受社會工程攻擊威脅的企業:保護自己的三大基本技巧

Social Engineering Attacks on Businesses

人們都知道,如果竊取敏感數據,犯罪分子就會賺很多錢,特別是當這些數據屬於公司時。他們並不總是意識到壞人是如何得到戰利品的。通常,它與物理訪問無關。它也可能與黑客入侵公司的IT基礎設施無關。事實上,有些人認為,在數據安全方面,公司面臨的最大威脅是社交工程 。今天,我們將嘗試向您提供一些提示,說明您可以採取哪些措施來保護您公司的數據,這些數據來自使用欺騙而非技術技能竊取公司信息的騙子。

    1. 使用技術保護您的數據

人們認為社會工程更多地與人類心理學有關,而不是電子設備。他們經常認為,對社會工程的保護應該建立在大腦而不是IT基礎設施中。這不是嚴格意義上的。

例如,在去年7月,谷歌自豪地宣布 ,自從它給員工YubiKeys並迫使他們使用雙因素身份驗證(2FA)以來,它沒有註冊一次成功的網絡釣魚攻擊。考慮到有超過8.5萬人為矽谷巨頭工作,這是一項相當大的成就。

如您所見,重要的是不僅要培訓員工使用雙因素身份驗證,而且選擇最安全的2FA形式也很重要。而且它們不比U2F硬件令牌更安全。

其他技術也可以提供幫助。例如,一個可靠的密碼管理解決方案為員工提供了一種避免弱密碼和密碼重用的簡單方法(兩件事可以使社交工程攻擊很容易實現)。具有自動填充功能的密碼管理器也將僅在URL正確時填寫登錄憑據,這也可以幫助員工避免洩露其用戶名和密碼。不言而喻,公司應該考慮投資安全軟件,如果他們還沒有。

投資規模取決於組織的規模和潛在的損害。然而,常識要求反網絡釣魚和惡意軟件過濾器應該抵禦大多數社交工程電子郵件(最常見的攻擊媒介),如果惡意文件確實通過,安裝在員工計算機上的安全產品可以充當最後一道防線。

因此,技術可以幫助企業保護自己免受社會工程攻擊。但這遠遠不夠。

    1. 提高盡可能多的意識

許多人說,在網絡安全方面,人類是最薄弱的環節。然而,我們認為,更準確的說法是,最薄弱的環節是那些不知道更好的人。

許多組織錯誤地認為他們的團隊太好了,不適合社會工程攻擊. 他們也傾向於低估攻擊者,當事情最終導致可怕的錯誤時,他們甚至不知道是什麼擊中了他們。

正如陳詞濫調所說,預防是所有治療方法的母親,當涉及到企業界的社會工程時,預防涉及的不僅僅是在員工的計算機上安裝最新的安全軟件。人們應該了解威脅,更重要的是,他們應該意識到它的真實性。

一些公司認為,最好的方法是將所有員工都安排在會議室並將其視為PowerPoint演示文稿。其他人採取更加客觀的方式,而是發送一封電子郵件,其中包含一些關於社會工程的“必讀”文章。

正如另一個陳詞濫調所說,經驗是智慧的母親,如果我們必須遵循這一點,那麼上面列出的訓練方法就不應該非常有效。事實上,大多數涉及PowerPoint演示文稿的活動通常會產生比教育更多的打哈欠,並且無可否認,當涉及到有用和不可用的東西時,員工和經理並不總是一致看待。

結果是,如果人們要知道社會工程是多麼危險,他們需要親自看到它。通過模擬攻擊來訓練它們是可行的方法。更好的是,如果您可以聘請專家來準備模擬,您的員工將獲得更真實的體驗。不過,不要依賴單一的訓練課程。攻擊隨著時間的推移而發展,計劃變得更加複雜,雖然有反復出現的主題,但它們利用了以前沒有被濫用的弱點(人力和技術)。讓您的員工了解最新趨勢,確保他們始終保持警覺。最後但同樣重要的是,為最壞的情況做好準備。

    1. 控制對組織在線資產的訪問

即使擁有最好的安全產品,並且擁有最知識淵博的員工,您也不應該假設壞人無法進入您的公司。相反 - 你最好的選擇是習慣於生活在遲早會陷入困境的生活中。這取決於你確保當他們這樣做時,他們將無法走很遠的路。

您必須確保盡可能地包含損害,並且唯一的方法是對員工必須和不能訪問的內容施加限制。為了保持士氣,你應該考慮一下你可以做些什麼來解釋你的決定的原因。人們必須知道缺乏信任與訪問限制無關。如果某個人無法獲得某些信息,那並不是因為他們不夠好處理它。這是因為他們不需要它來完成他們的工作。顯然,如果手頭的任務需要某種類型的數據,那麼它必須是可用的。

這可以確保如果出現問題,盡可能少的信息會受到威脅。特別關注最有可能受到攻擊的人。經理和C級員工傾向於認為,既然他們是主治人員,他們就不應該有禁區。通常情況下,現實情況有點不同。嘗試向他們解釋無限訪問的後果可能是什麼,並確保他們知道你在做什麼以及為什麼。最後,這是他們的電話,但你至少可以讓他們知道什麼對他們最好。

現代企業面臨的另一個問題是所謂的自帶設備(或BYOD)政策。近年來,員工使用個人筆記本電腦,智能手機和平板電腦進行工作的趨勢尤其強烈。越來越多的人希望這樣做,越來越多的組織開始允許它,並表示它有明顯的生產力提升。然而,安全風險應該是顯而易見的. 盡量仔細權衡利弊,如果你決定允許它,請確保有什麼可以使用和何時有嚴格的規則。當有太多利害關係時,你永遠不能太小心。

結論

不幸的是,沒有(並且永遠不會有)一步一步的算法可以保證成功防範社會工程詐騙。事實上,我們上面列出的提示可能遠遠不足以保護您的組織免受此類活動的影響。但是,它們應該幫助您獲得正確的思維方式,如果您想要正確評估公司的需求,這一點非常重要。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 3是什麼?