽 视, 这持续增加了个人和组织遭受社工攻击的风险。 社工作为一种或一类网络空间安全攻击方法, 其大致的概念是“使用影响和说服, 通过让人们相信 社工师所冒充的身份或通过操纵来欺骗人们, 利用 人来获取信息”[3]。这里之所以称其为“大致的概念”, 是因为社工在黑客社区和学术研究领域, 至今并没 有一个清晰精确、普遍接受的概念定义。而且根据 本文的分析, 随着概念的演化, 各种各样的社工概 念被描述, 其中一些概念是不一致、甚至矛盾的, 与 此同时, 一些非社工攻击方法不断被涵盖形成对社 工概念的侵蚀。社工概念逐渐呈现出模糊、泛化、 消解的趋势。 这种现状和趋势严重影响了社工现象的理解、 社工攻击事件的分析、社工安全研究与交流、社工 防护工作的开展。 为此, 本文在第 2 章中对社工威胁的特性和现 状进行了分析总结, 以期唤醒用户对社工威胁的安 全意识, 引起工业界和学术界对社工安全领域的关 注; 第 3 章通过文献调查研究, 追溯“Social Engineering”术语和概念的起源, 对社工概念的演化、特 点和问题等进行了体系化的分析; 第 4 章总结了当 前社工概念存在的问题和面临的挑战, 并对重新定 义社工概念进行了讨论; 第 5 章对全文做了总结。 [2] 别是对于大型组织中: 在过去的两年中有 48%的大 公司和 32%的全部规模公司都经历超过 25 次的社 工攻击, 将近 1/3 的大公司表示每个社工攻击事件 的损失超过 10 万美元。文献[5-6]显示 2016~2018 年期间组织每年面临最多的安全威胁是社工攻击。 文献[7]调查显示, 2018 年 85%的组织都经历过社工 攻击, 比一年前增加了 16%, 2018 年每个组织平 均由社工攻击造成的损失已经超过 140 万美元, 比 上年增长了 8%。社工攻击已经形成了越来越严重 的安全威胁。 另外, 安全技术的发展和和网络防护应用的改 进成为黑客攻击的障碍, 攻击者利用技术上的漏洞 变得越来越困难。社工作为一种绕过性的攻击方法, 通常并不与防御措施正面对抗, 而是利用人这个安 全链中的薄弱环节达成目的。而且从技术上讲社工 攻击的实施可能非常简单 [8], 有时可能只需要打一 个电话冒充一个内部人就能套取想要的信息, 随着 社工工具的传播和社工攻击的进化, 更自动、更高级 的社工已经成为可能。社工攻击的这种绕过性与简 易性可能吸引更多的攻击者, 导致更多的社工攻击 事件, 加重社工威胁的态势。 u th 5 b i g 2 社工攻击威胁特性与现状 从社工威胁影响的视角来看, 社工威胁具有严 重性、普遍性、持续性等特点。然而, 在用户和防护 应用视角下, 社工风险经常被组织和用户忽略和低 估, 而且缺少安全研究的关注和防护应用的投入。而 在攻击者看来, 社工攻击是一种低投入、高回报、低 风险、简单易用、难防御的, 具有绕过性、高效性、 普适性等特点的攻击方法(章节 3.5), 是许多场景下 优选的攻击手段。 2.1 社工是严重、普遍、持续的网络安全威胁 2.1.1 社工威胁的严重性与增长性 文献[4]在 2011 年对在美国、英国、加拿大、澳 大利亚、新西兰和德国的 853 名 IT 专业人员进行的 全球调查显示, 社工攻击造成的损失非常严重, 特 m o .c 2.1.2 社工威胁的普遍性 社工威胁的普遍性源自网络安全中人因素 (Human Factor)的不可避免性。任何计算机系统, 无 论设计和安全设置多么好, 没有一个是不依赖于人 的。这种普遍存在的人因素不仅是脆弱的, 而且它脆 弱到损害大多数其他安全措施的程度[9]。这意味着这 个安全弱点是普遍的, 是独立于平台、软件、网络、 或设备年代的, 社工关注的就是网络安全链中人这 个最薄弱的环节。 Kevin 在 RSA 会议上曾说, “你可以花一大笔 钱从 RSA 会议的每个参展商、发言人和赞助商那里 购买技术和服务, 但你的网络基础设施仍然很容易 受到老式操纵的影响”[10]。经常有观点认为不插电 的计算机是唯一安全的计算机, 事实上你可以说服 一个人插电并开机,