三個(gè)能夠造成重大損失的低技術(shù)含量攻擊

■張建國(guó)

三個(gè)能夠造成重大損失的低技術(shù)含量攻擊

■張建國(guó)

在這樣一個(gè)數(shù)據(jù)安全防御系統(tǒng)愈趨復(fù)雜的時(shí)代，攻守雙方同樣面臨著彼此不斷增長(zhǎng)的壓力。本文試圖探討針對(duì)“人”進(jìn)行入侵的手段，而不是討論以往主要針對(duì)網(wǎng)絡(luò)入侵的技術(shù)方法。

針對(duì)人的入侵所采用的手段根本稱(chēng)不上“sophisticated”(高端精密)的技術(shù)。但這些手段看起來(lái)簡(jiǎn)單，卻通常比較隱秘，并難以被追蹤。因此，萬(wàn)萬(wàn)不能忽視這些低技術(shù)含量的攻擊手段帶來(lái)的威脅。

以下三種威脅，所有的IT專(zhuān)業(yè)人士都應(yīng)該有所警醒，并采取必要的措施予以應(yīng)對(duì)：

一、視覺(jué)入侵

視覺(jué)入侵，一種通過(guò)視覺(jué)手段捕獲敏感、機(jī)密和私有信息進(jìn)行非法使用的低技術(shù)含量入侵方法，對(duì)于企業(yè)來(lái)說(shuō)，是一種不好對(duì)付的風(fēng)險(xiǎn)。畢竟，攻擊者通常只需要一丁點(diǎn)有價(jià)值的信息就可以造成大規(guī)模的數(shù)據(jù)泄露。

設(shè)定場(chǎng)景：第三方不良分子假扮成供應(yīng)商或建筑工人進(jìn)入辦公區(qū)，他獲得了大樓的通行權(quán)，基本上就可以在辦公區(qū)內(nèi)暢通無(wú)阻。對(duì)他來(lái)說(shuō)，拍下雇員電腦屏幕上顯示的訪問(wèn)入口和登錄信息是很容易的事。不良分子通過(guò)視覺(jué)入侵公司后，就有能力滲透到組織的網(wǎng)絡(luò)并發(fā)動(dòng)網(wǎng)絡(luò)攻擊了。

解決方案：提升工作人員對(duì)于視覺(jué)隱私價(jià)值的認(rèn)識(shí)是打擊這一新興企業(yè)風(fēng)險(xiǎn)的必要措施。策略和規(guī)程中應(yīng)該對(duì)設(shè)備和物理文檔進(jìn)行視覺(jué)入侵有所應(yīng)對(duì)。員工意識(shí)和溝通程序與關(guān)于視覺(jué)入侵和其他低技術(shù)含量威脅的持續(xù)教育相結(jié)合，也是有幫助的。還有就是可以為員工配備視覺(jué)隱私過(guò)濾器這樣的工具。

二、內(nèi)部威脅

由雇員行為引起的數(shù)據(jù)丟失應(yīng)當(dāng)是當(dāng)今IT專(zhuān)業(yè)人士主要關(guān)注的問(wèn)題。這樣的例子越來(lái)越多仿佛已經(jīng)司空見(jiàn)慣。最近發(fā)生在索尼影業(yè)數(shù)據(jù)泄露事件，是以和平衛(wèi)士自居的黑客，聲稱(chēng)利用內(nèi)部人士獲得進(jìn)入公司的權(quán)限，破解了相關(guān)記錄，以拿到的公司數(shù)據(jù)進(jìn)行威脅以滿(mǎn)足他們的要求。

粗心的員工，特別是那些通過(guò)自帶設(shè)備或公司發(fā)放設(shè)備訪問(wèn)公司網(wǎng)絡(luò)的人，可以很容易地造成公司數(shù)據(jù)或知識(shí)產(chǎn)權(quán)受損，甚至發(fā)生數(shù)據(jù)泄漏而不為人知。還有一些心懷不滿(mǎn)的員工，同樣也可以對(duì)公司的專(zhuān)屬信息構(gòu)成嚴(yán)重威脅。這些員工可能會(huì)受潛在經(jīng)濟(jì)利益的引誘或者心懷惡意。就像索尼影業(yè)事件中的黑客所要求的一樣，與黑客有著相似利益的員工也可能被說(shuō)服加入他們的行動(dòng)并協(xié)助從內(nèi)部實(shí)施攻擊。

解決方案：對(duì)于粗心的員工，缺乏意識(shí)和不夠勤勉在數(shù)據(jù)泄露中扮演著重要因素。IT專(zhuān)業(yè)人員通過(guò)確保公司策略和規(guī)程可以幫助降低風(fēng)險(xiǎn)，包括公司數(shù)據(jù)的職業(yè)行為語(yǔ)言，以及努力增加與這些員工的溝通。進(jìn)一步要確保手機(jī)或筆記本電腦等一旦落入不良分子之手的設(shè)備要擁有遠(yuǎn)程擦除功能。對(duì)于不滿(mǎn)的員工，要監(jiān)視其可疑行為，尤其是在差評(píng)后或試用期內(nèi)。

三、社會(huì)工程

社會(huì)工程入侵，是指不良分子通過(guò)利用人類(lèi)心理而非使用高科技黑客技術(shù)獲取公司系統(tǒng)或數(shù)據(jù)訪問(wèn)權(quán)限的一種手段。冒充可信供應(yīng)商或IT團(tuán)隊(duì)成員，打電話索要像密碼和電子郵件地址這樣的機(jī)密信息，聲稱(chēng)用于修正服務(wù)器問(wèn)題;或者冒充朋友發(fā)送電子郵件邀請(qǐng)員工點(diǎn)擊其中的鏈接，試圖通過(guò)“網(wǎng)絡(luò)釣魚(yú)”獲得公司網(wǎng)絡(luò)的訪問(wèn)權(quán)限，就有可能發(fā)生社會(huì)工程入侵。

這些不良分子一旦得逞，就不難深入滲透進(jìn)公司的網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)。今天的社會(huì)工程師都非常精明，常常在發(fā)起攻擊之前對(duì)公司進(jìn)行研究，熟悉公司的活動(dòng)和行話，以表現(xiàn)自信，讓社會(huì)工程受害人放松警惕繳械投降。

解決方案：提高意識(shí)對(duì)于打擊社會(huì)工程入侵至關(guān)重要。發(fā)起交流活動(dòng)強(qiáng)調(diào)現(xiàn)實(shí)生活中的例子，幫助員工認(rèn)識(shí)到社會(huì)工程入侵真實(shí)存在，并且形式多多樣。鼓勵(lì)員工向IT經(jīng)理報(bào)告可疑行為。

威脅的形式一直以來(lái)都在不斷地進(jìn)行進(jìn)化，隨著防火墻、反惡意軟件和其他高科技防御使得公司數(shù)據(jù)庫(kù)越來(lái)越難以從外部進(jìn)行穿透，黑客將通過(guò)對(duì)人力資源的入侵來(lái)獲取機(jī)密信息。IT專(zhuān)業(yè)人員和領(lǐng)導(dǎo)人士需要馬上行動(dòng)，在公司安全策略中采取相關(guān)防御措施，應(yīng)對(duì)這些低技術(shù)含量的威脅。