|
人為因素通常是網絡攻擊中最容易被利用的。攻擊者在對其目標進行偵察之后,使用獲得的信息來獲取憑據或其它信息,從而實現對原本受保護的系統和資源的入侵。 通常,攻擊者會很幸運,并且只需付出很少的努力和風險,就可以通過簡單猜測而獲得用戶憑據,盡管這是自動進行的。這個問題很難討論。許多用戶“有信心”保護自己的重要信息,因此沒有學習和掌握適當的網絡防御知識和方法。這導致了很多引人注目的數據泄露事件。 社交挖掘 社會工程學(Social Engineering)通常被定義為:主要通過人類情報(Humint)和開源情報(osint)實現對人力資源的操縱。這些技術與情報機構用來從外國競爭對手那里收集情報所使用的技術類似。在所有的網絡攻擊中,大約有80%始于社會工程攻擊。這些初始攻擊采取多種形式,最常見的是網絡釣魚電子郵件,它們非常具有迷惑性且容易奏效。這些攻擊無需冒險就可以發揮作用并產生實際效果。尤其是那些對網絡安全意識比較淡薄的人更容易受到損害。 另一個容易滋生網絡安全隱患的“沃土”是社交媒體。除了社交媒體固有的輿論和行為能力之外,研究表明,還可以從中挖掘用戶數據,并將其用于構建配置文件,這些配置文件為攻擊者提供了大量的信息和情報,可用于獲取憑證或破壞資產。 認知偏差 認知和社會偏見在網絡安全事件中往往扮演著重要角色。一個有趣的認知偏差被稱為達克效應(D-K effect),它假設無能者不知道自己是無能的,這會導致虛幻的、膨脹的自我認知,進而導致資產很容易受到損害。在這個效應影響下的人們通常不遵循指示或不愿意接受批評,從而帶來了很多副作用。這些漏洞提供了非常豐富的攻擊面,尤其是在社交媒體上。社會偏見是利用這些傾向破壞資產的無底洞。這些大規模操縱技術中的任何一種都不是新出現的技術——多年來人們一直使用它們來獲取和保留權力,但是不同的是,現在,由于珍貴的資產和關鍵的基礎設施也可以成為攻擊對象,因此后果不堪設想。 攻擊方法 社會工程攻擊是最危險的威脅之一。攻擊者使用社會工程學來攻擊無法找到任何技術漏洞的系統。人們普遍認為可以檢測到這些攻擊,但不能完全阻止這些攻擊。這些攻擊通常遵循相似的發展階段,最常見的模式涉及以下4個階段: 1.偵查:收集漏洞信息; 2.陷阱:與目標建立聯系,設置誘餌; 3.入侵:利用信息和聯系攻擊目標; 4.退出:成功攫取數據信息后撤離,幾乎不留下或完全沒有攻擊的跡象。 社交工程攻擊可以基于人,也可以基于計算機。基于人的攻擊,要求攻擊者與受害者互動以獲取信息,因此一次不能攻擊多個受害者。基于計算機的攻擊,可以在很短的時間內發動成千上萬次攻擊。網絡釣魚電子郵件是基于計算機攻擊的一個示例。 根據攻擊的實施方式,攻擊可以進一步分為三類:基于技術的、基于社交的和基于物理的攻擊。基于技術的攻擊,一般在線進行,例如社交媒體或旨在收集信息的網站。基于社交的攻擊,是通過與受害者的關系進行的,并利用情緒和偏見。物理攻擊通常與社交攻擊結合使用,以誤導受害者,從而盜取憑證或進入安全區域。 據羿戓信息所了解,從另外一方面,也可以將攻擊分為直接或間接攻擊。直接攻擊要求攻擊者與受害者保持聯系,并且經常需要物理接觸,例如目擊、談話以及出現在受害者的工作場所或家庭空間中。直接攻擊包括實際盜竊文件或長期或短期“騙局”。偽造的IRS電話是直接的社會工程攻擊的一個例子。間接攻擊不需要攻擊與其受害者接觸。惡意軟件、分布式拒絕服務(DDoS)、網絡釣魚、勒索軟件和反向社會工程,是間接攻擊的一些示例。 里程碑:eCD標準型達到4位數。 eCD基礎型:5172 eCD標準型:1052 注: eCD共4個等級,基礎型、標準型、系統型、生態型。 5種常見的攻擊類型 社會工程手段和方法存在多種變體。所有這些都是基于人類的基本弱點。熟練的攻擊者已經完成了研究,并針對目標受害者的弱點和脆弱性,進行了適應性的修改。以下是最常見的5種攻擊類型: 1.網絡釣魚:網絡釣魚是社會工程攻擊中最常見的攻擊,它是從“電話釣魚”中得名的,“電話釣魚”的目的是操縱電話網絡。這些攻擊拋出吊鉤,看誰會上鉤。盡管該術語仍用于描述欺騙性電話,但迄今為止,最大的網絡釣魚場所是電子郵件。據估計,在成功插入惡意軟件的攻擊中,超過80%的都是通過網絡釣魚電子郵件詐騙進行的。網絡釣魚有幾種形式:魚叉式——對一個人或一個設施的針對性攻擊;捕鯨——對高價值受害者或“鯨魚”的針對性攻擊;電話釣魚——使用電話(語音和網絡釣魚)進行攻擊;短信釣魚——使用文本消息進行攻擊。令人擔心的是,如果攻擊者對預期目標進行了徹底的偵查,則網絡釣魚可能非常有效,并且難以檢測和緩解。 2.假托:假托(Pretexting)是創造虛假和令人信服的情境,使受害者信任攻擊者并幾乎愿意給出其個人信息或訪問憑據。攻擊者使用開放源代碼情報,即公開文件,無論是在互聯網上容易獲得的信息,還是在社交媒體中獲得的豐富信息。這些騙局讓您相信有機會分享遺產、中彩票或其它“天上掉餡餅”的說法,前提是您需要給騙子匯錢來幫助他們“把錢取出來”。 3.誘餌:如果您單擊網站上的鏈接是為了獲取一些免費的東西,那么你的貪心很可能會被一些人利用。這與旨在提高網站點擊率的“點擊誘餌”不同,誘餌攻擊會在受害者的計算機上安裝惡意軟件。例如,看起來無辜的網站提供免費的財務計劃電子表格供下載。當電子表格加載反向shell程序時,攻擊者就可以訪問所有受害者。另外一種形式是使用被感染的USB驅動器,這些驅動器被遺留在咖啡店或停車場周圍,沒有經驗的用戶出于好奇而拿起它們,然后插入他們的計算機。這也是將Stuxnet蠕蟲病毒安裝到伊朗核設施中的方法,否則的話該設施被保護的密不通風,根本無法接近。 4.等價交換:類似于誘餌,此攻擊通過為受害者提供好處以換取信息。這在社交媒體中特別有效。一種常見的形式是冒充公司內部技術人員或者問卷調查人員,要求對方給出密碼等關鍵信息。這些攻擊不必非常復雜,并且通常是即時進行的,受害者是隨機選擇的。幾年前在英國進行的一項研究表明,人們在地鐵中隨意停下,會為換取一塊巧克力或一支廉價筆或其它小裝飾品而泄露他們的網絡密碼。 5.尾隨:尾隨是一種非常常見的物理攻擊,攻擊者冒充其他員工或送貨員,利用合法員工的訪問權限來訪問安全區域。一種常見的方法是要求某人帶攻擊者進入,因為他們“忘記帶通行證了”。此方法用于訪問安全區域,并且還要求攻擊者編個借口,說服起疑心的員工以獲得信任和合法性。一個攻擊的變種是,攻擊者謊稱借用員工的通行證“一分鐘”,以便他們可以去車上取回被遺忘的東西或其它事項,從而導致身份證被復制或損壞。大多數人都愿意信任別人,攻擊者知道這一點并充分利用。 預防措施 5種預防措施可以降低導致網絡安全風險的人為錯誤。 1.減少攻擊面。這就需要從攻擊者的角度對設施的IT基礎架構進行徹底的分析。關閉打開的端口,并保護防火墻。將對關鍵系統的訪問限制在盡可能少的人員范圍內。 2.對關鍵人員進行全面的背景調查。人力資源是安全環節中最薄弱的,下一步最合乎邏輯的做法是盡可能消除潛在的人為因素。這意味著在可行的情況下,系統地消除人與人之間的互動。這聽起來有點奇怪,但我們面臨的危機有時就是由某些粗心的員工或未能理解攻擊的員工而引起的。實際上,許多人認為網絡安全是尋找問題的解決方案,這種思維使熟練的社會工程師面露微笑。 3.網絡安全團隊:建議加強對關鍵人員進行培訓以監控威脅和泄露,并設置網絡安全專員,由其定期審核安全程序并審查其他人員的網絡衛生狀況。這些人必須有權關閉漏洞,并且有能力及時糾正問題員工的行為。由網絡管理員、安全人員和高級員工組成的網絡安全“反擊團隊”可以迅速采取行動,以檢測并密封漏洞,然后進行事后檢查以確定漏洞是如何發生的。 4.基于角色的訪問:無法阻止員工在便箋上寫密碼或將網絡安全視為無用的行為。在允許員工在工作過程中訪問網絡和資源時,這種心態很難處理。基于角色的訪問是解決問題的一種有效方法。另一種技術是要求正式的訪問請求,然后在訪問關鍵數據或系統時監視員工。多因素身份驗證很有用,但如果員工沒有認真對待它,并且對電話或其他第二種身份驗證方法不注意,也是無濟于事。 5.智能密碼:強制執行智能密碼策略可以有效防止員工使用容易猜到的密碼,例如“1234567”或流行的“password”。培訓員工養成正確的網絡衛生習慣和網絡安全意識。 很多企業可能在自動化系統、主動入侵者檢測、緩解和預防以及主動對策方面花費數百萬美元用于提升企業安全性,但這一切可能被粗心或無能的員工輕易破壞。盡可能消除人為因素可以有效降低網絡安全風險。 (作者:Dan Capano) 
|
