1.1. Mitigation and Prevention Plan

1.2. 一开始你可能会没有信心，实际上你可以塑造出一种重视安全意识的文化

1.3. 第1步：学会识别社会工程攻击

1.3.1. 首先要学会识别和了解这些攻击，这样你的团队就已经高于平均水平了

1.3.2. 电子邮件可以用来入侵整个公司

1.3.3. 电话可以用来获取密码和其他敏感信息

1.3.4. 如果他们的移动设备被黑客控制了，就能用于攻击他们的家庭网络和工作网络

1.3.5. 不能因为对方面带微笑、态度友好和善，就忽视了我们的通行证使用守则

1.4. 第2步：制定切实可行的政策

1.4.1. 在安全领域，政策似乎是一个不好的词

1.4.2. 大部分人不喜欢制定政策、强制实施或被迫遵守政策

1.4.3. 避免过于复杂的政策

1.4.3.1. 有些政策常常过于宽泛而笼统，这会导致执行者顾虑过多并反应过度，这是政策的制定者对这些攻击缺乏了解造成的

1.4.4. 避免盲目的同情

1.4.4.1. 不是让你“不要有同情心”

1.4.4.2. 需要避免因同情心泛滥而忽视了制度

1.4.4.3. 永远不会阻止人们的善意关怀

1.4.4.4. 护送他们到公司的任何地方之前，都要检查通行证验证身份

1.4.5. 让政策切实可行

1.5. 第3步：定期检查实际情况

1.5.1. 选择合作的顾问是很重要的

1.5.2. 提出好的问题

1.5.2.1. 不要害怕问及之前的工作情况，或者对于特定情况，该公司倾向于如何处理

1.5.3. 有合格的参考案例

1.5.3.1. 很少有公司愿意被当作参考案例，因为它们不想将接受过的社会工程服务让更多人知道

1.5.3.2. 社会工程公司不会将对其不满的客户用作案例

1.5.3.3. 目的在于大致了解他们与客户的合作方式，及其服务质量

1.5.4. 能清晰地定义规则

1.5.4.1. 对客户来说，如果实际的渗透测试比设想中的更为刁钻复杂，那会是一件很麻烦的事情，所以你必须向你的上司解释清楚情况

1.5.4.2. 确保不出现这种问题的最佳方法就是有一套清晰的测试规则，以免越界

1.5.4.3. 定义清晰的规则就好比拳击比赛中选手穿戴的护具一样

1.5.4.4. 没有什么普适的方案—方案很大程度上取决于你的需求和想要达到预期目标的方式

1.5.4.4.1. 其他服务最好每年一次或半年一次，比如渗透测试

1.5.4.4.2. 有的服务最好每月一次，比如网络钓鱼测试

1.6. 第4步：切实可行的安全意识项目

1.6.1. 把安全意识项目调整得符合客户的具体需求之后，你便能帮助员工明白，当出现问题时该做什么，以及不该做什么了

1.7. 综合以上4步

1.8. 时刻保持更新

1.8.1. 要确保计算机能及时更新

1.9. 从同行的错误中学习

1.9.1. 有很多公司会出售威胁建模服务来帮助解决这个问题，你可能会需要他们的帮助

1.9.2. 可以自己建模并确定哪些地方需要增强和巩固，然后改进当前的项目和条款，从而保持对攻击的警惕

1.10. 塑造重视安全意识的文化

1.10.1. 奖励

1.10.2. 正向强化

1.10.3. 附加训练

1.10.4. 自上而下的强化

1.10.5. 保持耐心

1.10.5.1. 不要想当然地认为，因为你的指导方式是正确的，所以员工就能立刻跟上节奏

1.10.5.2. 让员工看到你的热情并和你一样充满热情是需要时间和持续努力的

1.10.6. 管理预期

1.10.6.1. 不仅有助于建立融洽关系，还能给你的公司构造出一种重视安全意识的文化

1.10.6.2. 并不是说你能发现网络钓鱼、识别诈骗电话或识别不属于你公司的人，就代表每位员工都能在短时间内做到这一点

1.10.7. 可以通过保持耐心和管理预期，来帮助你的员工适应新的培训标准

2.1. 谦逊

2.1.1. 在这一行出类拔萃的人无疑都很谦逊

2.2. 动力

2.2.1. 工作是每天上班完成任务，而下班后又能完全抛诸脑后的东西

2.3. 外向

2.3.1. 建议你一次只练习一种技巧，直到你能做到信手拈来为止

2.4. 乐于尝试

2.4.1. 害怕失败是很难干好这个职业的

2.4.1.1. 甚至会让人止步不前

2.4.2. 那些在职业社会工程人员成长之路上表现优异的人，都能够走出舒适区，并且明白失败有时才是最好的老师

2.4.3. 那些愿意尝试新鲜事物的人也能够融入各种圈子，并且更容易适应不同的情况

2.5. 真的管用

3.1. 专业技能

3.1.1. 职业技能对这份事业来说非常重要，因为你会一直和技术打交道

3.1.2. 掌握USB密钥、计算机启动，以及连接到VPN之类的简单技术，能在很大程度上帮助你构造伪装和取得访问权限

3.1.3. 基本的计算机知识

3.1.4. 基本的办公软件知识（比如Word和Excel）

3.1.5. 了解计算机的各种部件及其运作方式

3.1.6. 能正确操作Mac、Windows和Linux等操作系统

3.1.7. 了解网络是如何工作的

3.1.8. 知道如何搭建邮件服务器

3.1.9. 编辑照片的技能

3.1.10. 知道如何利用框架，如Metasploit和Empire

3.1.11. 读懂代码的能力

3.1.12. 编写代码的能力

3.2. 教育

3.2.1. 心理学

3.2.1.1. 你要牢记，即使你不是一名训练有素的心理学家或心理治疗师，也很有必要对人类如何做决策有基本的认知

3.2.2. 语言、语法和写作

3.2.2.1. 哪怕你是全世界最优秀的社会工程人员，如果写不出用词准确、条理清晰的报告，你的付出将永远得不到认可

3.2.3. 社会心理学

3.2.4. 你的最终目的不是成为心理学家、心理治疗师、语言学家或社会心理学家

3.2.5. 只需要有足够的知识，从而能发现某个特定的原则在发挥作用

3.3. 工作前景

3.3.1. 自己创业

3.3.2. 入职渗透测试公司

3.3.2.1. 绝大多数渗透测试公司会以某种形式提供社会工程服务

3.3.3. 入职社会工程公司

4.1. 恋童癖用社会工程手段来诱骗儿童就是一个令人不安的趋势

4.2. 恋童癖会通过线上聊天工具进入孩子们的“族群”

4.3. 需要人们站在正义的一边，帮助守卫、保护和教育他人，让更多的人了解这些技巧，并学习如何抵御这些攻击，从而能免受其害

4.4. 学会如何使用这些技巧不仅有益于你的事业，也会对你的日常生活大有裨益