互联网已成为非法活动(也称为网络犯罪)的场所。现在,当谈到虚拟世界时,我们面临的风险比以往任何时候都大。这是因为我们人类在创建这个技术世界时,在系统中留下了所有这些敞开的大门,那是任何网络犯罪分子都可以访问的大门。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:除了技术漏洞之外,还有管理漏洞、制度漏洞和人性漏洞。最难修复的是人性的弱点,即多年来的顽疾,即使在当下仍然非常流行的“社会工程学攻击”和“电信诈骗”攻击。其实,不管如何称呼这些术语,它们表示的意思很接近,互相交叠甚至在不同的话语体系中互相包含。作为网络安全专业人员或普通工作人员,没必要过于“学究”它们。
社会工程学攻击可以在哪里进行呢?可以亲自到现场、通过电话或计算设备进行,可以在工作场所中、在外漫游中、甚至在家里进行。谁可能成为社会工程师(社工骗子)呢?任何人都可以!只要他们试图欺骗您相信他们是别人!社会工程师用来让其他人相信他们是他们所说的人的不同技术有很多,包括:劝说、冒充、奉承、伪证、伪善……
尽管文革一代对他人普遍缺乏信任,遇事常常犹豫不决,但是老一代可能更容易受到电话诈骗等老年骗局的影响。高级用户可能更倾向于使用古老的服务台诡计,因为他们更愿意通过电话共享信息。而千禧一代更是容易受到新型电信诈骗等社会工程骗术的糊弄,因为他们涉世未深,加之从出生开始,就生活在相对富足、和平、文明和充满友爱的环境,所以他们更容易相信他人。抛开年龄因素,要有效应对社会工程学攻击,安全意识培训必不可少,组织机构需要全面的安全政策,安全政策可以帮助消除一些人为错误和一些人为偏见。例如,安全政策可能是每位员工都必须通过简单的检查来验证此人是否是他们所自称的身份,以确保没有社会工程师试图成功在组织内假冒身份。另一个例子可能是内部敏感信息是保密的,任何想要访问它们的人员都必须获得适当的验证、授权和行为审计。
安全意识培训并非放之四海而皆准的,重要的是要记住,并非每个文革一代或千禧一代都适合同样的学习模式。打击日益增多的网络犯罪的最佳解决方案之一是使用电子学习来提高安全防范意识。然而,即使有人认为文革一代可能不适合电子学习,其实也不见得,每个人是独特的个体,人们的年龄只是影响他们对安全态度的一个因素。电子学习是一种有效的方法,只要易用,可以有老年模式,对学习者并没有年龄方面的限制。无论受训者的年龄如何,安全意识培训的目标都应该是提高用户在网络安全方面的成熟度,这包括对信息资产、对手(威胁)及其动机、攻击面的透彻了解。
有几种不同类型的社会工程学,比如:电话攻击是一种允许攻击者通过电话直接获得可用信息的黑客攻击类型。不论是谁,如果接到陌生的电话时不保持警惕,无疑都可能遭受社会工程攻击。除了电话之外,企业级的沟通渠道越来越多,不管是邮件,还是社交媒体,社会工程师通常会使用欺骗和说服手段从公司企业和机关单位获取重要或秘密信息。防范社会工程及电信诈骗,每位员工都应该接受全面且更新的安全政策的培训,每位员工都需要被告知并了解社会工程学,以便知道如何与之作斗争,每位员工也都需要在一定程度上保持怀疑精神,即在通过合法来源进行验证之前,不要总是相信人们所自称的身份。
网络安全战略已列入全球大多数组织机构的董事会议程,在越来越数字化的未来,员工和客户将愈发精通数字技术,并希望您在不打扰他们的情况下保护他们。传达网络安全信息并确保所有员工保持网络安全免于社交诈骗不再是一项小众活动。电子学习可以提高网络安全意识的方式,该方式结合创造性和务实的策略来强化组织的人类防火墙。加强人类防火墙包含一套鼓舞人心的意识和参与策略。其中包括:所有员工都需要接受如何使用计算系统以及如何创建良好的用户名和密码的培训,以保护好他们的工作虚拟身份,免于被社交骗子盗用。当然,除了传统的账号与密码之外,社交工程师亦可能骗取人们的智能卡、生物特征、多因素验证码、甚至远程桌面。所有员工需要知道这一点,可以通过最新的、刺激的、面对面的研讨会或互动式学习来激励他们,体验式学习和游戏化在高级管理人员中非常受欢迎,在普通员工的安全意识培训活动中也能获得非常可喜的回报。
数据安全越来越受到重视,因为数据的价值不菲,个人信息和隐私更是受到各国法律的严格保护。垃圾桶中翻出员工、客户或供应商通讯录的情况并不少见,员工在外弄丢包含大量客户数据的计算设备的安全事件也时有发生,这些情况并非传统的IT部门或安全部门可以完全防范的,每个人都需要明白,安全是所有人员工作的一部分,而不仅仅是IT部门或安全部门的工作职责。因此,员工们需要接受培训,了解如何判断信息是否属于机密、个人或敏感信息(信息的安全级别),该类信息的安全保护要求,以及这些信息的正确处理方法。
在很多情况下,网络犯罪分子会使通过发送带有无文件恶意软件的电子邮件来进行诈骗。所有这些攻击的最终结果是长期人质围攻的风险,攻击者在整个网络中潜伏下来并设立指挥所。所有新员工都需要通过电子邮件使用方面的安全培训,以获得慧眼,识别出钓鱼邮件。典型的钓鱼邮件特性包括:通用的称呼、语法中的小错误(拼写错误、用词不当、奇怪的别字、火星文)、声称是需要紧急处理的、威胁或恐吓的语气、请求过度的信息、拒绝提供联系方式等等。模拟训练是获胜的关键,如果针对社会工程攻击的网络战争中有灵丹妙药,那无疑就是安全意识教育。我们可以通过有效的员工意识培训帮助组织赢得这场战争。
不怕一万,就怕万一。基于计算机的安全意识培训计划,通常提供针对当前社交工程攻击手法的最佳防御,但是万一出现社交工程学攻击呢?员工们需要直面安全事件并做出积极的响应,即使员工只是怀疑遭到社会工程学攻击事件,也应该及时报告该事件,同时通知其他同事,以免他们成为同一骗局的受害者。当然,在这个过程中,员工们处在事件的核心,应该注意遵守组织的安全政策,未经适当验证,勿泄露任何敏感信息。在不泄露任何个人或工作信息的情况下,还需保持冷静并尽可能友好,以免误伤或激怒对方。如今网络威胁引发的安全事件很容易成为新闻的焦点,员工们亦需要得到教育,未得到公共关系部门的审核批准授权,不能随便披露该事件,以免引发谣言,伤及组织的形象和信誉。安全事件报告与响应不是人人都能磁上的,但是每个人都需要知晓轻重,因此相关课题(模块)的安全意识培训必不可少。
跳岛攻击(供应链攻击)近年来较为流行,社会工程师通过拿下合作伙伴“建立信任并执行受信任的社会工程攻击”,尝试可以通过合作伙伴提供的虚拟桌面基础设施访问、专用网络链接和VPN服务。很多员工默认合作伙伴是可信的,而调查称:警惕的员工可以避免以上的80%跳岛攻击行为或安全事件。除了电子学习和社会工程测试(模拟训练)之外,还通过源源不断的发人深省的时事和多媒体(视频、播客、信息图表、月度公告、提示和警报)消息吸引员工们。总之,社交工程的攻击面越来越大,我们需要全面的信息安全培训和意识计划解决方案。
不同类型的组织机构有不同的灌输信息安全意识文化的方式,对于传统的制造业,讲师与黑客“对话体”式的安全问题探讨,更容易助力学员形成启发性的安全思维习惯,进而影响行为。在传统制造业,许多员工仍然认为网络安全是IT人员需要担心的事情,虽然这在一定程度上是正确的,但是使用格言“举全村之力”更为恰当,因为制造业越来越信息化和智能化。而在科技行业,员工们必须了解知识产权和商业秘密保护的重要性,在金融行业,员工更需要了解数据隐私和个人信息保护的重要性。当然,对于所有行业,所有员工,尤其是高级管理人员,都应该参与网络安全培训。管理层更需要以身作则,做出安全承诺及表率,与普通员工建立网络安全政策、合规遵循的最佳实践典范。
回到社会工程攻击和电信诈骗,经过全面的网络安全意识培训,员工们通常能够为骗局做好了应对准备的机会。例如,每个人都可以避免点击来自未知发件人的链接。但是,当发件人冒充同事特别是领导并坚持要向他们借钱或转账时,他们会怎么做呢?现实情况是很多人会汇款。员工甚至CFO都可能会在压力下感到慌乱或屈服,除非他们以前遇到过这种情况,或者受到相关场景式的互动培训。因此,我们可以协调内部或与外部网络安全专家进行多种场景的模拟练习。通常可以基于攻击历史,根据组织机构的复杂性,持续几个小时甚至几周,安全意识培训团队可以预定义任意可能社交诈骗场景,并做出关键的防范决策以消除该类威胁。模拟练习可以使员工们在面临高压和不断升级的情况下,训练承受力、定力以及合规性,进而为实际攻击的发生做好应对准备。
简而言之,减少社会工程学攻击和电信诈骗的攻击面的关键在于安全意识和模拟训练。统计表明:在人员方面进行的信息安全投入,回报是巨大的。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统和模拟练习平台,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。
- 电话:0871-67122372
- 手机、微信:18206751343
- 邮件:info@securemymind.com