在这样一个数据安全防御系统愈趋复杂的时代,攻守双方同样面临着彼此不断增长的压力。本文试图探讨针对“人”进行入侵的手段,而不是讨论以往主要针对网络入侵的技术方法。
针对人的入侵所采用的手段根本称不上“sophisticated”(高端精密)的技术。但这些手段看起来简单,却通常比较隐秘,并难以被追踪。因此,万万不能忽视这些低技术含量的攻击手段带来的威胁。
以下三种威胁,所有的IT专业人士都应该有所警醒,并采取必要的措施予以应对:
一、视觉入侵
视觉入侵,一种通过视觉手段捕获敏感、机密和私有信息进行非法使用的低技术含量入侵方法,对于企业来说,是一种不好对付的风险。毕竟,攻击者通常只需要一丁点有价值的信息就可以造成大规模的数据泄露。
设定场景:第三方不良分子假扮成供应商或建筑工人进入办公区,他获得了大楼的通行权,基本上就可以在办公区内畅通无阻。对他来说,拍下雇员电脑屏幕上显示的访问入口和登录信息是很容易的事。不良分子通过视觉入侵公司后,就有能力渗透到组织的网络并发动网络攻击了。
解决方案:提升工作人员对于视觉隐私价值的认识是打击这一新兴企业风险的必要措施。策略和规程中应该对设备和物理文档进行视觉入侵有所应对。员工意识和沟通程序与关于视觉入侵和其他低技术含量威胁的持续教育相结合,也是有帮助的。还有就是可以为员工配备视觉隐私过滤器这样的工具。
二、内部威胁
由雇员行为引起的数据丢失应当是当今IT专业人士主要关注的问题。这样的例子越来越多仿佛已经司空见惯。最近发生在索尼影业数据泄露事件,是以和平卫士自居的黑客,声称利用内部人士获得进入公司的权限,破解了相关记录,以拿到的公司数据进行威胁以满足他们的要求。
粗心的员工,特别是那些通过自带设备或公司发放设备访问公司网络的人,可以很容易地造成公司数据或知识产权受损,甚至发生数据泄漏而不为人知。还有一些心怀不满的员工,同样也可以对公司的专属信息构成严重威胁。这些员工可能会受潜在经济利益的引诱或者心怀恶意。就像索尼影业事件中的黑客所要求的一样,与黑客有着相似利益的员工也可能被说服加入他们的行动并协助从内部实施攻击。
解决方案:对于粗心的员工,缺乏意识和不够勤勉在数据泄露中扮演着重要因素。IT专业人员通过确保公司策略和规程可以帮助降低风险,包括公司数据的职业行为语言,以及努力增加与这些员工的沟通。进一步要确保手机或笔记本电脑等一旦落入不良分子之手的设备要拥有远程擦除功能。对于不满的员工,要监视其可疑行为,尤其是在差评后或试用期内。
三、社会工程
社会工程入侵,是指不良分子通过利用人类心理而非使用高科技黑客技术获取公司系统或数据访问权限的一种手段。冒充可信供应商或IT团队成员,打电话索要像密码和电子邮件地址这样的机密信息,声称用于修正服务器问题;或者冒充朋友发送电子邮件邀请员工点击其中的链接,试图通过“网络钓鱼”获得公司网络的访问权限,就有可能发生社会工程入侵。
这些不良分子一旦得逞,就不难深入渗透进公司的网络和数据库。今天的社会工程师都非常精明,常常在发起攻击之前对公司进行研究,熟悉公司的活动和行话,以表现自信,让社会工程受害人放松警惕缴械投降。
解决方案:提高意识对于打击社会工程入侵至关重要。发起交流活动强调现实生活中的例子,帮助员工认识到社会工程入侵真实存在,并且形式多多样。鼓励员工向IT经理报告可疑行为。
威胁的形式一直以来都在不断地进行进化,随着防火墙、反恶意软件和其他高科技防御使得公司数据库越来越难以从外部进行穿透,黑客将通过对人力资源的入侵来获取机密信息。IT专业人员和领导人士需要马上行动,在公司安全策略中采取相关防御措施,应对这些低技术含量的威胁。
作者:沉香玉
来源:51CTO