论文部分内容阅读
对于企业最薄弱的一环——人员而言,社会工程学是最强有力的攻击方法。犯罪黑客们承认这一事实。据Proofpoint的2016年人类因素报告,2015年,社会工程学是排名第一的攻击方法。
这些成功的社会工程学方法通常使用網络钓鱼和恶意软件。但除此之外,欺骗性的信息攻击者还有更多的工具和方法。
这就是为什么CSO应了解六种最有效的社会工程学方法的原因,攻击者在互联网上和网下都会使用这些方法,让我们深入了解每一种是怎样工作的,能达到什么目的,以及用于检测和应对社会破坏分子的技术、方法和政策,从而阻止其破坏活动。
第一种方法:启用宏。网络骗子使用社会工程学来欺骗企业用户启用宏,这样宏恶意软件就能发挥作用了。在对乌克兰关键基础设施的攻击中,出现在Microsoft Office文档中的虚假对话框让用户去启用宏,以便正确地显示在最新版本Microsoft产品中创建的内容。
骗子用俄语编写了对话文本,并使对话图像看起来是来自微软的。当用户编译并打开宏时,文档的恶意软件就会感染用户计算机。CyberX工业网络安全副总裁Phil Neray说:“这种网络钓鱼方法使用了一种有趣的社会工程学欺诈方法来对付大多数用户禁用宏这一事实。”
第二种方法:色情勒索。在被称为“网络钓鱼”的攻击中,网络罪犯装扮成有可能成为情人的人,诱使受害者泄露视频和照片,然后敲诈他们。Avecto公司高级安全工程师James Maude说:“这些陷阱已经发展到以企业为目标。”
Maude说,通过使用社交媒体找到企业的高管,色情勒索方法最终会敲诈他们,让他们泄露一些敏感的资料。Maude说,这些攻击也会针对出现在安全会议酒吧和酒店里的人。
第三种方法:扩展的亲和社会工程学。亲和社会工程学是指攻击者们通过共同的兴趣或者借助彼此相互认识的某种途径和受害目标建立联系。Right Brain Sekurity公司主管Roger G. Johnston博士解释说:“骗子们现在通过共同的政治观点、社交媒体团体、业余兴趣、体育、电影或者视频游戏爱好、激进的言论和众包环境等等途径来建立这些网络联系。”
Johnston说:“坏人的方法是成为朋友,请受害者帮他们个忙,逐步地要一些信息(最初是无害的),然后会要更敏感的信息。一旦受害者稍有不慎,攻击者就会敲诈他们。”
第四种方法:虚假招聘。有这么多猎头在寻找合适的求职者,因此,如果一个冒牌货把自己说成是合适的员工,并提供诱人但捏造的身份,而目的是获取信息——这很难让人怀疑。
Johnston解释说:“这可能不会直接产生计算机密码,但攻击者可以获得足够的数据,让您公司内部员工成为网络钓鱼的受害者。攻击者也可能威胁告诉员工老板他们要离开公司,而且已经获取了机密信息,从而对受害者进行敲诈。”
第五种方法:老实习生。虽然以前的实习生只是年轻人,但现在有很多年纪大的。Johnston解释说,攻击者以一名老实习生的身份出现,具有进行工业间谍活动所需的知识和经验,知道要问什么问题,也知道在哪里怎样查找机密信息。
这可能不会直接产生计算机密码,但攻击者可以获得足够的数据,让您公司内部员工成为网络钓鱼的受害者。
第六种方法:社会工程学Bot(僵尸程序)。PerimeterX首席研究员Inbar Raz说:“恶意僵尸程序通常用于非常复杂而且具有破坏性的社会工程学攻击。”Raz解释说,僵尸程序的恶意扩展功能劫持网上冲浪会话,感染网络浏览器,使用保存在浏览器中的社交网络凭证向朋友发送受感染的消息。
Raz解释说,攻击者使用这些僵尸程序方法来欺骗受害者的朋友去访问消息中的链接,或者下载并安装恶意软件,这使得网络犯罪分子能够构建包括了受害者计算机在内的大型僵尸网络。
用于预防、探测和应对社会工程学的技术、方法和政策
在乌克兰攻击的例子中,如果计算机加强了防护,不允许用户启用宏,那么就能够阻止攻击。Neray说,企业还可以使用深度数据包检测、行为分析和威胁情报来监控网络层的异常行为,例如对Microsoft Office进行乌克兰攻击所表现出来的行为。Neray说:“企业可以使用下一代端点安全技术在端点设备上执行类似的功能。”这些技术将有助于减少很多社会工程学攻击。
据Neray,针对上述问题以及很多其他攻击方法,应采取强制在网络和端点上进行网络分段、多重身份认证和攻击后取证等措施,以防止出现内部潜行,减轻凭证被盗造成的损害,并了解漏洞范围有多大,从而确保能够删除所有相关的恶意软件。
企业应该使用最小权限零信任、行为探测和监控等综合措施来发现攻击,并限制这种社会工程学方法造成的凭证滥用,以解决色情勒索问题。
如果色情勒索这种攻击对员工造成了损害,那么要小心地处理它。Maude说:“在任何行动中都需要发挥法律、人力资源和执法的作用,每个人都要做好最坏的准备。据我所知,员工意识和早期干预有助于减少损害。”
Johnston说,员工在遇到麻烦时可以使用恐慌性的语言,提醒老板出现了勒索或者胁迫攻击。Johnston说,为能够发现以年长实习生名义在公司工作的间谍,应注意那些从来不休假或者请病假的员工,因为他们可能担心在他们离开时,其活动会被发现。
异常行为监控产品以及一些防病毒和反恶意软件等工具能够检测到僵尸程序行为和浏览器的变化。据Johnston,企业可以使用威胁情报和IP地址信誉信息来检测一些较弱的僵尸程序。
员工培训
企业应不断地更新员工培训,让员工详细了解犯罪分子怎样使用社会工程学。Johnston说:“你应该专门的单独进行社会工程学认识培训,简要介绍这些攻击是如何工作的,为什么他们看起来像是真的。”Johnston说,可以做一次表演(现场或者视频),让包括受害者和肇事者在内的所有角色生动的展示出一些要点。
演示社会工程学是怎样针对每个人的,说明每个人都可能是脆弱的,介绍能够保护自己的工具,即使他们成为受害者,大家也能接受他们。
培训、政策和安全技术很好的结合后,企业能够抵制社会工程学的那些新老伎俩。对此,企业及其员工应齐心协力开展安全防护工作。
这些成功的社会工程学方法通常使用網络钓鱼和恶意软件。但除此之外,欺骗性的信息攻击者还有更多的工具和方法。
这就是为什么CSO应了解六种最有效的社会工程学方法的原因,攻击者在互联网上和网下都会使用这些方法,让我们深入了解每一种是怎样工作的,能达到什么目的,以及用于检测和应对社会破坏分子的技术、方法和政策,从而阻止其破坏活动。
第一种方法:启用宏。网络骗子使用社会工程学来欺骗企业用户启用宏,这样宏恶意软件就能发挥作用了。在对乌克兰关键基础设施的攻击中,出现在Microsoft Office文档中的虚假对话框让用户去启用宏,以便正确地显示在最新版本Microsoft产品中创建的内容。
骗子用俄语编写了对话文本,并使对话图像看起来是来自微软的。当用户编译并打开宏时,文档的恶意软件就会感染用户计算机。CyberX工业网络安全副总裁Phil Neray说:“这种网络钓鱼方法使用了一种有趣的社会工程学欺诈方法来对付大多数用户禁用宏这一事实。”
第二种方法:色情勒索。在被称为“网络钓鱼”的攻击中,网络罪犯装扮成有可能成为情人的人,诱使受害者泄露视频和照片,然后敲诈他们。Avecto公司高级安全工程师James Maude说:“这些陷阱已经发展到以企业为目标。”
Maude说,通过使用社交媒体找到企业的高管,色情勒索方法最终会敲诈他们,让他们泄露一些敏感的资料。Maude说,这些攻击也会针对出现在安全会议酒吧和酒店里的人。
第三种方法:扩展的亲和社会工程学。亲和社会工程学是指攻击者们通过共同的兴趣或者借助彼此相互认识的某种途径和受害目标建立联系。Right Brain Sekurity公司主管Roger G. Johnston博士解释说:“骗子们现在通过共同的政治观点、社交媒体团体、业余兴趣、体育、电影或者视频游戏爱好、激进的言论和众包环境等等途径来建立这些网络联系。”
Johnston说:“坏人的方法是成为朋友,请受害者帮他们个忙,逐步地要一些信息(最初是无害的),然后会要更敏感的信息。一旦受害者稍有不慎,攻击者就会敲诈他们。”
第四种方法:虚假招聘。有这么多猎头在寻找合适的求职者,因此,如果一个冒牌货把自己说成是合适的员工,并提供诱人但捏造的身份,而目的是获取信息——这很难让人怀疑。
Johnston解释说:“这可能不会直接产生计算机密码,但攻击者可以获得足够的数据,让您公司内部员工成为网络钓鱼的受害者。攻击者也可能威胁告诉员工老板他们要离开公司,而且已经获取了机密信息,从而对受害者进行敲诈。”
第五种方法:老实习生。虽然以前的实习生只是年轻人,但现在有很多年纪大的。Johnston解释说,攻击者以一名老实习生的身份出现,具有进行工业间谍活动所需的知识和经验,知道要问什么问题,也知道在哪里怎样查找机密信息。
这可能不会直接产生计算机密码,但攻击者可以获得足够的数据,让您公司内部员工成为网络钓鱼的受害者。
第六种方法:社会工程学Bot(僵尸程序)。PerimeterX首席研究员Inbar Raz说:“恶意僵尸程序通常用于非常复杂而且具有破坏性的社会工程学攻击。”Raz解释说,僵尸程序的恶意扩展功能劫持网上冲浪会话,感染网络浏览器,使用保存在浏览器中的社交网络凭证向朋友发送受感染的消息。
Raz解释说,攻击者使用这些僵尸程序方法来欺骗受害者的朋友去访问消息中的链接,或者下载并安装恶意软件,这使得网络犯罪分子能够构建包括了受害者计算机在内的大型僵尸网络。
用于预防、探测和应对社会工程学的技术、方法和政策
在乌克兰攻击的例子中,如果计算机加强了防护,不允许用户启用宏,那么就能够阻止攻击。Neray说,企业还可以使用深度数据包检测、行为分析和威胁情报来监控网络层的异常行为,例如对Microsoft Office进行乌克兰攻击所表现出来的行为。Neray说:“企业可以使用下一代端点安全技术在端点设备上执行类似的功能。”这些技术将有助于减少很多社会工程学攻击。
据Neray,针对上述问题以及很多其他攻击方法,应采取强制在网络和端点上进行网络分段、多重身份认证和攻击后取证等措施,以防止出现内部潜行,减轻凭证被盗造成的损害,并了解漏洞范围有多大,从而确保能够删除所有相关的恶意软件。
企业应该使用最小权限零信任、行为探测和监控等综合措施来发现攻击,并限制这种社会工程学方法造成的凭证滥用,以解决色情勒索问题。
如果色情勒索这种攻击对员工造成了损害,那么要小心地处理它。Maude说:“在任何行动中都需要发挥法律、人力资源和执法的作用,每个人都要做好最坏的准备。据我所知,员工意识和早期干预有助于减少损害。”
Johnston说,员工在遇到麻烦时可以使用恐慌性的语言,提醒老板出现了勒索或者胁迫攻击。Johnston说,为能够发现以年长实习生名义在公司工作的间谍,应注意那些从来不休假或者请病假的员工,因为他们可能担心在他们离开时,其活动会被发现。
异常行为监控产品以及一些防病毒和反恶意软件等工具能够检测到僵尸程序行为和浏览器的变化。据Johnston,企业可以使用威胁情报和IP地址信誉信息来检测一些较弱的僵尸程序。
员工培训
企业应不断地更新员工培训,让员工详细了解犯罪分子怎样使用社会工程学。Johnston说:“你应该专门的单独进行社会工程学认识培训,简要介绍这些攻击是如何工作的,为什么他们看起来像是真的。”Johnston说,可以做一次表演(现场或者视频),让包括受害者和肇事者在内的所有角色生动的展示出一些要点。
演示社会工程学是怎样针对每个人的,说明每个人都可能是脆弱的,介绍能够保护自己的工具,即使他们成为受害者,大家也能接受他们。
培训、政策和安全技术很好的结合后,企业能够抵制社会工程学的那些新老伎俩。对此,企业及其员工应齐心协力开展安全防护工作。