受社会工程攻击威胁的企业:保护自己的三大基本技巧
人们都知道网络犯罪分子通过窃取敏感数据来赚钱,特别是一些数据属于公司时。但大家通常不知道他们是如何犯罪的。一般来说,它与物理访问无关,也可能与攻击公司的IT基础设施无关。事实上,有些人认为,在数据安全方面,公司面临的最大威胁是社交工程。我们将向您提供一些技巧,让您了解可以采取哪些措施来保护您公司的数据,避免那些使用欺诈手段而非复杂技术窃取公司信息的骗子。
- 利用技术保护您的数据
人们认为社会工程更多地与人类心理学有关,而不是电子设备。他们认为对于社会工程的保护应该建立在大脑而不是IT基础设施中。 这从严格意义上说是不正确的。
例如,在去年7月,谷歌层自豪地宣布,自从公司员工使用YubiKeys和双重身份验证(2FA)以来,它没有遭受过任何一次成功的网络钓鱼攻击。有超过8.5万人为该硅谷巨头工作,基于这个数字,这可以说是一项相当大的成就。
如您所见,重要的是不仅要培训员工使用双因素身份验证,还要选择最安全的2FA形式。它们比U2F硬件令牌更安全。
其他技术也可以提供帮助。例如,可靠的密码管理解决方案可以员工提供避免弱密码和密码重用的简单方法(这两项可能导致社交工程攻击)。具有自动填充功能的密码管理器将仅在网址正确时填写登录信息,这可以帮助员工避免泄露其用户名和密码。不言而喻,如果公司还未在安全软件上有所投入,那么现在是时候该考虑了。
投入的多少取决于企业的规模和潜在的损害。通常,反网络钓鱼和恶意软件过滤器能够抵御大多数社交工程电子邮件(最常见的攻击媒介)。但如果恶意文件被通过,安装在员工计算机上的安全产品可以充当最后一道防线。
技术可以帮助企业保护自己免受社会工程攻击,但这远远不够。
- 尽可能提高安全意识
许多人说,在网络安全方面,人是最薄弱的环节。然而,我们认为,更准确的说法是,最薄弱的环节是那些不什么都不了解的人。
许多组织错误地认为他们的团队非常安全不会遭受社会工程攻击。他们也往往低估了攻击者。当事情最终出现可怕的后果时,他们甚至不知道问题出现在哪儿。
俗话说,预防比治疗更重要。对于企业来说,预防不仅仅是在员工的计算机上安装最新的安全软件。更重要的是,人们应该了解威胁并意识到它的真实性。
一些公司认为,最好的方法是将所有员工都安排在会议室并用演示文稿向他们讲解。其他人采取更加客观的方式,比如,发送一封电子邮件,其中包含一些关于社会工程的“必读”文章。
正如另一句俗语所说,经验是智慧之母。如果按照这句话所说,上面列出的方法或许就不那么有效了。事实上,大多数演示文稿的讲解跟上课一样无趣,并且无可否认,当涉及到有用和不可用的内容时,员工和经理的看待态度或许会不一样。
因此,他们需要一个更直观的方式来了解社会工程有多么危险。通过模拟攻击来训练他们是一项可行的方法。如果您可以聘请专家来准备模拟,您的员工将获得更真实的体验。但是,不要依赖单一的训练课程。许多攻击会随着时间的推移而发展,变得更加复杂。虽然有反复出现的主题,但它们利用了以前没有被滥用的弱点(人力和技术)。让您的员工了解最新趋势,确保他们始终保持安全意识。最后但同样重要的是,您需要为最坏的情况做好准备。
- 控制企业在线资产的访问权限
即使拥有最好的安全产品,并且拥有最熟练的员工,您也不应该放松警惕,认为坏人无法进入您的公司。相反,您应该让自己习惯可能会发生的问题和处境。这样当问题真的发生时,您可以更从容地处理。
您必须确保尽可能组织损害。唯一的方法是对员工能够和不能访问的内容施加限制。为了保持凝聚力,您应该考虑为何这么做的原因,让他们知道限制访问与缺乏信任无关。如果某个人无法获得某些信息,那并不是因为他们没有能力处理。而是因为他们的工作中用不到这些信息。当然,手头的任务所需的某种类型的数据必须是可用的。
这样做可以确保当问题出现时,尽可能少的信息会受到威胁。尤其应该关注的是最有可能受到攻击的人。经理和C级员工倾向于认为,由于他们是主管人员,因此他们应该没有禁区。而现实情况一般不一样。试着向他们解释不限制访问权限可能产生的后果,并确保他们知道您正在做什么以及为什么。最终的想法是他们决定的,但你至少可以让他们知道什么对他们最好。
现代企业面临的另一个问题是所谓的自带设备(或BYOD)政策。近年来一个明显的趋势是员工使用个人笔记本电脑、智能手机和平板电脑进行工作。越来越多的人希望这样做,越来越多的企业也允许这种行为,并表示它能显著提升生产力。然而,安全风险也显而易见。尽量仔细权衡利弊。如果您允许这么做,请确保严格规定什么设备可用和何时可用。当有太多利害关系时,怎么小心都不为过。
总结
很遗憾,目前没有(也永远不会有)一步一步的算法可以保证完全防范社会工程诈骗。事实上,我们上面列出的提示可能远远不足以保护您的组织免受此类活动的影响。但是,当您想要正确评估公司需求时,它们能够帮助您获得正确的思维方式,这一点非常重要。
