视觉入侵是指对肉眼直接可见的信息进行记录的黑客攻击手段。机构往往花费巨款,搭建针对关键网络的防御系统,却在防护视觉入侵方面毫无作为。
波耐蒙研究所( Ponemon Institute)最近对此问题开展了一项调查。结果显示,使用低技术手段进行视觉入侵的成功率接近九成(88%)。研究所雇佣了一位负责渗透测试的安全专家进行调查,他化装成临时工潜入八家公司,并尝试视觉入侵。具体做法很简单,只是在公司里到处游走,寻找桌上或者电脑显示器上显而易见的数据。
在调查过程中,这位专家拿到了机密商业档案,还用手机对显示器上的机密信息拍了照,所有这些都是他在做正经工作的空档时完成的。不管是伪装成服务人员、供应商、清洁工还是维修人员,只要能够进入关键区域,都很容易造成对机密信息的威胁。
即使在鱼叉式钓鱼攻击如此泛滥的时代,安全专家也不应该忽视低技术层面上的安全威胁。黑客通常只需要一小条有用信息,就可以造成大量数据泄露。
该调查显示了两方面问题。一方面,黑客只需要通过简单的视觉入侵就能获得大量敏感信息;另一方面,公司员工对企业信息的态度粗心大意,信息安全防护意识不够。
调查的关键结论如下:
* 视觉入侵发生迅速。视觉入侵往往只需要几分钟。在45%的案例中,入侵在15分钟内完成;而在63%的案例中,入侵在30分钟内完成。
* 视觉入侵悄然无息。在70%的案例中,视觉入侵并未被公司员工阻止,即使是在用手机给屏幕上的数据照相时。如果黑客没有被员工所阻止,平均能获得4.3份公司数据,而就算受到阻碍,该数据也只是下降到了2.8份。
* 只通过视觉入侵就能获取大量敏感信息。每趟行动平均能获取5份信息,其中包括:63%的员工电话本信息,42%的客户信息,37%的公司财务信息,37%的员工登录信息,以及37%的员工个人信息。
* 未经保护的设备给视觉入侵创造了最佳机会。53%的敏感信息从电脑屏幕上直接获取,其中包括登录信息、中高密级的文档、会计和预算方面的金融信息,以及企业的法律信函。29%的敏感信息来自空闲无人的办公桌,9%来自打印机,6%来自复印机,3%来自传真机。
* 开放式办公室使视觉入侵如虎添翼。对一家具有开放式办公结构的公司而言,黑客平均能盗取4.4份信息;而该数字对于配备传统式办公场所的公司仅为3份。
* 缺乏规范的工作区域最容易遭到视觉入侵。客服部门平均受到的视觉入侵次数最高,为6.0;通信部门为5.6;销售队伍管理部门为5.2。情况对于较为规范的工作区域来说要好得多,会计、财务部门的该数字为1.9;法律部门最低,仅为1.0。
* 不过,调查也表明公司可以通过一些控制手段大大减少视觉入侵的威胁,比如实施办公桌清理、文件粉碎政策,外加培养员工的安全防范意识。研究同样表明,对于那些在电脑屏幕上配备了个人隐私过滤设备的公司而言,只有三种或更少的信息类别被视觉入侵,而对于没有配备相关设施的公司,往往有四种以上的信息被视觉入侵。
对高级管理层而言,视觉入侵这种安全威胁常常是不引人注目的,这也是它经常被忽视的原因。
这项调查表明,公司应该启用视觉隐私保护政策,培训员工和承包商,让这些人更负责任地对待手中的敏感数据;而且,为了保护显示器上的数据,也应该给高风险暴露的员工配备相关的防御设备。
作者:pxw
来源:51CTO