Cybersec Wednesday|避免從招聘廣告透露你的公司保安系統
公司購買網絡防護設備,目的是為了守護公司的系統。一個專業網絡保安人員,是絕對不會向外界透露防護設備的品牌和公司的設備在哪一個數據中心。試想想為甚麼數據中心不容許拍照?為甚麼有工程師會因為在數據中心自拍而受到懲罰?因為相片所拍到公司設備的品牌,對黑客而言是一個很重要的資訊。除了設備外,相片如果透露了真實位置也是很危險的。根據 RFC1876 所提到,高精確度的位置信息可用於計劃物理安全的滲透,從而導致潛在的阻斷機器攻擊。為了避免向潛在攻擊者推薦這種方法,所以 DNS 不會留有機器真實位置的紀錄。
至於設備的品牌,即或你能守口如瓶,但卻有一些公司在一個不起眼的地方,把自己的防護設備徹底透露,那就是招聘廣告。試過在好幾家著名企業的招聘廣告上看到,為了精準地招募到合適的員工,就直接把公司所用的設備品牌,甚至是哪個系列也在招聘內容顯示出來。
以下是一個例子
要勝任該職位,您必須:
- 能夠在沒有直接監督的情況下同時處理多個複雜項目和任務;
- 能寫出包含清晰、準確描述性語言的文章;
- 具有基礎設施實施/管理、服務/運營管理等方面的經驗;
- 保持對相關新技術和新興技術的認識;
- 深入了解網絡概念,包括物聯網、IPv4 和 IPv6 以及如何在安全產品集中進行部署和配置。
- 具備操作以下系統的技術要求:
- [品牌名稱1] 防火牆
- [品牌名稱2] 防火牆自動化平台
- [品牌名稱3] 雲安全
- [品牌名稱4]SD-WAN
- [品牌名稱5] 驗証系統
- [品牌名稱6] VPN 技術
由以上的招聘廣告可見,基本這間公司由雲端到地上的設備都透露得一清二楚,甚至你用甚麼 VPN 也讓人知道。這個招聘廣告差不多是這個公司的網絡拓樸的縮影。要知道每個品牌都會有被發現漏洞的時侯。黑客可以把握這個時機去出手,或主動去尋找你現在用的設備有甚麼漏洞去進行測試並攻擊。有品牌,甚至系列名稱,真的不難去找漏洞。
HR 部門未必有這個意識去避開這個潛在陷阱,但一般情況下,招募新員工,尤其是網絡保安工作的內容介紹,應該是由網絡安全部門的管理層審批過才會發怖。所以真的要用心考慮是否需要在招聘廣告上把品牌名稱說出來,或許你只要求應聘者需要具備設置防火牆的經驗,其他的就透過面試來考核吧。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
