你不能完全阻止社会工程，所以你需要努力限制损害。社会工程学只适用于有特权做某事或知道重要事情的人。如果您删除敏感信息和风险特权，您将大大减少您的安全足迹。

您正在寻找的是职责分离，以及适当的身份验证。也就是说，您为每个用户提供他们完成工作所需的绝对最低权限，但允许他们将任务或程序升级到具有所需权限的上级，或将操作传递给具有所需权限的备用部门。您还提供适当的身份验证机制来强制执行身份。

例如，在银行中，您可以让呼叫中心工作人员更改您的信用额度，但不能将交易标记为欺诈。欺诈部门将能够标记交易，但不能更改您的信用额度。此外，呼叫中心的工作人员不能直接批准贷款，但可以将贷款申请发送给他们的经理，经理可以批准或拒绝申请。所有对系统的访问都应至少通过密码和硬件令牌（例如刷卡、RSA Securekey 等）强制执行，以便强制执行身份并证明监管链。

为了访问特权位置（例如服务器机房或通过 SSH 登录），您应该需要多因素身份验证。社会工程学在获取你知道的东西方面很有效，但在获取你拥有或现在的东西方面却远没有那么有效。使用适当的物理安全和数字身份验证，需要两因素或三因素身份验证才能获得访问权限。在访问高度敏感资产的情况下，需要一名以上员工的多因素身份验证。

除此之外，在任何地方都使用审计日志。应该记录一个人所做的每一个更改，并采取适当的措施确保日志不会被破坏或伪造。这提供了一种识别问题的方法，并在员工做出恶意行为时为您提供法律追索权。

使流程自动化的最佳方法是使社会工程成为不可能。例如，如果没有存储密码，那么再多的“请告诉我我的密码”都行不通。

在需要允许人为干预的情况下，请确保标出标准程序的例外情况，并根据偏差程度按比例将其推上楼。大约每三次我在超市时，都会出现一些故障，检查员必须招呼主管进行一些毫无意义的清算过程。这似乎毫无意义，因为它是例行公事，但我认为它旨在防止某种类型的欺诈发生。

我不想听起来陈词滥调，但最好的自动化过程是不允许您的员工进行管理员访问。

根据需要分配权限，以便他们在需要时完成工作。每当有人被分配到管理组时创建全局警报。

这限制了用户可以造成的损害，并且更容易自动监控他们的行为，以及您何时以及如何分配临时权限。

这既烦人又不方便，但它是根本的：最少特权。

老实说，我认为自动化某些东西是防止社会工程师攻击的最糟糕的事情之一。人类是动态的，因此您采用的策略也是如此，以防止人类通过社交技术损害您的系统。

例如，如果您致电您的手机提供商。我知道我的手机提供商会询问我的地址和出生日期。从本质上讲，这很不安全，因为如果我打算攻击一个目标，我只需要找出这些信息。员工们只是在问摆在他们面前的问题的无人机。

更安全（尽管更麻烦）的解决方案是定期更改安全问题。您可以提出更广泛的问题，或要求客户每 6 个月回答一次新的（随机选择的）安全问题。

过去自动化安全的努力（参见RSA 攻击或Google 双重身份验证）已被证明不如预期有效。