减少社会工程学攻击和电信诈骗的攻击面

互联网已成为非法活动(也称为网络犯罪)的场所。现在,当谈到虚拟世界时,我们面临的风险比以往任何时候都大。这是因为我们人类在创建这个技术世界时,在系统中留下了所有这些敞开的大门,那是任何网络犯罪分子都可以访问的大门。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:除了技术漏洞之外,还有管理漏洞、制度漏洞和人性漏洞。最难修复的是人性的弱点,即多年来的顽疾,即使在当下仍然非常流行的“社会工程学攻击”和“电信诈骗”攻击。其实,不管如何称呼这些术语,它们表示的意思很接近,互相交叠甚至在不同的话语体系中互相包含。作为网络安全专业人员或普通工作人员,没必要过于“学究”它们。

社会工程学攻击可以在哪里进行呢?可以亲自到现场、通过电话或计算设备进行,可以在工作场所中、在外漫游中、甚至在家里进行。谁可能成为社会工程师(社工骗子)呢?任何人都可以!只要他们试图欺骗您相信他们是别人!社会工程师用来让其他人相信他们是他们所说的人的不同技术有很多,包括:劝说、冒充、奉承、伪证、伪善……

尽管文革一代对他人普遍缺乏信任,遇事常常犹豫不决,但是老一代可能更容易受到电话诈骗等老年骗局的影响。高级用户可能更倾向于使用古老的服务台诡计,因为他们更愿意通过电话共享信息。而千禧一代更是容易受到新型电信诈骗等社会工程骗术的糊弄,因为他们涉世未深,加之从出生开始,就生活在相对富足、和平、文明和充满友爱的环境,所以他们更容易相信他人。抛开年龄因素,要有效应对社会工程学攻击,安全意识培训必不可少,组织机构需要全面的安全政策,安全政策可以帮助消除一些人为错误和一些人为偏见。例如,安全政策可能是每位员工都必须通过简单的检查来验证此人是否是他们所自称的身份,以确保没有社会工程师试图成功在组织内假冒身份。另一个例子可能是内部敏感信息是保密的,任何想要访问它们的人员都必须获得适当的验证、授权和行为审计。

安全意识培训并非放之四海而皆准的,重要的是要记住,并非每个文革一代或千禧一代都适合同样的学习模式。打击日益增多的网络犯罪的最佳解决方案之一是使用电子学习来提高安全防范意识。然而,即使有人认为文革一代可能不适合电子学习,其实也不见得,每个人是独特的个体,人们的年龄只是影响他们对安全态度的一个因素。电子学习是一种有效的方法,只要易用,可以有老年模式,对学习者并没有年龄方面的限制。无论受训者的年龄如何,安全意识培训的目标都应该是提高用户在网络安全方面的成熟度,这包括对信息资产、对手(威胁)及其动机、攻击面的透彻了解。

有几种不同类型的社会工程学,比如:电话攻击是一种允许攻击者通过电话直接获得可用信息的黑客攻击类型。不论是谁,如果接到陌生的电话时不保持警惕,无疑都可能遭受社会工程攻击。除了电话之外,企业级的沟通渠道越来越多,不管是邮件,还是社交媒体,社会工程师通常会使用欺骗和说服手段从公司企业和机关单位获取重要或秘密信息。防范社会工程及电信诈骗,每位员工都应该接受全面且更新的安全政策的培训,每位员工都需要被告知并了解社会工程学,以便知道如何与之作斗争,每位员工也都需要在一定程度上保持怀疑精神,即在通过合法来源进行验证之前,不要总是相信人们所自称的身份。

网络安全战略已列入全球大多数组织机构的董事会议程,在越来越数字化的未来,员工和客户将愈发精通数字技术,并希望您在不打扰他们的情况下保护他们。传达网络安全信息并确保所有员工保持网络安全免于社交诈骗不再是一项小众活动。电子学习可以提高网络安全意识的方式,该方式结合创造性和务实的策略来强化组织的人类防火墙。加强人类防火墙包含一套鼓舞人心的意识和参与策略。其中包括:所有员工都需要接受如何使用计算系统以及如何创建良好的用户名和密码的培训,以保护好他们的工作虚拟身份,免于被社交骗子盗用。当然,除了传统的账号与密码之外,社交工程师亦可能骗取人们的智能卡、生物特征、多因素验证码、甚至远程桌面。所有员工需要知道这一点,可以通过最新的、刺激的、面对面的研讨会或互动式学习来激励他们,体验式学习和游戏化在高级管理人员中非常受欢迎,在普通员工的安全意识培训活动中也能获得非常可喜的回报。

数据安全越来越受到重视,因为数据的价值不菲,个人信息和隐私更是受到各国法律的严格保护。垃圾桶中翻出员工、客户或供应商通讯录的情况并不少见,员工在外弄丢包含大量客户数据的计算设备的安全事件也时有发生,这些情况并非传统的IT部门或安全部门可以完全防范的,每个人都需要明白,安全是所有人员工作的一部分,而不仅仅是IT部门或安全部门的工作职责。因此,员工们需要接受培训,了解如何判断信息是否属于机密、个人或敏感信息(信息的安全级别),该类信息的安全保护要求,以及这些信息的正确处理方法。

在很多情况下,网络犯罪分子会使通过发送带有无文件恶意软件的电子邮件来进行诈骗。所有这些攻击的最终结果是长期人质围攻的风险,攻击者在整个网络中潜伏下来并设立指挥所。所有新员工都需要通过电子邮件使用方面的安全培训,以获得慧眼,识别出钓鱼邮件。典型的钓鱼邮件特性包括:通用的称呼、语法中的小错误(拼写错误、用词不当、奇怪的别字、火星文)、声称是需要紧急处理的、威胁或恐吓的语气、请求过度的信息、拒绝提供联系方式等等。模拟训练是获胜的关键,如果针对社会工程攻击的网络战争中有灵丹妙药,那无疑就是安全意识教育。我们可以通过有效的员工意识培训帮助组织赢得这场战争。

不怕一万,就怕万一。基于计算机的安全意识培训计划,通常提供针对当前社交工程攻击手法的最佳防御,但是万一出现社交工程学攻击呢?员工们需要直面安全事件并做出积极的响应,即使员工只是怀疑遭到社会工程学攻击事件,也应该及时报告该事件,同时通知其他同事,以免他们成为同一骗局的受害者。当然,在这个过程中,员工们处在事件的核心,应该注意遵守组织的安全政策,未经适当验证,勿泄露任何敏感信息。在不泄露任何个人或工作信息的情况下,还需保持冷静并尽可能友好,以免误伤或激怒对方。如今网络威胁引发的安全事件很容易成为新闻的焦点,员工们亦需要得到教育,未得到公共关系部门的审核批准授权,不能随便披露该事件,以免引发谣言,伤及组织的形象和信誉。安全事件报告与响应不是人人都能磁上的,但是每个人都需要知晓轻重,因此相关课题(模块)的安全意识培训必不可少。

跳岛攻击(供应链攻击)近年来较为流行,社会工程师通过拿下合作伙伴“建立信任并执行受信任的社会工程攻击”,尝试可以通过合作伙伴提供的虚拟桌面基础设施访问、专用网络链接和VPN服务。很多员工默认合作伙伴是可信的,而调查称:警惕的员工可以避免以上的80%跳岛攻击行为或安全事件。除了电子学习和社会工程测试(模拟训练)之外,还通过源源不断的发人深省的时事和多媒体(视频、播客、信息图表、月度公告、提示和警报)消息吸引员工们。总之,社交工程的攻击面越来越大,我们需要全面的信息安全培训和意识计划解决方案。

不同类型的组织机构有不同的灌输信息安全意识文化的方式,对于传统的制造业,讲师与黑客“对话体”式的安全问题探讨,更容易助力学员形成启发性的安全思维习惯,进而影响行为。在传统制造业,许多员工仍然认为网络安全是IT人员需要担心的事情,虽然这在一定程度上是正确的,但是使用格言“举全村之力”更为恰当,因为制造业越来越信息化和智能化。而在科技行业,员工们必须了解知识产权和商业秘密保护的重要性,在金融行业,员工更需要了解数据隐私和个人信息保护的重要性。当然,对于所有行业,所有员工,尤其是高级管理人员,都应该参与网络安全培训。管理层更需要以身作则,做出安全承诺及表率,与普通员工建立网络安全政策、合规遵循的最佳实践典范。

回到社会工程攻击和电信诈骗,经过全面的网络安全意识培训,员工们通常能够为骗局做好了应对准备的机会。例如,每个人都可以避免点击来自未知发件人的链接。但是,当发件人冒充同事特别是领导并坚持要向他们借钱或转账时,他们会怎么做呢?现实情况是很多人会汇款。员工甚至CFO都可能会在压力下感到慌乱或屈服,除非他们以前遇到过这种情况,或者受到相关场景式的互动培训。因此,我们可以协调内部或与外部网络安全专家进行多种场景的模拟练习。通常可以基于攻击历史,根据组织机构的复杂性,持续几个小时甚至几周,安全意识培训团队可以预定义任意可能社交诈骗场景,并做出关键的防范决策以消除该类威胁。模拟练习可以使员工们在面临高压和不断升级的情况下,训练承受力、定力以及合规性,进而为实际攻击的发生做好应对准备。

简而言之,减少社会工程学攻击和电信诈骗的攻击面的关键在于安全意识和模拟训练。统计表明:在人员方面进行的信息安全投入,回报是巨大的。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统和模拟练习平台,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

通过更新人脑来防范网络安全人为错误

众所周知,人为错误是目前网络攻击的最大原因。当组织面临网络威胁时,如果员工从未接受过适当的培训以了解如何处理威胁,就不能责怪他们。这也就意味着,在与科技技术交互时,人类很容易出错,在网络安全方面,仅仅一次错误的点击都有可能是有害甚至致命的。对此,昆明亭长朗然科技有限公司网络安全研究员董志军补充说:有调查显示十分之九的网络事故是人为错误的结果,组织机构的第一道网络防线是受过适当教育的工作人员,我们也可以将其视为人类防火墙。通常情况下,成功的网络入侵或钓鱼攻击是组织没有对其员工进行适当安全意识培训的结果,仅此一点,组织机构就应该为员工提供更多的网络安全意识认知及最佳实践方面的培训。

当然,确保安全防范技术保障措施到位仍然很重要。但是也需认识的技术的局限,环顾当前大部分的入侵行为,威胁者利用的更多是人性的弱点,并非系统的漏洞。正常来讲,兵来将挡,水来土掩,有漏洞(弱点)修复即可。麻烦的是人性的弱点可不是简单地安装修复程序就可以的,想要克服人性的弱点,要困难的多。更为麻烦的是,许多职场员工并没有意识到他们有多么脆弱,也没有意识到他们可以产生多大的影响,无论是消极的还是积极的。没有多少职场人士会觉得自己在网络安全方面很笨,或者至少需要加强学习来填补知识空缺或人类本性方面的弱点。

尽管客观问题和困难是存在的,我们仍然可以做一些事情,以确保员工们能够跟上网络安全的步伐。虽然在传统上,网络安全看起来像是一个特定于IT的问题,不过其越来越像技术、人员和管理的问题,这就使其不再局限于特定的IT技术,更应该是整个组织安全文化的优先事项。谈到网络安全,经历过几十年的IT基础建设及应用开发的热潮之后,最薄弱的环节已经不再是软件或硬件,不再是技术和流程,而是数据和人员。研究表明,通过为员工提供正确的网络意识培训,可以显着减少数据泄露等安全威胁。然而,现实情况是,大多数组织机构,包括机关单位和公司企业,并不具备设置和执行全面培训的专业知识。他们错误地以为,网上找一些网络安全PPT素材,PS一些图片配上文字形成海报及壁纸,或者使用一些公开的网络安全宣传视频,就可以搞得有声有色。的确,有声有色并不难,难的是有效,难的是证明有效。

可以通过运行网络钓鱼模拟来测试员工对网络钓鱼邮件的辨识能力,以确定薄弱环节所在。员工们能够发现网络钓鱼邮件吗?模拟钓鱼能够给出答案,据调查,最终用户打开网络钓鱼邮件的比例高达30%,因此最终用户通常是诈骗行为者最容易成功利用的薄弱。最好的证明方式当然还需要对比,在最近的一项研究中,那些只运行网络钓鱼模拟(没有伴随安全培训)的组织中,用户点击恶意网站的平均率为36%,然而,在那些将安全培训与网络钓鱼模拟相结合的组织中,点击率下降到13%,这还不到前者的一半。此外,在进行了持续的安全意识培训的组织中,被发现的网络钓鱼模拟链接的点击率降低至2%。

组织要知道,并非所有员工都是一样的,对网络安全的基本理解可能会有所不同。尽管网络安全知识并非一刀切,但是可以根据部门量身定制培训,使其更具相关性和成功性。如果组织决定运行网络钓鱼模拟,显示测试的统计结果可能是吸引员工并让他们意识到风险的一个好方法。人们在摔倒过之后,才会知道走路是要小心。通过模拟的网络钓鱼,也可以让员工们获得类似的教训,以便他们在面临真实的网络钓鱼时,知道要注意些什么。

通常,从技术上来讲,成功的网络入侵行为源自于某位员工的账号被盗。然而,网络犯罪分子可以通过多种方式使用网络钓鱼,进而盗取人员的账号和权限,更不幸的是,这些攻击不断发展,变得更加复杂且更难以检测。仅此一点,了解威胁的趋势和演变,非常重要。因此请记住,安全意识培训是一个持续的过程。毕竟,培训和教育需要随着时间的推移保持一致才能改变行为。如同每个月都有软件的更新一样,也需持续不断地对员工们进行适当的安全意识培训和更新,来抵御大多数新型威胁和花样变换不同的攻击方式。网络攻击花费了威胁者们很多钱,防范网络威胁,也占用了大量的IT资源,不仅用来解决问题,也包括重建和恢复系统的开支。在这些花费里面,最经济有效的,最划算的,可能就是安全意识培训,因为其修复的是人为错误方面的漏洞,而当今员工和组织面临的最大网络安全威胁之一就是利用人为错误的网络钓鱼。

安全威胁态势不断深化,网络治理法规不断出台,合规遵从性成为各类型组织机构的重要工作。即使依据法规要求,制定了最好的安全政策和操作流程,如果没有员工们的理解和认可,也可能很难让其遵守。如果能衡量员工们对网络安全措施的了解程度,就可以奖励那些遵循最佳实践的人员,奖励的结果可能会刺激其他员工也这样做。通过奖励负责任的网络安全行为,可以帮助塑造企业安全文化,安全应该是企业文化的一部分,因此需要时间,并且应该经常重复安全培训和奖励。衡量的方法,可以包括模拟钓鱼结果、安全巡查以及安全测试,通常来讲,在线培训模块包括考试评估功能,以测试员工的现有知识,并确保培训针对他们的特定知识差距进行量身定制。

如果组织决定实施员工安全意识培训计划,那么确保随着时间的推移,能够有效减少用户的人为错误。前期可以考虑一个高风险环境,如在研发部门、工厂或仓库,定期进行安全意识培训活动。同样,网络安全培训应该持续进行,特别是因为各种类型的攻击在不断发展。在形式和内容方面,也需要创新,量身定制是比较高级的方案,可以结合视频和互动材料,以及进修模块,帮助员工们将网络安全放在重要地位。每个模块都以测试结束,只有在评估成功后才能通过课程的学习,最终获得课程学习证书。学习证书是一种知识认可和精神奖励,有利于刺激员工们的安全行为和实践。

网络钓鱼威胁越来越严重,说“安全始于意识”一点都不夸张。通过修复人为错误来应对网络威胁,防范安全事件,已经是当下各类型组织非常紧迫的任务。使用昆明亭长朗然科技有限公司的在线安全意识培训平台,组织机构可以快速发起在线安全意识培训计划,学员们可以随时随地通过电脑、手机、平板等访问在线培训模块,涵盖的安全意识主题包括网络钓鱼、社会工程学、密码安全、计算设备保护、在外工作与远程工作、数据保护和社交媒体使用等等。欢迎有兴趣的客户及行业合作伙伴联系我们,体验我们的平台以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com