視覺入侵是指對肉眼直接可見的信息進(jìn)行記錄的黑客攻擊手段。機(jī)構(gòu)往往花費(fèi)巨款，搭建針對關(guān)鍵網(wǎng)絡(luò)的防御系統(tǒng)，卻在防護(hù)視覺入侵方面毫無作為。

[[129111]]

波耐蒙研究所( Ponemon Institute)最近對此問題開展了一項(xiàng)調(diào)查。結(jié)果顯示，使用低技術(shù)手段進(jìn)行視覺入侵的成功率接近九成(88%)。研究所雇傭了一位負(fù)責(zé)滲透測試的安全專家進(jìn)行調(diào)查，他化裝成臨時(shí)工潛入八家公司，并嘗試視覺入侵。具體做法很簡單，只是在公司里到處游走，尋找桌上或者電腦顯示器上顯而易見的數(shù)據(jù)。

在調(diào)查過程中，這位專家拿到了機(jī)密商業(yè)檔案，還用手機(jī)對顯示器上的機(jī)密信息拍了照，所有這些都是他在做正經(jīng)工作的空檔時(shí)完成的。不管是偽裝成服務(wù)人員、供應(yīng)商、清潔工還是維修人員，只要能夠進(jìn)入關(guān)鍵區(qū)域，都很容易造成對機(jī)密信息的威脅。

即使在魚叉式釣魚攻擊如此泛濫的時(shí)代，安全專家也不應(yīng)該忽視低技術(shù)層面上的安全威脅。黑客通常只需要一小條有用信息，就可以造成大量數(shù)據(jù)泄露。

該調(diào)查顯示了兩方面問題。一方面，黑客只需要通過簡單的視覺入侵就能獲得大量敏感信息;另一方面，公司員工對企業(yè)信息的態(tài)度粗心大意，信息安全防護(hù)意識不夠。

調(diào)查的關(guān)鍵結(jié)論如下：

* 視覺入侵發(fā)生迅速。視覺入侵往往只需要幾分鐘。在45%的案例中，入侵在15分鐘內(nèi)完成;而在63%的案例中，入侵在30分鐘內(nèi)完成。

* 視覺入侵悄然無息。在70%的案例中，視覺入侵并未被公司員工阻止，即使是在用手機(jī)給屏幕上的數(shù)據(jù)照相時(shí)。如果黑客沒有被員工所阻止，平均能獲得4.3份公司數(shù)據(jù)，而就算受到阻礙，該數(shù)據(jù)也只是下降到了2.8份。

* 只通過視覺入侵就能獲取大量敏感信息。每趟行動平均能獲取5份信息，其中包括：63%的員工電話本信息，42%的客戶信息，37%的公司財(cái)務(wù)信息，37%的員工登錄信息，以及37%的員工個(gè)人信息。

* 未經(jīng)保護(hù)的設(shè)備給視覺入侵創(chuàng)造了最佳機(jī)會。53%的敏感信息從電腦屏幕上直接獲取，其中包括登錄信息、中高密級的文檔、會計(jì)和預(yù)算方面的金融信息，以及企業(yè)的法律信函。29%的敏感信息來自空閑無人的辦公桌，9%來自打印機(jī)，6%來自復(fù)印機(jī)，3%來自傳真機(jī)。

* 開放式辦公室使視覺入侵如虎添翼。對一家具有開放式辦公結(jié)構(gòu)的公司而言，黑客平均能盜取4.4份信息;而該數(shù)字對于配備傳統(tǒng)式辦公場所的公司僅為3份。

* 缺乏規(guī)范的工作區(qū)域最容易遭到視覺入侵。客服部門平均受到的視覺入侵次數(shù)最高，為6.0;通信部門為5.6;銷售隊(duì)伍管理部門為5.2。情況對于較為規(guī)范的工作區(qū)域來說要好得多，會計(jì)、財(cái)務(wù)部門的該數(shù)字為1.9;法律部門最低，僅為1.0。

* 不過，調(diào)查也表明公司可以通過一些控制手段大大減少視覺入侵的威脅，比如實(shí)施辦公桌清理、文件粉碎政策，外加培養(yǎng)員工的安全防范意識。研究同樣表明，對于那些在電腦屏幕上配備了個(gè)人隱私過濾設(shè)備的公司而言，只有三種或更少的信息類別被視覺入侵，而對于沒有配備相關(guān)設(shè)施的公司，往往有四種以上的信息被視覺入侵。

對高級管理層而言，視覺入侵這種安全威脅常常是不引人注目的，這也是它經(jīng)常被忽視的原因。

這項(xiàng)調(diào)查表明，公司應(yīng)該啟用視覺隱私保護(hù)政策，培訓(xùn)員工和承包商，讓這些人更負(fù)責(zé)任地對待手中的敏感數(shù)據(jù);而且，為了保護(hù)顯示器上的數(shù)據(jù)，也應(yīng)該給高風(fēng)險(xiǎn)暴露的員工配備相關(guān)的防御設(shè)備。

原文地址：http://www.aqniu.com/neo-points/6881.html