|
人為因素通常是網(wǎng)絡(luò)攻擊中最容易被利用的。攻擊者在對(duì)其目標(biāo)進(jìn)行偵察之后,使用獲得的信息來獲取憑據(jù)或其它信息,從而實(shí)現(xiàn)對(duì)原本受保護(hù)的系統(tǒng)和資源的入侵。 通常,攻擊者會(huì)很幸運(yùn),并且只需付出很少的努力和風(fēng)險(xiǎn),就可以通過簡(jiǎn)單猜測(cè)而獲得用戶憑據(jù),盡管這是自動(dòng)進(jìn)行的。這個(gè)問題很難討論。許多用戶“有信心”保護(hù)自己的重要信息,因此沒有學(xué)習(xí)和掌握適當(dāng)?shù)木W(wǎng)絡(luò)防御知識(shí)和方法。這導(dǎo)致了很多引人注目的數(shù)據(jù)泄露事件。 社交挖掘 社會(huì)工程學(xué)(Social Engineering)通常被定義為:主要通過人類情報(bào)(Humint)和開源情報(bào)(osint)實(shí)現(xiàn)對(duì)人力資源的操縱。這些技術(shù)與情報(bào)機(jī)構(gòu)用來從外國(guó)競(jìng)爭(zhēng)對(duì)手那里收集情報(bào)所使用的技術(shù)類似。在所有的網(wǎng)絡(luò)攻擊中,大約有80%始于社會(huì)工程攻擊。這些初始攻擊采取多種形式,最常見的是網(wǎng)絡(luò)釣魚電子郵件,它們非常具有迷惑性且容易奏效。這些攻擊無需冒險(xiǎn)就可以發(fā)揮作用并產(chǎn)生實(shí)際效果。尤其是那些對(duì)網(wǎng)絡(luò)安全意識(shí)比較淡薄的人更容易受到損害。 另一個(gè)容易滋生網(wǎng)絡(luò)安全隱患的“沃土”是社交媒體。除了社交媒體固有的輿論和行為能力之外,研究表明,還可以從中挖掘用戶數(shù)據(jù),并將其用于構(gòu)建配置文件,這些配置文件為攻擊者提供了大量的信息和情報(bào),可用于獲取憑證或破壞資產(chǎn)。 認(rèn)知偏差 認(rèn)知和社會(huì)偏見在網(wǎng)絡(luò)安全事件中往往扮演著重要角色。一個(gè)有趣的認(rèn)知偏差被稱為達(dá)克效應(yīng)(D-K effect),它假設(shè)無能者不知道自己是無能的,這會(huì)導(dǎo)致虛幻的、膨脹的自我認(rèn)知,進(jìn)而導(dǎo)致資產(chǎn)很容易受到損害。在這個(gè)效應(yīng)影響下的人們通常不遵循指示或不愿意接受批評(píng),從而帶來了很多副作用。這些漏洞提供了非常豐富的攻擊面,尤其是在社交媒體上。社會(huì)偏見是利用這些傾向破壞資產(chǎn)的無底洞。這些大規(guī)模操縱技術(shù)中的任何一種都不是新出現(xiàn)的技術(shù)——多年來人們一直使用它們來獲取和保留權(quán)力,但是不同的是,現(xiàn)在,由于珍貴的資產(chǎn)和關(guān)鍵的基礎(chǔ)設(shè)施也可以成為攻擊對(duì)象,因此后果不堪設(shè)想。 攻擊方法 社會(huì)工程攻擊是最危險(xiǎn)的威脅之一。攻擊者使用社會(huì)工程學(xué)來攻擊無法找到任何技術(shù)漏洞的系統(tǒng)。人們普遍認(rèn)為可以檢測(cè)到這些攻擊,但不能完全阻止這些攻擊。這些攻擊通常遵循相似的發(fā)展階段,最常見的模式涉及以下4個(gè)階段: 1.偵查:收集漏洞信息; 2.陷阱:與目標(biāo)建立聯(lián)系,設(shè)置誘餌; 3.入侵:利用信息和聯(lián)系攻擊目標(biāo); 4.退出:成功攫取數(shù)據(jù)信息后撤離,幾乎不留下或完全沒有攻擊的跡象。 社交工程攻擊可以基于人,也可以基于計(jì)算機(jī)。基于人的攻擊,要求攻擊者與受害者互動(dòng)以獲取信息,因此一次不能攻擊多個(gè)受害者。基于計(jì)算機(jī)的攻擊,可以在很短的時(shí)間內(nèi)發(fā)動(dòng)成千上萬次攻擊。網(wǎng)絡(luò)釣魚電子郵件是基于計(jì)算機(jī)攻擊的一個(gè)示例。 根據(jù)攻擊的實(shí)施方式,攻擊可以進(jìn)一步分為三類:基于技術(shù)的、基于社交的和基于物理的攻擊。基于技術(shù)的攻擊,一般在線進(jìn)行,例如社交媒體或旨在收集信息的網(wǎng)站。基于社交的攻擊,是通過與受害者的關(guān)系進(jìn)行的,并利用情緒和偏見。物理攻擊通常與社交攻擊結(jié)合使用,以誤導(dǎo)受害者,從而盜取憑證或進(jìn)入安全區(qū)域。 據(jù)羿戓信息所了解,從另外一方面,也可以將攻擊分為直接或間接攻擊。直接攻擊要求攻擊者與受害者保持聯(lián)系,并且經(jīng)常需要物理接觸,例如目擊、談話以及出現(xiàn)在受害者的工作場(chǎng)所或家庭空間中。直接攻擊包括實(shí)際盜竊文件或長(zhǎng)期或短期“騙局”。偽造的IRS電話是直接的社會(huì)工程攻擊的一個(gè)例子。間接攻擊不需要攻擊與其受害者接觸。惡意軟件、分布式拒絕服務(wù)(DDoS)、網(wǎng)絡(luò)釣魚、勒索軟件和反向社會(huì)工程,是間接攻擊的一些示例。 里程碑:eCD標(biāo)準(zhǔn)型達(dá)到4位數(shù)。 eCD基礎(chǔ)型:5172 eCD標(biāo)準(zhǔn)型:1052 注: eCD共4個(gè)等級(jí),基礎(chǔ)型、標(biāo)準(zhǔn)型、系統(tǒng)型、生態(tài)型。 5種常見的攻擊類型 社會(huì)工程手段和方法存在多種變體。所有這些都是基于人類的基本弱點(diǎn)。熟練的攻擊者已經(jīng)完成了研究,并針對(duì)目標(biāo)受害者的弱點(diǎn)和脆弱性,進(jìn)行了適應(yīng)性的修改。以下是最常見的5種攻擊類型: 1.網(wǎng)絡(luò)釣魚:網(wǎng)絡(luò)釣魚是社會(huì)工程攻擊中最常見的攻擊,它是從“電話釣魚”中得名的,“電話釣魚”的目的是操縱電話網(wǎng)絡(luò)。這些攻擊拋出吊鉤,看誰會(huì)上鉤。盡管該術(shù)語仍用于描述欺騙性電話,但迄今為止,最大的網(wǎng)絡(luò)釣魚場(chǎng)所是電子郵件。據(jù)估計(jì),在成功插入惡意軟件的攻擊中,超過80%的都是通過網(wǎng)絡(luò)釣魚電子郵件詐騙進(jìn)行的。網(wǎng)絡(luò)釣魚有幾種形式:魚叉式——對(duì)一個(gè)人或一個(gè)設(shè)施的針對(duì)性攻擊;捕鯨——對(duì)高價(jià)值受害者或“鯨魚”的針對(duì)性攻擊;電話釣魚——使用電話(語音和網(wǎng)絡(luò)釣魚)進(jìn)行攻擊;短信釣魚——使用文本消息進(jìn)行攻擊。令人擔(dān)心的是,如果攻擊者對(duì)預(yù)期目標(biāo)進(jìn)行了徹底的偵查,則網(wǎng)絡(luò)釣魚可能非常有效,并且難以檢測(cè)和緩解。 2.假托:假托(Pretexting)是創(chuàng)造虛假和令人信服的情境,使受害者信任攻擊者并幾乎愿意給出其個(gè)人信息或訪問憑據(jù)。攻擊者使用開放源代碼情報(bào),即公開文件,無論是在互聯(lián)網(wǎng)上容易獲得的信息,還是在社交媒體中獲得的豐富信息。這些騙局讓您相信有機(jī)會(huì)分享遺產(chǎn)、中彩票或其它“天上掉餡餅”的說法,前提是您需要給騙子匯錢來幫助他們“把錢取出來”。 3.誘餌:如果您單擊網(wǎng)站上的鏈接是為了獲取一些免費(fèi)的東西,那么你的貪心很可能會(huì)被一些人利用。這與旨在提高網(wǎng)站點(diǎn)擊率的“點(diǎn)擊誘餌”不同,誘餌攻擊會(huì)在受害者的計(jì)算機(jī)上安裝惡意軟件。例如,看起來無辜的網(wǎng)站提供免費(fèi)的財(cái)務(wù)計(jì)劃電子表格供下載。當(dāng)電子表格加載反向shell程序時(shí),攻擊者就可以訪問所有受害者。另外一種形式是使用被感染的USB驅(qū)動(dòng)器,這些驅(qū)動(dòng)器被遺留在咖啡店或停車場(chǎng)周圍,沒有經(jīng)驗(yàn)的用戶出于好奇而拿起它們,然后插入他們的計(jì)算機(jī)。這也是將Stuxnet蠕蟲病毒安裝到伊朗核設(shè)施中的方法,否則的話該設(shè)施被保護(hù)的密不通風(fēng),根本無法接近。 4.等價(jià)交換:類似于誘餌,此攻擊通過為受害者提供好處以換取信息。這在社交媒體中特別有效。一種常見的形式是冒充公司內(nèi)部技術(shù)人員或者問卷調(diào)查人員,要求對(duì)方給出密碼等關(guān)鍵信息。這些攻擊不必非常復(fù)雜,并且通常是即時(shí)進(jìn)行的,受害者是隨機(jī)選擇的。幾年前在英國(guó)進(jìn)行的一項(xiàng)研究表明,人們?cè)诘罔F中隨意停下,會(huì)為換取一塊巧克力或一支廉價(jià)筆或其它小裝飾品而泄露他們的網(wǎng)絡(luò)密碼。 5.尾隨:尾隨是一種非常常見的物理攻擊,攻擊者冒充其他員工或送貨員,利用合法員工的訪問權(quán)限來訪問安全區(qū)域。一種常見的方法是要求某人帶攻擊者進(jìn)入,因?yàn)樗麄儭巴泿ㄐ凶C了”。此方法用于訪問安全區(qū)域,并且還要求攻擊者編個(gè)借口,說服起疑心的員工以獲得信任和合法性。一個(gè)攻擊的變種是,攻擊者謊稱借用員工的通行證“一分鐘”,以便他們可以去車上取回被遺忘的東西或其它事項(xiàng),從而導(dǎo)致身份證被復(fù)制或損壞。大多數(shù)人都愿意信任別人,攻擊者知道這一點(diǎn)并充分利用。 預(yù)防措施 5種預(yù)防措施可以降低導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的人為錯(cuò)誤。 1.減少攻擊面。這就需要從攻擊者的角度對(duì)設(shè)施的IT基礎(chǔ)架構(gòu)進(jìn)行徹底的分析。關(guān)閉打開的端口,并保護(hù)防火墻。將對(duì)關(guān)鍵系統(tǒng)的訪問限制在盡可能少的人員范圍內(nèi)。 2.對(duì)關(guān)鍵人員進(jìn)行全面的背景調(diào)查。人力資源是安全環(huán)節(jié)中最薄弱的,下一步最合乎邏輯的做法是盡可能消除潛在的人為因素。這意味著在可行的情況下,系統(tǒng)地消除人與人之間的互動(dòng)。這聽起來有點(diǎn)奇怪,但我們面臨的危機(jī)有時(shí)就是由某些粗心的員工或未能理解攻擊的員工而引起的。實(shí)際上,許多人認(rèn)為網(wǎng)絡(luò)安全是尋找問題的解決方案,這種思維使熟練的社會(huì)工程師面露微笑。 3.網(wǎng)絡(luò)安全團(tuán)隊(duì):建議加強(qiáng)對(duì)關(guān)鍵人員進(jìn)行培訓(xùn)以監(jiān)控威脅和泄露,并設(shè)置網(wǎng)絡(luò)安全專員,由其定期審核安全程序并審查其他人員的網(wǎng)絡(luò)衛(wèi)生狀況。這些人必須有權(quán)關(guān)閉漏洞,并且有能力及時(shí)糾正問題員工的行為。由網(wǎng)絡(luò)管理員、安全人員和高級(jí)員工組成的網(wǎng)絡(luò)安全“反擊團(tuán)隊(duì)”可以迅速采取行動(dòng),以檢測(cè)并密封漏洞,然后進(jìn)行事后檢查以確定漏洞是如何發(fā)生的。 4.基于角色的訪問:無法阻止員工在便箋上寫密碼或?qū)⒕W(wǎng)絡(luò)安全視為無用的行為。在允許員工在工作過程中訪問網(wǎng)絡(luò)和資源時(shí),這種心態(tài)很難處理。基于角色的訪問是解決問題的一種有效方法。另一種技術(shù)是要求正式的訪問請(qǐng)求,然后在訪問關(guān)鍵數(shù)據(jù)或系統(tǒng)時(shí)監(jiān)視員工。多因素身份驗(yàn)證很有用,但如果員工沒有認(rèn)真對(duì)待它,并且對(duì)電話或其他第二種身份驗(yàn)證方法不注意,也是無濟(jì)于事。 5.智能密碼:強(qiáng)制執(zhí)行智能密碼策略可以有效防止員工使用容易猜到的密碼,例如“1234567”或流行的“password”。培訓(xùn)員工養(yǎng)成正確的網(wǎng)絡(luò)衛(wèi)生習(xí)慣和網(wǎng)絡(luò)安全意識(shí)。 很多企業(yè)可能在自動(dòng)化系統(tǒng)、主動(dòng)入侵者檢測(cè)、緩解和預(yù)防以及主動(dòng)對(duì)策方面花費(fèi)數(shù)百萬美元用于提升企業(yè)安全性,但這一切可能被粗心或無能的員工輕易破壞。盡可能消除人為因素可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。 (作者:Dan Capano) 
|
