根據(jù)從事社會工程攻擊研究的安全專家表示，社會工程攻擊和其他滲透測試技術(shù)經(jīng)常讓受害者感覺他們被欺騙或者受到背叛。如果企業(yè)IT安全團隊能對用戶進行有效的安全意識培訓，有助于企業(yè)中形成一種安全意識文化，從而抵御社會工程攻擊。

專業(yè)信息保險公司高級信息保障分析師James Philput表示，有效的溝通是部署社會工程培訓的核心。IT團隊都知道，在企業(yè)內(nèi)部廣泛部署的軟件中往往存在漏洞，并且這些漏洞是可編寫腳本的、容易被利用的，可能導致嚴重問題。安全行業(yè)面臨的最大問題之一是找出一種方法，讓這些問題的結(jié)果與用戶相關(guān)。

“你站在那里對用戶說，攻擊者可能會入侵，拿走你所有的東西，毀了你的計算機，或者讓你的電腦崩潰，用戶都會無動于衷，”Philput表示，“你必須想辦法提高這些問題對用戶的重要性。”

Philput將會在拉斯維加斯舉行的2012年黑帽簡報中發(fā)表演講，解釋如何與高層管理人員溝通社會工程測試的必要，以及如何有效地部署它們來建立關(guān)系，而不是破壞關(guān)系。Philput表示：“我希望這將為信息安全團隊提供一種更積極的方式——用他們的技能幫助提高企業(yè)整體安全性。同時，與他們所保護的企業(yè)建立更好的關(guān)系。”

社會工程測試往往涉及模擬釣魚電子郵件;滲透測試者還可以故意丟失USB驅(qū)動器，誘使員工將其連接到計算機，而員工往往會做出錯誤的判斷;一些安全團隊還會通過模擬電話來測試員工——假裝成業(yè)務(wù)合作伙伴的遠程員工或者代表，需要盡快解決某個問題。

Philput表示，釣魚郵件是最便宜的測試選擇，也最容易追蹤。此外，這些演習可以替代網(wǎng)上培訓課程。隨著時間的推移，安全團隊將可以判斷哪些員工或者哪些部門需要額外的培訓。

Philput表示，IT團隊在開始測試計劃之前，他們應(yīng)該評估已經(jīng)部署的政策，以及確定他們是否已經(jīng)與員工進行了有效地溝通。其次，企業(yè)應(yīng)該定期告知員工，測試可能隨時進行，這樣做能夠避免員工產(chǎn)生“被坑”的負面抵制情緒。最后，對通過測試的員工進行獎勵，同時，將錯誤判斷作為學習經(jīng)驗。

社會工程演習是非常有效的，尤其是在沒有明確安全方向或者信息安全培訓計劃的企業(yè)。重要一步是正確地設(shè)計培訓，以及向員工進行培訓。Philput表示，“如果沒有以合適的方式進行培訓，將不會產(chǎn)生任何影響，也不會有任何效果。最糟糕的用戶意識培訓是每年在線提供的培訓。最終用戶會匆忙地閱過培訓內(nèi)容，并且，Philput還在一些企業(yè)看到用戶對不同的選擇題復制相同的答案。”

“我看過的最好的用戶意識培訓，同時也是最難實施的培訓，是一名信息安全團隊成員對30到60名用戶組進行的培訓，”Philput表示，“這能夠拉近信息安全人員及他們保護的員工之間的距離。有時候終端用戶會提出一些基本的問題，有時候會提出一些很精彩的問題。通過這種方式，我發(fā)現(xiàn)社會工程攻擊減少了很多，因為當用戶懷疑出現(xiàn)問題時，他們更愿意聯(lián)系安全人員。”