導語:在這樣一個數據安全防御系統愈趨復雜的時代,攻守雙方同樣面臨著彼此不斷增長的壓力。本文試圖探討針對“人”進行入侵的手段,而不是討論以往主要針對網絡入侵的技術方法。
針對人的入侵所采用的手段根本稱不上“sophisticated”(高端精密)的技術。但這些手段看起來簡單,卻通常比較隱秘,并難以被追蹤。因此,萬萬不能忽視這些低技術含量的攻擊手段帶來的威脅。
以下三種威脅,所有的IT專業人士都應該有所警醒,并采取必要的措施予以應對:
視覺入侵
視覺入侵,一種通過視覺手段捕獲敏感、機密和私有信息進行非法使用的低技術含量入侵方法,對于企業來說,是一種不好對付的風險。畢竟,攻擊者通常只需要一丁點有價值的信息就可以造成大規模的數據泄露。
設定場景:第三方不良分子假扮成供應商或建筑工人進入辦公區,他獲得了大樓的通行權,基本上就可以在辦公區內暢通無阻。對他來說,拍下雇員電腦屏幕上顯示的訪問入口和登錄信息是很容易的事。不良分子通過視覺入侵公司后,就有能力滲透到組織的網絡并發動網絡攻擊了。
解決方案:提升工作人員對于視覺隱私價值的認識是打擊這一新興企業風險的必要措施。策略和規程中應該對設備和物理文檔進行視覺入侵有所應對。員工意識和溝通程序與關于視覺入侵和其他低技術含量威脅的持續教育相結合,也是有幫助的。還有就是可以為員工配備視覺隱私過濾器這樣的工具。
內部威脅
由雇員行為引起的數據丟失應當是當今IT專業人士主要關注的問題。這樣的例子越來越多仿佛已經司空見慣。最近發生在索尼影業數據泄露事件,是以和平衛士自居的黑客,聲稱利用內部人士獲得進入公司的權限,破解了相關記錄,以拿到的公司數據進行威脅以滿足他們的要求。
粗心的員工,特別是那些通過自帶設備或公司發放設備訪問公司網絡的人,可以很容易地造成公司數據或知識產權受損,甚至發生數據泄漏而不為人知。還有一些心懷不滿的員工,同樣也可以對公司的專屬信息構成嚴重威脅。這些員工可能會受潛在經濟利益的引誘或者心懷惡意。就像索尼影業事件中的黑客所要求的一樣,與黑客有著相似利益的員工也可能被說服加入他們的行動并協助從內部實施攻擊。
解決方案:對于粗心的員工,缺乏意識和不夠勤勉在數據泄露中扮演著重要因素。IT專業人員通過確保公司策略和規程可以幫助降低風險,包括公司數據的職業行為語言,以及努力增加與這些員工的溝通。進一步要確保手機或筆記本電腦等一旦落入不良分子之手的設備要擁有遠程擦除功能。對于不滿的員工,要監視其可疑行為,尤其是在差評后或試用期內。
社會工程
社會工程入侵,是指不良分子通過利用人類心理而非使用高科技黑客技術獲取公司系統或數據訪問權限的一種手段。冒充可信供應商或IT團隊成員,打電話索要像密碼和電子郵件地址這樣的機密信息,聲稱用于修正服務器問題;或者冒充朋友發送電子郵件邀請員工點擊其中的鏈接,試圖通過“網絡釣魚”獲得公司網絡的訪問權限,就有可能發生社會工程入侵。
這些不良分子一旦得逞,就不難深入滲透進公司的網絡和數據庫。今天的社會工程師都非常精明,常常在發起攻擊之前對公司進行研究,熟悉公司的活動和行話,以表現自信,讓社會工程受害人放松警惕繳械投降。
解決方案:提高意識對于打擊社會工程入侵至關重要。發起交流活動強調現實生活中的例子,幫助員工認識到社會工程入侵真實存在,并且形式多多樣。鼓勵員工向IT經理報告可疑行為。
D1Net評論:
從目前來看,威脅的形式一直以來都在不斷地進行進化,隨著防火墻、反惡意軟件和其他高科技防御使得公司數據庫越來越難以從外部進行穿透,黑客將通過對人力資源的入侵來獲取機密信息。IT專業人員和領導人士需要馬上行動,在公司安全策略中采取相關防御措施,應對這些低技術含量的威脅。
京公網安備 11010502049343號