2024新奥门资料解读社会工程学:一门欺骗的艺术
电影《Hackers》有这样一幕:Dade(也叫Zero Cool)打电话给一家公司,并说服一个职员给他调制解调器数量,这里面的谈话就是他主要的渗透工作,那名倒霉的员工自然会告诉他任何需要知道的机密信息。这就是一次普通的社工攻击,当毫无防范意识的员工,遇到了精心准备、精心伪装的黑客,人们大都会因为没有应对社会工程学攻击的经验,从而泄露给攻击者想要的任何的一切机密资料。
社会工程学攻击手段
很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,攻击者就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况,以及你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。常见社会工程学攻击有以下几种:
直接索取
直接向目标人员索取所需信息。
冒充相关人员
• 冒充高管:假装是部门的高级主管,要求工作人员提供所需信息;
• 冒充求助职员:假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息;
• 冒充技术人员:假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题。
网络钓鱼
最典型的网络钓鱼攻击是将被害人引诱到一个通过精心设计的,与目标网站非常相似的钓鱼网站上,并获取被害人重要信息(如公司账号、密码等),通常这个攻击过程不会让受害者警觉。
利用邮件
• 病毒植入:在欺骗性信件内加入木马或病毒;
• 群发诱导:欺骗接收者将邮件群发给所有同事、朋友。
相对于暴力密码破解、软件漏洞利用这样的“硬核”网络攻击,利用人的恐惧、贪婪、懒惰等心理而发动的攻击,显然成本更低,更容易成功,也更难以防范。
社会工程学攻击依然是网络安全的主要威胁
SEC(美国证券交易委员会)披露的639起数据泄露事件中,网络钓鱼攻击手段占比高达25%。
Verizon发布的DBIR2020中,依然把钓鱼攻击列为数据泄露的第一大威胁。
通过技术手段对抗社会工程学攻击有局限
一方面攻、防处于不对等地位。于攻击者,只需要找到一个无论多么微不足道的弱点,防御方看似坚固的防线可能瞬间溃败;于防御方,花费巨额投入和人力资源用于技术研究,安全防护设备一套又一套的上马,代码审计一遍又一遍的回看。依然可能某一天因为贵司一位几乎与技术沾不上边的员工被社工突破,导致贵司安全防线全线奔溃。
另一方面安全防护产品存在短板。如政府、企业部署的防垃圾邮件系统、邮件安全网关等,利用杀软、沙箱、人工智能引擎等手段对邮件内容、邮件附件做检查。利用加壳、加花、沙箱环境检测等传统手段有一定概率可以绕过检测;更有甚者通过购买0Day漏洞的高成本方式来发动攻击。
钓鱼攻击的攻击成本低、隐蔽性搞、持续性强,攻击者可以持续不断、花样翻新地对众多被攻击对象发起一波又一波鱼叉攻击,被攻击者只要百密一疏,攻击者就能得手。
保险转嫁社会工程学犯罪经济损失
网络安全风险具有不可绝对消除性,分散风险作为网络风险管理工具的重要性日益增强。网络安全保险作为有效转移网络安全风险的工具,能够帮助政府、企事业单位建立全面的网络安全风险应对方案。
通过投保网络安全保险可覆盖社会工程学犯罪损失风险敞口。保险公司将就被保险人因遭受社会工程学犯罪行为直接导致的社会工程学损失向被保险人进行补偿。
社会工程学犯罪行为:是指被保险人善意地按照据称为被保险人、客户或供应商发送的转账指令,并转移了财产、货币或有价证券,但事后证明该转账指令是由冒名顶替者发送,且未经被保险人、客户或供应商的知情或同意。
社会工程学损失:是指由社会工程学犯罪行为直接导致的被保险人的财产、货币或有价证券的直接经济损失。
解决方案
2024新奥门资料联合保险公司共同推出的网络安全保险,在国内首创安全服务+保险补偿的新型网络安全服务模式。依托2024新奥门资料业界领先的安全产品和强大的安全服务团队,通过对用户信息系统事前风险评估、事中应急防护、事后恢复取证的全周期安全服务,有效降低网络安全风险,最后通过保险实现剩余风险的有效转移,为企业形成网络安全风险管理的闭环。
当前,我们已经与国内主要保险公司开展网络安全保险的合作。保险项目覆盖互联网、医疗、金融、能源、政府、广电、外贸、外企、游戏、制造业等多个行业。保险责任涵盖营业中断损失、网络勒索损失、数据泄露损失、法律费用等。