谁也无法保证网络的绝对安全,即使组织机构有数百万美元的IT预算,但仍无法摆脱因数据泄露登上头条新闻的噩梦,甚至连政府情报机构都无法守住自己的黑客工具(今年3月CIA大量敏感文件和黑客工具泄露),正所谓道高一尺魔高一丈,网络攻击防不胜防。
虽然软件解决方案、应用程序、服务以及硬件提供商可以提供高品质解决方案,但阻止入侵和沦为受害者之间的差距通常体现在人为监督上,例如,技术安全保护通常容易被社交工程和人为错误破坏。
事实上,CompTIA发布的2016国际网络安全趋势报告指出,58%的网络入侵因人类错误所致,42%因技术错误造成。
例如,索尼影业数据被泄导致员工个人信息、电子邮件、甚至未发行的电影拷贝外泄,其证据表明,入侵者首先通过鱼叉式网络钓鱼活动欺骗员工,从而获取了登录凭证,继而进一步实施入侵。
有时候,攻击者甚至不需要诱骗员工交出登录凭证,仅凭猜测就能获取弱密码。Verizon公司指出,63%的网络入侵通过被窃取的、默认或易于猜测的弱登录凭证而得手。
如果人为错误在保护网络中扮演如此重要的角色,那么组织机构应向员工培训哪些安全知识?
显然密码保护和网络钓鱼是攻击者入侵的突破口,企业和组织机构可以从这两个主要方面入手。
密码保护
为什么弱登录凭证是数据泄露的关键因素?
因为在安全和方便之间,人们通常会图方便,而忽视了安全。密码重用就是例证。2012年,Dropbox之所以遭遇数据泄露事件,其原因就在于公司员工的公司账号和私人LinkedIn账号使用了相同的密码,而LinkedIn在当年早些时候曾遭遇过入侵。
常见的密码保护策略包括:
密码应包含字母、数字和特殊字符;
要求员工定期(每个几个月)修改一次密码。
然而,员工经常图方便,就会在重置密码时仅仅修改某个字符。
最容易遭到黑客攻击的习惯,或许您也有-E安全
有人可能会提出,在适当的形势下,放松某些政策和保护可能会增强密码的安全性。美国国家标准与技术研究院(NIST)近期发布了数字身份指南草案。NIST不推荐使用复杂的、难以记住的密码组合。相反,他们鼓励企业让员工使用较长、且容易记住的密码,例如TelevisionBrainsHurtEverything或SometimesDoggyOthersChair。
除此之外,组织机构也应鼓励员工使用密码管理器,因为密码管理器可以解决密码重用和复杂的问题。虽然密码管理器的弊端是允许通过一个主密码有效获取所有账号密码,而用户更有可能创建并记住一个高度复杂的密码,例如Min97$XP19*244,而不是每个账号上设置多个复杂的密码。
除此之外,组织机构还应在技术层面为用户提供安全性。例如,Wi-Fi联盟最近推出了Wi-Fi Passpoint标准,旨在改进连接客户端公共Wi-Fi热点的实用性和安全性。Wi-Fi Passpoint代替非加密(开放)的热点或输入共享密钥,而是允许热点用户创建一个Wi-Fi Passpoint账号。人们使用保存在移动设备上的这个账号自动连接到受WPA2 Enterprise 安全保护的Wi-Fi Passpoint热点。
网络钓鱼骗局
网络钓鱼电子邮件也依赖于人为错误,因此组织机构需要培训员工做出更明智的安全决策。相比在遭遇勒索软件感染后花掉整个周末的时间费尽心思恢复备份,培训员工识别网络钓鱼攻击无异于让你享受美好的周末,明显轻松许多。
用户要警惕攻击者利用未经请求的电子邮件发起网络钓鱼活动。网络钓鱼电子邮件看起来像是合法的,然而其中却包含恶意软件,例如发送重置Apple.com密码的电子邮件。大多数网络钓鱼电子邮件都有一个常见特征:出人意料。如果用户并未请求重置Apple.com的密码,那么密码重置电子邮件很有可能就是假的。
最成功的网络钓鱼攻击非常具有说服力。然而,网络钓鱼攻击无法使用合法网站的URL(排除非常特殊的个例)。用户应对所有电子邮件中包含的网络链接持怀疑态度,并仔细检查URL是否与网站匹配。切勿冒然点击电子邮件中的链接,直接访问组织机构的官网或寻找所需的页面。
网络犯罪分子通常会寻找最薄弱的环节作为渗透网络的突破口。(相关阅读:如果你被钓鱼了一定要自我反省 像素追踪技术告诉你这是为什么)建议组织机构培训员工并制定相关制度,提高员工的安全意识。此外,找到“NSA级”安全和和实用安全之间的平衡点是关键。提组织机构应提供网络钓鱼培训、要求员工使用密码管理器,并鼓励员工使用长密码,这将有助于组织机构打击人为因素所致的网络安全问题,并提高组织机构的整体安全态势。