2022年最常见的网络攻击媒介是什么? 高级持续性威胁(APT)? Ransomware? DoS (Denial-of-service)攻击或分布式DoS攻击?
实际上,根据Verizon的说法 2022年数据泄露调查报告在美国,82%的违规行为是人为因素造成的.e.,社会工程). Surely, 问题的部分原因在于,IT和安全领域之外的许多(或大多数)员工缺乏网络安全知识. 但这不是完整的答案,因为安全专业人员自己完全有可能成为社会工程黑客的受害者, too.
This type of vulnerability hinges on human psychology—the things that motivate us; inspire urgency, fear and greed; and create the urge to please or obey. Thus, 用户教育是网络安全专业人员用来对抗社会工程的最重要的工具之一.
然而, 这并不是要贬低许多其他战略和技术的有效性,这些战略和技术可以而且应该用于打击由社会工程推动的网络攻击和违规行为. 电子邮件安全网关, 例如, 能有效地转移社会工程的企图吗, 还有其他的, 更新的技术也可以帮助驯服这头野兽.
构建商业案例
如果用户教育是转移社会工程企图的关键, 那么管理层的支持就是必要的前兆. 然而, 高管们似乎经常将网络安全视为成本中心, 而不是商业运作的固有部分.
要改变这种观点,很可能需要一个强有力的商业案例, 这反过来又需要从管理中投入业务成本. 这是一个经典的先有鸡还是先有蛋的难题? 幸运的是(或者不那么幸运的是)我们有大量的研究和统计数据, 就像Verizon报告中的那些, 作为谈话的开始.
从那里, 您可以开始考虑由社会工程导致的攻击或破坏的潜在业务成本. 这应该包括硬性支出,比如销售损失, 降低员工的生产力和潜在的罚款,以及软损失,如澳门赌场官方下载声誉和客户关系的损害.
预先警告,预先准备
无论你收到多少资金(或预算), 有各种各样的工具和资源, 从免费软件到付费服务, 可用于设计和运行模拟的社会工程攻击. 有几个例子是 社会工程师工具包 (组)和 微软的后卫 为办公室.
甚至是一个提高公众意识的项目, 比如发送最新的社交工程漏洞,或者在新员工入职培训中增加一个简短的介绍, 可以帮助降低成功攻击的风险吗. 游戏化 is another route that may up-level social engineering awareness; a number of vendors and organizations offer platforms and tools for this purpose.
尤其是在这个劳动力日益混合的时代, 一个建立意识的项目——无论其规模或范围——变得更加重要. 员工是抵御这些攻击的第一道防线, 教育是武装他们对抗社会工程的关键.
但要尽可能地分层防御
除了意识培训和教育, 有相当多的技术可用于增强和加强限制社会工程攻击影响的努力. 基于云的电子邮件安全网关只是一个例子. 取决于预算, 人员配备, 现有基础设施的年代, 被保护资产的价值等方面, 分层防御策略的范围可能从相对低成本和简单到更复杂(和昂贵)的努力.
强制执行强密码 是一个比较便宜的例子吗, 这是一种简单快捷的策略,可以非常有效地避免数据泄露和其他网络攻击. 其他策略和技术可以与现有技术并行推出,以尽量减少中断,同时准备一个新的, 更强的安全基础设施. 零信任网络架构(ZTNA) is one such example; it can be deployed alongside a secure sockets layer (SSL) virtual private network (VPN), 最初作为覆盖层来增强安全性,最终取代它.
其他社会工程防御,如 多因素身份验证 (MFA)有时可以作为现有设备(包括下一代防火墙和SSL VPN)的附加许可证. 基于云的MFA甚至生物识别技术也可以作为选项.
持续的威胁
社会工程是一种有害且持续存在的威胁,是迄今为止主要的网络攻击载体. 通过理解它是如何工作的, 教育用户,采取合理的技术防御, 网络安全专业人员可以努力消除其对关键网络资源的影响.
编者按: 要进一步了解这个话题,请阅读李春最近在《澳门赌场官方软件》上发表的文章, “打击社会工程,” ISACA杂志,第2卷2022.