如何防范社會工程攻擊?
在 Veriozon 出具的《2017年數據泄露調查》報告中,90%的成功入侵都是通過社交工程實現。與其說社交工程是電腦入侵,不如說是人與人的斗爭。
現代黑客發現,從人著手獲取數據,比暴力奪取要簡單。這些攻擊者欺騙秘書或 CEO(首席執行官)們,直至獲得密碼,網絡訪問權限等一切他們想要的東西。要防止數據被黑,云服務廠商們需要的不是更強的防火墻,二是學會任何甄別人與人之間的欺騙。
黑客想要什么?
社交工程實施者目的不盡相同,但是這些黑客通常無外乎兩個原因:一己私利或是國家資助型的知識產權盜竊。
第一種黑客竊取個人數據(如信用卡和社保卡號)為的是拿去暗網交易。2017年,據 NBC 新聞報道,以金錢為目的的入侵數量在上升,特別是針對社保卡的攻擊在增加,這意味著黑客對這種策略的使用越來越順手。
但是不要小看第二種攻擊者,即國家支持型黑客。私企或許還沒有感受到國家支持型社交工程師的威脅,但其實他們應該具備威脅意識。在 Verizon 的報告中,2017年制造商中發生的620起入侵事件中,94%都跟間諜活動有關。任何擁有知識產權,且這些產權可能被盜竊或復制的公司都應該警惕外國機構的攻擊。
組織機構如何防范社會工程攻擊?
每個行業都應該擔憂一次成功攻擊帶來的后續影響。黑客們通常針對金融服務,政府,醫療和零售行業,但是他們是隨機的。如果一家公司沒有保護好自己的數據,黑客最終會找到缺口并拿走自己想要的。雖然,他們費心暴力入侵,而是想辦法讓受害者主動交出所需的東西。
社工行為有多種表現形式。黑客可以給目標公司發送大量郵件,或者在停車場留下一個 U 盤,以郵件形式發送物理媒介,也可以假借其他人身份打電話進行欺騙。即便他們有99%的方法都失敗了,偶爾的一次成功也足以讓他們找到繼續的動力。
為了保護公司不受到社工攻擊,可以采取下列步驟:
1. 清點數據,采用恰當的訪問控制策略
如果你不知道自己的信息在哪里,就無法保護信息。所以先要識別數據,并進行分類。不要忘記你的用戶手上還保留有一些數據。所以不能只看你自己的數據庫。
換位思考,站在黑客的角度問一問:將獲取的客戶數據拿去干什么?你把敏感的知識產權信息保存在哪里?誰有訪問這些信息的權限?如果黑客向獲取你的財務記錄或是生產設計,他們騙取哪些人的信任后可接觸到這些數據?
按敏感級別對數據進行分類。客戶數據和知識產權都值得做最嚴格的安全防護。在全面審視過后,可以設定一個數據再訪問的周期,及時發現潛在泄露風險。
2. 多因素驗證
據 Verizon 的報告透露,81%的攻擊案例中都涉及弱密碼或密碼被盜。事實上,Deloitte 就是因為這一簡單的錯誤而出現數據泄露,而原本這是可以避免的。在黑客獲取管理員賬戶的密碼后,他們會進入郵件服務器,并從中竊取數據。如果管理員部署了多因素驗證,那么黑客就不會這么輕易得手。
要求所有賬號在訪問敏感數據時都使用多因素驗證。短信驗證碼是最常見的多因素驗證技巧,雖不是百分百安全,但也好過沒有。軟令牌,如推送通知,是更強的多因素驗證。掌管數據庫大門的管理員要使用硬令牌(如U盤)確保輸入密碼的人確實獲得具備權限。
3. 用端到端加密使用傳播媒介
數據保存和傳輸過程中都要進行加密。這種端到端的加密確保黑客不能實際使用任何他們攫取的數據。
對重要數據,從客戶信用卡到員工郵件,都要使用端到端加密。微軟最近將端到端加密引入了 Outlook,它可以保護用戶的郵件,避免未授權的第三方訪問敏感數據。
4. 創建一種安全文化
最后,數據保護最重要的一條防御線就是社交工程師的目標:你的員工。現在,大多數都知道“尼日利亞王子”郵件詐騙套路,但并不是每個人都知道如何揭露包裝精美的黑客偽裝。例如,美國 UC Davis Health 2017年就遭遇了一次數據泄露,當時,黑客通過郵件假冒其員工,并獲得了該大學醫療數據的訪問權限。
要對員工進行釣魚式攻擊的常規教育。告訴不同崗位的員工,黑客可能接觸他們并獲得非法授權的方式。提醒員工內部安全的重要性,幫助他們報告可疑請求。
這些技巧將有助于你保護抵擋社交工程師。然而,如果仍有人想方設法訪問了你的數據,不要試圖掩蓋這一事實——應立刻報警。即使數據被黑,你或許還有可能在黑客造成更大的破壞前阻止他們。
