在 Veriozon 出具的《2017年数据泄露调查》报告中,90%的成功入侵都是通过社交工程实现。与其说社交工程是电脑入侵,不如说是人与人的斗争。
现代黑客发现,从人着手获取数据,比暴力夺取要简单。这些攻击者欺骗秘书或 CEO(首席执行官)们,直至获得密码,网络访问权限等一切他们想要的东西。要防止数据被黑,云服务厂商们需要的不是更强的防火墙,二是学会任何甄别人与人之间的欺骗。
最常见的攻击往往也是最有效的-E安全
黑客想要什么?
社交工程实施者目的不尽相同,但是这些黑客通常无外乎两个原因:一己私利或是国家资助型的知识产权盗窃。
第一种黑客窃取个人数据(如信用卡和社保卡号)为的是拿去暗网交易。2017年,据 NBC 新闻报道,以金钱为目的的入侵数量在上升,特别是针对社保卡的攻击在增加,这意味着黑客对这种策略的使用越来越顺手。
但是不要小看第二种攻击者,即国家支持型黑客。私企或许还没有感受到国家支持型社交工程师的威胁,但其实他们应该具备威胁意识。在 Verizon 的报告中,2017年制造商中发生的620起入侵事件中,94%都跟间谍活动有关。任何拥有知识产权,且这些产权可能被盗窃或复制的公司都应该警惕外国机构的攻击。
最常见的攻击往往也是最有效的-E安全
组织机构如何防范社会工程攻击?
每个行业都应该担忧一次成功攻击带来的后续影响。黑客们通常针对金融服务,政府,医疗和零售行业,但是他们是随机的。如果一家公司没有保护好自己的数据,黑客最终会找到缺口并拿走自己想要的。虽然,他们费心暴力入侵,而是想办法让受害者主动交出所需的东西。
社工行为有多种表现形式。黑客可以给目标公司发送大量邮件,或者在停车场留下一个 U 盘,以邮件形式发送物理媒介,也可以假借其他人身份打电话进行欺骗。即便他们有99%的方法都失败了,偶尔的一次成功也足以让他们找到继续的动力。
为了保护公司不受到社工攻击,可以采取下列步骤:
一、清点数据,采用恰当的访问控制策略
如果你不知道自己的信息在哪里,就无法保护信息。所以先要识别数据,并进行分类。不要忘记你的用户手上还保留有一些数据。所以不能只看你自己的数据库。
换位思考,站在黑客的角度问一问:将获取的客户数据拿去干什么?你把敏感的知识产权信息保存在哪里?谁有访问这些信息的权限?如果黑客向获取你的财务记录或是生产设计,他们骗取哪些人的信任后可接触到这些数据?
按敏感级别对数据进行分类。客户数据和知识产权都值得做最严格的安全防护。在全面审视过后,可以设定一个数据再访问的周期,及时发现潜在泄露风险。
二、多因素验证
据 Verizon 的报告透露,81%的攻击案例中都涉及弱密码或密码被盗。事实上,Deloitte 就是因为这一简单的错误而出现数据泄露,而原本这是可以避免的。在黑客获取管理员账户的密码后,他们会进入邮件服务器,并从中窃取数据。如果管理员部署了多因素验证,那么黑客就不会这么轻易得手。
要求所有账号在访问敏感数据时都使用多因素验证。短信验证码是最常见的多因素验证技巧,虽不是百分百安全,但也好过没有。软令牌,如推送通知,是更强的多因素验证。掌管数据库大门的管理员要使用硬令牌(如U盘)确保输入密码的人确实获得具备权限。
最常见的攻击往往也是最有效的-E安全
三、用端到端加密使用传播媒介
数据保存和传输过程中都要进行加密。这种端到端的加密确保黑客不能实际使用任何他们攫取的数据。
对重要数据,从客户信用卡到员工邮件,都要使用端到端加密。微软最近将端到端加密引入了 Outlook,它可以保护用户的邮件,避免未授权的第三方访问敏感数据。
四、创建一种安全文化
最后,数据保护最重要的一条防御线就是社交工程师的目标:你的员工。现在,大多数都知道“尼日利亚王子”邮件诈骗套路,但并不是每个人都知道如何揭露包装精美的黑客伪装。例如,美国 UC Davis Health 2017年就遭遇了一次数据泄露,当时,黑客通过邮件假冒其员工,并获得了该大学医疗数据的访问权限。
要对员工进行钓鱼式攻击的常规教育。告诉不同岗位的员工,黑客可能接触他们并获得非法授权的方式。提醒员工内部安全的重要性,帮助他们报告可疑请求。
这些技巧将有助于你保护抵挡社交工程师。然而,如果仍有人想方设法访问了你的数据,不要试图掩盖这一事实——应立刻报警。即使数据被黑,你或许还有可能在黑客造成更大的破坏前阻止他们。
原文发布时间为:2018-07-15
本文作者:E安全
本文来自云栖社区合作伙伴“ 安恒信息”,了解相关信息可以关注“ 安恒信息”
