無論是行業大鱷,還是微不足道的SOHO家庭辦公,一樣都會遭到黑客攻擊,而且危害不僅僅是銷掉幾張信用卡那么簡單。如何保護企業網絡和用戶的安全?以下這些細節切記不可忽視。
細節1:知道誰會被黑客盯上,怎樣、以及為何被盯上
由于最近時而爆出知名公司網絡受到攻擊的新聞,許多企業主可能會想:“這種事不會發生在我身上—我的服務器上又沒什么非常寶貴的資料值得攻擊者下手”。事實上,許多攻擊根本不是針對性的,而是自我選擇的結果。也就是說,攻擊者廣撒魚網:將成千上萬封郵件發送到采集來的一批郵件地址上,給予回復的郵件地址(無論是通過點擊郵件里面的鏈接,還是發送回應信息的嵌入式圖片)都是自我選擇的目標,然后對其下手。
針對性攻擊有另一個廣為人知的說法,那就是“魚叉式網絡釣魚(spearphishing)”,這是一種比較危險的攻擊。一名出色的攻擊者會采取偵查手段—搜索目標組織的網站、上市公司向證券交易委員會提交的季度報告以及新聞稿,從中找出重要人物的姓名和郵件地址。如果這一招不靈,攻擊者可能會混跡于眾多行業會議和公開演講活動(會議網站上幾乎總是保存了幻燈片,其中演講者的姓名、頭銜和郵件地址一應俱全);他們還會光顧社交網絡網站—黑客只要通過Facebook粉絲頁面和LinkedIn個人檔案,摸清楚誰是企業負責人,然后就比較容易設圈套了。
一般的垃圾郵件發送者注重數量,而魚叉式網絡釣魚攻擊者注重質量。經常處理敏感文檔,或者在公司文件服務器方面擁有更高權限的任何高管,都可能會成為受害者。雖然一家公司的頭兒,比如首席執行官,會是魚叉式網絡釣魚攻擊者的主要目標,但同樣不能忽視了首席執行官的行政助理。行政助理平時每天替首席執行官收取陌生發件人發來的成百上千封郵件,可能還負責整理收到的所有郵件,往往壓力很大,絲毫不敢延遲對重要郵件的回復,因而更可能會在計算機安全方面作出糟糕的決定。
由于相似的原因,企業的法律顧問或專職律師也很容易成為攻擊目標,特別是遭到AdobePDF攻擊。律師經常彼此之間交換大容量的PDF文檔。所以不難想象,當有人利用某律師常聯系的一家頗有影響力的知識產權律師事務所的虛假地址,發送傳達停止不正當競爭命令的假冒郵件,或者將惡意代碼添加到PDF文檔中,這名律師會不假思索地打開這樣的郵件;一旦PDF文檔里面的惡意代碼得到執行,律師的電腦實際上就已被攻擊者所“掌控”。
細節2:當心圈套
企圖獲取競爭情報或實施企業間諜行為的魚叉式網絡釣魚攻擊,可能會采用極具針對性的郵件或即時消息(如IM和Twitter消息等),以使受害者更容易上鉤。一家研究機構的知名核物理學家不太可能會點擊兜售假冒勞力士手表或純天然壯陽藥的鏈接,但是如果郵件邀請受害者在一場知名的核物理學討論會上發表專題演講,就極容易中招。
你可能覺得,在2010年,大多數用戶(尤其是技術員工)會對聲稱“我們在改進安全措施”的任何要求用戶密碼重置的伎倆或郵件產生懷疑;但不幸的是,還是有多得驚人的用戶在上這種當。SpecialOpsSecurity公司在為企業組織和政府部門進行安全評估時,會進行一些有控制的試驗:有意地針對該組織的某些人進行網絡釣魚攻擊,跟蹤在加密網站上的點擊操作和密碼輸入。試驗甚至為組織的CIO們開設了自助服務門戶網站PhishMe.com,CIO們可以對自己的員工進行模擬的魚叉式網絡釣魚攻擊。模擬測試的結果往往讓人大吃一驚,人們的安全意識真的不如CIO們想象的那樣強。
京公網安備 11010502049343號