在互聯網安全保護領域首屈一指的Check Point 軟件技術有限公司最近公布一項調研報告，結果顯示48%受訪企業曾遭受社交工程攻擊，在過去兩年中受襲的次數達到25次或以上，每次社交工程攻擊事件導致企業蒙受25,000美元至100,000美元以上的損失。Check Point 的這份題為《信息安全社交工程風險》的報告指出，網絡釣魚及社交網絡工具是社交工程攻擊最為普遍的來源。因此，該份報告建議企業應當執行結合技術與用戶意識的安全策略，才能將攻擊頻率以及損失降到最低。

通常社交工程攻擊的目標是擁有特殊知識或有權查看敏感信息的人士。如今黑客為了找到企業內部的脆弱環節，會利用各種技術和社交網絡應用，來收集員工個人的私人以及職業信息。Check Point 的這份報告訪問了全球850多名信息科技和安全專家，其中86%的受訪企業認為社交工程是一個日益加劇的隱患，大部分的調查對象(51%)認為獲取利益是攻擊的主要動機，其次是獲得競爭優勢以及報復。

Check Point安全產品副總裁Oded Gonda表示：“接近50%的受訪企業知道它們曾受到社交工程攻擊，而且有不少攻擊更不為人知，這顯示社交工程攻擊的影響不容忽視。”

社交工程攻擊主要是利用個人的弱點，而Wed 2.0以及移動計算的流行也使獲取個人信息變得更為容易，同時也為社交工程攻擊創造了新的切入點。對企業安全政策不太熟悉的新員工(60%)和合約商(44%)被認為是最容易受到社交工程影響的群體，此外，助理、人力資源和信息科技部門員工也容易受到社交工程攻擊。

Gonda表示：“人員是安全流程中的關鍵部分，他們可能會被犯罪份子誤導犯錯，從而導致惡意軟件感染以及無意識的數據丟失。很多企業并沒有對用戶參與給予太多的關注。實際上，員工應當是第一道防線。提高用戶安全意識的一個好方法是讓他們參與安全流程，支持他們實時的去防止和補救安全事件。”

為達到現代信息技術環境所需的安全保護要求，安全需把相互獨立的技術整合成一個有效的業務流程。憑借Check Point 3D安全方針，企業能夠掌握及實施一個超越技術層次的安全藍圖，并通過讓員工參與安全流程以達到教化的目的。Gonda表示：“雖然員工會犯錯，導致企業內部違規或者帶來威脅，但同樣他們也可以在降低風險方面發揮巨大作用。”通過Check Point獨一無二的UserCheck?技術，企業可在員工訪問公司網絡、數據以及應用程序時提醒和教育他們遵守企業政策，幫助企業把社交工程技術發生的頻率、風險以及損失降到最低。

報告的調研結果摘要如下：

· 社交工程攻擊的確帶來危險：86%的信息技術及安全專家已經意識到社交工程所帶來的各類風險。近48%的受訪企業表示，在過去兩年中曾遭受超過25次的社交工程攻擊。

· 社交工程攻擊帶來嚴重經濟損失：受訪者估計每次安全事故會導致25,000美元至超過100,000美元不等的損失，這其中包括業務中斷、客戶流失、收入減少和品牌受損等。

· 最常見的社交工程攻擊來源：網絡釣魚郵件(47%)，其次是會暴露個人和職業信息的社交網絡(39%)以及不安全的移動設備(12%)

· 獲取利益是社交工程攻擊的主要動機：獲取利益被認為是社交工程攻擊的最主要動機，其它動機依次是：獲得專有信息(46%)、取得競爭優勢(40%)以及報復(14%)。

· 新員工最易受到社交工程攻擊影響：受訪者們認為新員工是易受社交工程威脅的高危群體。其它依次為合約商(44%)、行政助理(38%)、人力資源人員(33%)、商業領袖(32%)和信息技術人員(23%)。無論員工在企業中擔任何種職務，對其進行適當培訓并培養其用戶意識都是安全政策中的重要一環。

· 缺乏對預防社交工程危害的主動培訓：針對社交工程攻擊，只有19%的企業有這方面的培訓或部署安全政策，而34%的企業沒有任何計劃。

《社交工程信息安全的風險》調研于2011年7月至8月期間進行，采訪了850多名來自美國、加拿大、英國、德國、澳大利亞和新西蘭的信息技術和安全專家。此次調研的受訪代表來自不同規模組織，橫跨多個行業包括金融、工業、國防、零售、醫療保健和教育機構。如需了解更多社交工程攻擊或分享個人觀點，請訪問http://www.checkpoint.com/surveys/socialeng1509/socialeng.htm，便可獲得完整的調研報告并參與在線調查。

Gonda總結道：“安全不僅是信息技術管理員的責任，也是每位員工職責中不可或缺的一部分。現在行業正面臨著越來越復雜和具有針對性的威脅，用戶的參與會使安全技術更智能、更有效。”