社會工程并不是一個什么新鮮詞匯,就像網絡釣魚已經存在了近30年一樣,攻擊者總是會不斷尋找新方法來誘導受害者去點擊惡意鏈接、下載惡意文件或提供敏感信息。
即使在網絡安全領域,社會工程也不是一個新概念。僅網絡釣魚詐騙就已經存在了近 30 年,攻擊者不斷尋找新方法來誘使受害者點擊鏈接、下載文件或提供敏感信息。商業電子郵件泄露 (BEC) 攻擊通過讓攻擊者獲得對合法電子郵件賬戶的訪問權限并冒充其所有者發送郵件的方式來達到惡意目的,攻擊者認為受害者不會質疑來自可信來源的電子郵件,事實上,他們所認為的并沒有錯,相比之下,BEC攻擊的成功率的確更高。
不過電子郵件并不是攻擊者用來進行社會工程攻擊的唯一有效手段,隨著數字化轉型的持續推進,當前企業對于數字應用的依賴也越來越重,無論是VPN、云服務、各類通信工具還是其他各種在線服務等等,在實際場景中,這些數字應用、服務彼此之間并非是割裂的,而是相關聯的,因而任何一個環節出現了問題,其他環節也難以保全。因此,攻擊者一旦對其中某一個應用或服務的攻擊得手,勢必會威脅到其他應用或服務,因此,組織也不能只關注網絡釣魚和BEC攻擊,尤其是在商業應用程序入侵(BAC)呈現出上升趨勢時。
單純依靠單點登錄
無法克制人為因素所導致的風險
組織進行數字化轉型,廣泛使用數字應用并不是純粹為了跟上數字化時代的腳步,而是它們真的可以為組織提供更方便、更易用且更高效的好處。在遠程辦公或混合辦公流行的當前,員工需要在不同的地方使用不同的設備去訪問關鍵的資源和系統,好的數字應用無疑可以簡化工作流程,令員工更輕松地完成工作。不過,這也帶來了另一個問題——如何有效地監管。對于組織而言,任意一個內部獨立的部門在工作中會涉及到的應用程序都不會太少,有時候可能會達到數十個甚至上百個,與之對應的則是身份驗證也成為了一個問題,但與此同時,IT或安全部門往往都很難做到對于所有的應用程序都是可見的,而且去要求每一個員工為每一個應用程序去設立一個單獨且具備足夠復雜性的密碼組合也并不是太現實,雖然密碼管理器是一個很好的解決方案,但在實操層面難度依然很高。
因此,很多組織通過單點登錄(SSO)解決方案來簡化身份驗證流程,此類解決方案允許員工登錄到授權的賬戶一次,以訪問所有連接的應用程序和服務。不過,由于單點登錄服務可以讓用戶輕松地訪問數十個甚至更多的業務應用程序,因此從攻擊者的角度看,以其作為攻擊目標的價值會更高,雖然單點登錄解決方案提供商都會在產品中就賦予安全特性和功能,但在實際應用過程中,因人為錯誤造成的風險仍然難以根治。
MFA無法阻擋所有社工攻擊
許多應用程序都提供了多因素身份驗證(MFA)的功能,包括大多數單點登錄解決方案也是如此,這在較大程度上提高了攻擊者入侵賬戶的難度。不可否認,MFA 對用戶來說確實增加了一些麻煩,他們可能必須每天多次使用它來登錄賬戶——這會令用戶煩躁,進而導致不耐煩,有時甚至是粗心大意。
一些 MFA 解決方案要求用戶輸入代碼或顯示他們的指紋,當然也有部分只是增加了一個無聊的問題——“確定是你本人登錄嗎?”從某種角度看,讓用戶越輕松,攻擊者也越開心。當然,MFA固然增加了攻擊者的攻擊難度,但對于那些已經獲取一組用戶憑證的攻擊者而言,他們一定還會繼續嘗試破解另一組,嘗試多次登錄,通過向用戶的手機發送MFA身份驗證請求的垃圾郵件,可以增加受害者的告警疲勞,正是這種“不耐煩”的心態是攻擊者樂于看到并利用的——許多受害者在收到大量請求后,往往會認為是信息系統在試圖訪問該賬戶,或是直接單擊“確定”只是為了阻止大量通知。
因此,BAC在很多時候要比BEC更容易實現,攻擊者只需要不斷“騷擾”目標用戶,誘導他們做出錯誤的決定即可。通過鎖定用戶的身份和SSO提供商,攻擊者可以潛在訪問數十個不同的應用程序,包括人力資源等,進而可以進行與員工工資、報銷等相關的金融欺詐,最終實現將資金轉入自己賬戶的目的。
這類攻擊活動很容易被忽視——這就是為什么有一個可以識別可疑行為的檢測工具是很重要的。此外,組織在使用MFA時應優先使用防釣魚的FIDO(Fast IDentity Online線上快速身份驗證)安全密鑰。如果MFA的FIDO-only因素不現實,那么次優選擇是禁用電子郵件、短信、語音和基于時間的一次性密碼(TOTP),以支持推送通知,然后配置MFA或身份提供者策略,以限制對受管理設備的訪問,相當于一個附加的安全層。
社會工程仍在進化
做好防范需文化與工具兩者結合
最近我們關注到的一些研究表明,51%的安全事件中使用了BEC或BAC策略。相比之下,雖然BAC不像BEC那么出名,但成功的BAC可以允許攻擊者訪問幾乎所有與該賬戶相關的商業和個人應用程序。由此可見,對于當前的攻擊者來說,社會工程仍然是一個高回報的工具,更值得警惕的是,它還在與對抗它的安全技術一起進化。
● 在防范手段中,“文化”層面主要是在相關制度建設以及員工相關安全意識的培養上,建立制度可以保證員工較為積極地參與防范活動,并且在發現活動后,可以通過報告機制將信息傳達給相關責任人,可以在盡可能短的時間內降低甚至消除攻擊事件的不良影響,并促進全體員工和安全團隊之間達成良好的合作。對員工除了意識培養之外,還需要通過演練的方式來讓員工以接近實戰的方式去感受真正的攻擊行為是怎樣的,相比于單純的灌輸,演練無疑將會進一步鞏固員工的安全意識。
● 同時,在工具方面,也應該考慮選擇專業的技術和團隊,比如零信任,該理念在今年廣泛的落地于辦公場景,以持安科技的零信任安全平臺為例,該平臺會對任何接入信息系統的訪問進行持續動態驗證,以身份為中心的訪問控制,遵循最小權限原則,可以在有效保障企業業務與核心數據安全的同時,簡化工作流程,提高員工辦公效率。具體而言,從用戶登錄終端到業務訪問,期間終端行為、應用訪問行為、登錄認證、零信任策略執行等過程,均有包含身份和設備信息的詳盡日志,對用戶行為的安全分析溯源可以基于精準的身份而非傳統檢查IP的方式。通過一套統一的控制臺對所有終端、WEB 應用、四層應用進行集中管控,解決傳統方案多個管理后臺,多臺設備部署,配置維護復雜,人員權限混亂的問題。同時幫助企業梳理內網應用,避免漏網之魚。
同時,該平臺以無侵入、無感方式接入業務系統,支持和企業已有的 IAM、SSO、SOC 等系統融合,無需改變用戶習慣,不需業務的重復接入和建設,最大程度減少人員的學習與操作成本,近乎以零門檻的方式實現隨時隨地無差別辦公,提升組織效率。
更多信息可以來這里獲取==>>電子技術應用-AET<<
