降低网络钓鱼攻击的风险

如今,网络钓鱼已演变成黑客用来渗透组织的最有效的工程攻击手段。网络钓鱼的目标是让人们不知不觉地下载恶意软件或泄露他们的访问凭据。最好的防御是作好个人警惕和防护工作。

在刚刚结束的“网络安全意识月”提醒人们,个人和集体行为是包含网络安全事件风险的行为。

以下是大多数组织能够以适度的成本实施的措施,并大大提高个人的警惕措施,从而降低网络钓鱼成功攻击的风险。

安全意识培训

安全意识培训是减少网络钓鱼攻击的最简单的措施。在许多组织中,每个人都需要参加基本的安全意识培训。通常培训大纲包括:

1.适当的组织和个人的互联网使用。

2.钓鱼和其他类型攻击的定义。

3.黑客动机概述。

4.网络钓鱼攻击和其他恶意入侵的不良后果。

5.遵守密码策略以及如何保护个人访问凭据。

6.如何发现可疑的传入电子邮件。

7.组织的电子监视防御的限制。

8.审查机密信息管理政策,包括:

·妥善处理机密信息。

·告诫不要点击来源不明电子邮件中的链接或附件。

·提醒不要在没有适当授权的情况下发出组织信息。

·鼓励向网络安全团队报告可疑的电子邮件。

9.报告网络钓鱼和其他安全事件。

10.网络安全小组如何调查网络钓鱼和其他事件。

11.物理安全和进入建筑物。

背景筛选

有时,一些黑客加入组织作为雇员或承包商只是收集内部信息。背景筛选是基于收集的信息预先处理未来网络钓鱼攻击的重要政策。而筛选不应仅限于员工,而应包括供应商员工和合同工,因为几乎每个人都能获得某种形式进入一些机构网络和设施的机会。

不筛查或随意筛选会让黑客收集内幕信息用于未来的攻击。

网络钓鱼意识培训几乎徒劳无功,因为那些已经经过训练,并警告和威胁工作人员不要点击可疑的电子邮件附件,但他们仍然这样做。员工似乎对此还不太重视。

每个组织都应该操作访问控制系统,以确保只有明确授权的人才可以访问系统和设施。每个人都需要学会坚定地挑战他们不认识的人和事。

频繁的物理安全监督包括:

1.在访问控制系统离开组织后,不会严格删除他们。

2.为个人担任的角色提供太多的机会。

模拟社会工程演习

有时,网络安全团队应将网络钓鱼消息作为一种演练发送给员工,以评估组织中安全意识培训的有效性。

排除演练价值的事件包括:

1.不举行演习。

2.举办过多的演练,可能让大量的员工烦恼。

3.制裁惩罚失误的员工,而不是使用这种相关事件来加强培训。

信息分类政策

组织应该发展,员工应该阅读和签署信息分类和管理政策。分类为组织数据的类别分配了一定的价值和敏感性。每个信息分类包括用于查看,编辑和共享数据的不同规则。

网络安全团队应该不断监控与网络上浮动的组织相关的信息。发现机密信息应触发调查。这些过程应保护机密信息,并使被动信息收集对攻击者更加困难。

破坏政策和这些过程的因素包括:

1.每个信息类别的模糊或复杂和冗长的定义。

2.未能调查潜在事件。

3.未能惩罚员工违规行为。

本文转自d1net(转载)

时间: 2024-09-13 18:06:53

降低网络钓鱼攻击的风险的相关文章

网络钓鱼大讲堂 Part3 | 网络钓鱼攻击向量介绍

网络钓鱼攻击的目的包括: 窃取数据及金融诈骗 高级持续性威胁(APT) 恶意软件传播 网络钓鱼这种攻击方式早就存在,但至今仍受攻击者青睐.在搭建了合适的钓鱼网络.收集了信息以及放置诱饵之后,攻击者可入侵任何公司.组织甚或政府机构,造成极大破坏.实际上,时至今日,网络钓鱼仍是最有效.最受攻击者欢迎的攻击向量. 数据窃取与金融诈骗 根据PhishLabs于2016年所作研究,2015年22%的鱼叉式钓鱼攻击的动机均为金融诈骗或其他相关犯罪.通过这种攻击方式,攻击者获利颇丰,所以该类事件不胜枚举.例如

AI+网络安全 让鱼叉式网络钓鱼攻击无所遁形

2017年是网络攻击极其活跃的一年,全球先后发生了多起大型网络攻击事件,例如令人震惊的Wanna Cry勒索病毒席卷全球,包括中国在内的150多个国家受到网络攻击.各国企业.学校.医院等机构无一幸免,纷纷中招.  网络攻击往往给企业和个人造成巨大的损失.过去,网络攻击组织主要中利用漏洞来发动针对性的攻击,但是随着"漏洞赏金" 计划的日益普及,利用漏洞攻击越来越难,这迫使攻击者们将视线重新放回到常规攻击途径--网络钓鱼.网络钓鱼可以说这是近两年最常见的攻击手段.  威瑞森针对2016年的

Radware:防御现代鱼叉式网络钓鱼攻击的方法

在网络安全领域工作的人都知道,网络钓鱼攻击,特别是针对大型企业的网络钓鱼攻击正在崛起.由于攻击依赖的是任何可利用的人为因素,因此,攻击者对这类攻击十分青睐. 多年以来,网络钓鱼攻击在不断地发展,而在过去,这些攻击仅仅只是简单的攻击.攻击者会发送一条带有可以跳转到虚假网站的链接的信息,诱骗用户在自己的电脑上运行恶意代码.现在,网络钓鱼攻击却变得非常复杂,可以给受害者带来极其严重甚至是无法挽回的损失. 目前,反安全领域中最有效的网络钓鱼攻击就是鱼叉式网络钓鱼,该攻击可以侵入所有的防御层.近年来,多数

RSA报告全新网络钓鱼攻击中国比例上升

来自RSA反网络欺诈指挥中心的<RSA网络欺诈报告>9月月报显示,RSA FraudAction研究实验室最近发现了一种新的.针对 网上银行客户的独特网络钓鱼攻击.这种网络钓鱼攻击诱骗银行客户在普通的网络钓鱼网站中输入用户名和密码,但增加的虚假实时聊天支持窗口可以通过欺诈者发起的实时聊天会话获取银行客户的凭证.这种攻击第一次通过常规手段执行,但它却表现出更先进层次的网络欺诈实施手段. 该报告还显示,8月份网络钓鱼攻击的数量超过了2008年4月的15002起攻击高峰值,达到创纪录的16164起.

了解你的敌人 网络钓鱼攻击的实现过程(1)

网络钓鱼是通过 大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名.口令.帐号 ID . ATM PIN 码或信用卡详细信息)的一种攻击方式.最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并 获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉.这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益.受害者经常遭受显著的经济损失或全部个人信

网络钓鱼大讲堂 Part1 | 网络钓鱼攻击定义及历史

何为网络钓鱼攻击? 首先,我们看一下网络钓鱼攻击的定义:网络钓鱼攻击(phishing与fishing发音相近)是最初通过发送消息或邮件,意图引诱计算机用户提供个人敏感信息如密码.生日.信用卡卡号以及社保账号的一种攻击方式.为实施此类网络诈骗,攻击者将自己伪装成某个网站的官方代表或与用户可能有业务往来的机构(如PayPal.亚马逊.联合包裹服务公司(UPS)和美国银行等)的代表. 攻击者发送的通信内容的标题可能包含"iPad赠品"."欺诈告警"或其他诱惑性内容.邮件

网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术

要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击.尽管无法保证攻击者不攻击您或您的企业,但请记住"凡事预则立". 计划与准备 像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的.发起攻击前,需要进行大量的研究和细致的计划与准备.很多情况下,

如何使用Unicode域名进行网络钓鱼攻击?

本文讲的是如何使用Unicode域名进行网络钓鱼攻击?,如果我告诉你这可能是一个网络钓鱼网站,你会相信吗?来看下这个POC Punycode是可以注册具有外来字符的域名,它是通过将单个域标签转换为仅使用ASCII字符的替代格式来工作.例如,域"xn--s7y.co"等效于"短.co". 从安全角度来说,Unicode域可能是有问题的,因为许多Unicode字符难以与常见的ASCII字符区分开来.可以注册诸如"xn--pple-43d.com"的域

用户无法识别网络钓鱼攻击

研究人员发现,电脑用户对于识别恶意软件还算可以,但对于识别网络钓鱼就无能为力了.因此研究人员想要通过改变网络钓鱼的识别方法来改变这一现状. 一项基于眼球运动追踪和大脑活动的最新研究表明,电脑用户对于钓鱼攻击迹象的发现上往往太过仓促. 伯明翰阿拉巴马大学参与此项研究的专家尼特斯·撒克西纳在该大学网站上的一篇论文中说,"即使用户知道在进行关键操作时应该对钓鱼攻击进行识别,并且下意识地对网站的真实性进行分辨,他们还是常常造成误判." 于是,专家们就想要找到一种可以通过追踪用户的潜意识来检测网