Cybersec Wednesday|避免从招聘广告透露你的公司保安系统
公司购买网络防护设备,目的是为了守护公司的系统。一个专业网络保安人员,是绝对不会向外界透露防护设备的品牌和公司的设备在哪一个数据中心。试想想为甚么数据中心不容许拍照?为甚么有工程师会因为在数据中心自拍而受到惩罚?因为相片所拍到公司设备的品牌,对黑客而言是一个很重要的资讯。除了设备外,相片如果透露了真实位置也是很危险的。根据 RFC1876 所提到,高精确度的位置信息可用于计划物理安全的渗透,从而导致潜在的阻断机器攻击。为了避免向潜在攻击者推荐这种方法,所以 DNS 不会留有机器真实位置的纪录。
至于设备的品牌,即或你能守口如瓶,但却有一些公司在一个不起眼的地方,把自己的防护设备彻底透露,那就是招聘广告。试过在好几家著名企业的招聘广告上看到,为了精准地招募到合适的员工,就直接把公司所用的设备品牌,甚至是哪个系列也在招聘内容显示出来。
以下是一个例子
要胜任该职位,您必须:
- 能够在没有直接监督的情况下同时处理多个复杂项目和任务;
- 能写出包含清晰、准确描述性语言的文章;
- 具有基础设施实施/管理、服务/运营管理等方面的经验;
- 保持对相关新技术和新兴技术的认识;
- 深入了解网络概念,包括物联网、IPv4 和 IPv6 以及如何在安全产品集中进行部署和配置。
- 具备操作以下系统的技术要求:
- [品牌名称1] 防火墙
- [品牌名称2] 防火墙自动化平台
- [品牌名称3] 云安全
- [品牌名称4]SD-WAN
- [品牌名称5] 验证系统
- [品牌名称6] VPN 技术
由以上的招聘广告可见,基本这间公司由云端到地上的设备都透露得一清二楚,甚至你用甚么 VPN 也让人知道。这个招聘广告差不多是这个公司的网络拓朴的缩影。要知道每个品牌都会有被发现漏洞的时侯。黑客可以把握这个时机去出手,或主动去寻找你现在用的设备有甚么漏洞去进行测试并攻击。有品牌,甚至系列名称,真的不难去找漏洞。
HR 部门未必有这个意识去避开这个潜在陷阱,但一般情况下,招募新员工,尤其是网络保安工作的内容介绍,应该是由网络安全部门的管理层审批过才会发怖。所以真的要用心考虑是否需要在招聘广告上把品牌名称说出来,或许你只要求应聘者需要具备设置防火墙的经验,其他的就透过面试来考核吧。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
