安全最大的問題出在人的身上,解決方案也一樣。我們來看看《Verizon 2015年企業數據泄漏調查報告》(DBIR)中的一個分類--網絡釣魚。
網絡釣魚現在已受到很多首席信息安全官的關注。我們知道,不少業內震驚的數據泄露事件都是由網絡釣魚的得逞而引起的。我們也見證了經由策略郵件實施的網絡欺詐案例的大幅上漲。這些策略郵件大多以公司高管為目標,郵件內容經過精心策劃,非常具備迷惑性。
那么關于網絡釣魚,今年的DBIR又告訴了我們什么呢?
23%的接收者會打開釣魚郵件,11%會點擊附件。其中近一半的人會在第一個小時內打開郵件并點擊釣魚鏈接。
情況似乎不太嚴重,只有23%的員工會打開釣魚郵——而且這其中只有50%是在第一個小時內點擊的。
但當你考慮到以下兩件事時,情況看起來就惡劣多了:
·首先,會打開郵件的那23%與去年的10%-20%相比有了明顯上升。
·其次,點擊誘騙鏈接的危害可不容小覷。兩年來,超過三分之二的網絡間諜事件都有著明顯的網絡釣魚特征。”畢竟這是一種很有效率的攻擊方式,但很多公司只考慮將大量時間和金錢花在“保護人本身”上面,于是問題卻越來越嚴重。這里討論可不僅僅是從員工身上獲取信息,雖然這是惡意軟件遠程登錄企業網絡或者將有價值的數據偷運出去的常用方法。
網絡釣魚問題的一個重要部分在于釣魚技術不僅越來越復雜精密,也越來越難以阻擋。可以說,成功的網絡釣魚郵件更像是一場戰役,用戶會在短時間內收到大量的郵件。這是提高效率的一部分,他們用更多的郵件淹沒用戶,寄希望于降低用戶的防備心而點擊里面的鏈接,這樣他們就能悄悄潛入用戶電腦了。
DBIR中寫道:
“這些數字表現出的是,僅僅10封電子郵件就能產生90%的幾率至少有一名用戶會成為網絡罪犯的獵物,然后該用戶被打包,貼上標簽,賣給市場上的“魚販子”。
企業不能棄用電子郵件,無論是內部交流還是與用戶溝通,因此還是來看看我們能做點什么吧。
凡事預則立
如果你能在釣魚郵件到達員工之前就捕獲它,比如說采用網關檢測,那樣就能將員工隔離在釣魚環節之外。但攻擊者無時不刻的在研究并攻克各種檢測手段,因此指望郵件網關完全捕獲釣魚郵件是不大現實的。
而且可能的話,盡可惻然隔離或者刪除郵件,不要僅僅拖到垃圾郵件文件夾。在一樣案例中,有人會“勤快”地從垃圾郵件文件夾中恢復出惡意郵件,然后點擊鏈接或者打開惡意附件。于是……這樣的案例并不十分令人意外。
訓練網絡釣魚的防范意識
如果想讓你的員工在面對網絡釣魚攻擊時有著更充分的準備,一個好的方法就是讓他們在一個安全的環境中事先操練一番。信息安全意識培訓提供商雖然有多種方案任君挑選,但如果想要免費的話,OpenDNS上的網絡釣魚小測驗是個不錯的選擇,可以有效的提升其用戶的“網絡釣魚識別”能力。
這個小測試聚焦在網絡釣魚網站,并沒有針對魚叉式網絡釣魚的電子郵件。不過它仍不失為一個非常不錯的資源。
另外還有一些關于怎樣識別網絡釣魚郵件的好文章。比如,微軟的安全中心就有一份非常好的安全指南。國內的一些安全網站上也有一些很有用的相關信息。
關注可能的受害者
DBIR中稱,有些人更傾向于打開釣魚郵件。
聯絡部、法務部、客戶服務部等部門遠比公司其他部門更傾向于打開電子郵件。”但只要打開電子郵件,任何部門的人點擊里面鏈接的可能性都是一樣的。如果你認真觀察那些本來職責就是打開郵件并回復的部門的數據,便會有所收獲的。另外要注意高管,最好將他們也加入到易打開釣魚郵件的名單中。現實中有過太多針對CXO人員的釣魚郵件案例了。
亡羊補牢
確保系統的檢測和響應程序有效并且就位。一個相對簡單的解決方案可換來巨大的收益:
確保用戶別用本地管理員權限登錄系統!只要做到這一點,惡意軟件的瘋狂爆發可能性會極大的降低。這樣做雖然會帶來些操作上的麻煩,也許有人會對安全人員抱怨,但至少保證了系統不會遭受更大的損失,相反的例子如索尼影業。
網絡釣魚僅僅是數據泄露涉及的一個方面,但問題確實出在人身上,因此人本身也是解決問題根本所在,解鈴還須系鈴人。
原文地址:http://www.aqniu.com/neo-points/7733.html