本文讲的是有着90%入侵成功率的攻击手段:视觉入侵,“窥肩”这个词的含义很多,你也可以管这种行为叫直接窃听。3M和Ponemon Institute近期发布的一份报告指出了视觉入侵带来的风险。
它每天都会在全世界的办公室、咖啡店和机场发生:偷看其他人电脑显示器上显示的私人信息。
尽管有人会管它叫窃听,但它实际上是一种网络威胁,被称为视觉入侵。3M和Ponemon Institute在过去数年中研究了视觉入侵问题,并于近期发布了2016全球视觉入侵实验 (2016 Global Visual Hacking Experiment) 研究,详细描述了这种现象的冲击。
该研究包括了来自8个国家46家公司的实验数据。国家包括美国、英国、印度、韩国、德国、日本、中国和法国,以验证视觉入侵的风险和响应。该研究中的一个环节是研究人员戴上临时安全徽章并进入机构参与运行。研究人员进行了数项活动来甄别视觉风险,包括在办公室之间走动,查看在公司办公桌和计算机显示器上可以看到哪些信息。
研究发现,考虑所有的区域,91%的视觉入侵尝试都是成功的。
Ponemon Institute创始人、Visual Privacy Advisory Concil主席Larry Ponemon对媒体表示:“在实验中,以对潜在的敏感或机密信息录像作为入侵成功的标志。”
被观察到的机密或敏感信息包括客户信息、登录凭据或登录信息、机密 (Confidential) 或保密 (Classified) 文件、受律师-当事人特权保护的文件、金融、会计和预算信息。
许多网站使用的常见保护措施是将用户输入的明文密码替换成星号。Ponemon评论称,该实验中通过视觉入侵得到的信息是完全明文可见的,并未得到模糊保护。
“将密码隐藏起来能够帮助解决一部分问题,但还有许多其它信息可能遭到视觉入侵:物理拷贝的文档、电子邮件内容、演示文稿等。防御视觉入侵需要全局性的安全和隐私项目,它能够保护信息免受一系列威胁的骚扰。”
研究报告称,配备了综合隐私控制方案的机构遭受视觉隐私泄露的数量比通常情况低26%。Ponemon解释称,公司政策和隐私产品的组合最有助于帮助防御视觉入侵。3M是Ponemon进行这项视觉入侵研究的赞助商,该公司正在销售显示器隐私产品。
从策略角度来讲,Ponemon建议企业告知员工在不使用设备时将其关闭,并为计算机和移动设备设置密码。与此同时,部署办公桌净化策略,保证带有敏感信息的文档在不被使用时被移除。
“员工是防御视觉入侵的第一道防线,不过改变人类行为十分困难。”
还有一些重要的措施:利用内部通讯来加强策略、训练并审计。
视觉入侵通常被低估为低技术含量的威胁。不过机构应当开始认真对待它了。因为其对机构产生的影响可能就像网络攻击一样大。