■張建國

三個能夠造成重大損失的低技術(shù)含量攻擊

■張建國

在這樣一個數(shù)據(jù)安全防御系統(tǒng)愈趨復雜的時代，攻守雙方同樣面臨著彼此不斷增長的壓力。本文試圖探討針對“人”進行入侵的手段，而不是討論以往主要針對網(wǎng)絡(luò)入侵的技術(shù)方法。

針對人的入侵所采用的手段根本稱不上“sophisticated”(高端精密)的技術(shù)。但這些手段看起來簡單，卻通常比較隱秘，并難以被追蹤。因此，萬萬不能忽視這些低技術(shù)含量的攻擊手段帶來的威脅。

以下三種威脅，所有的IT專業(yè)人士都應該有所警醒，并采取必要的措施予以應對：

一、視覺入侵

視覺入侵，一種通過視覺手段捕獲敏感、機密和私有信息進行非法使用的低技術(shù)含量入侵方法，對于企業(yè)來說，是一種不好對付的風險。畢竟，攻擊者通常只需要一丁點有價值的信息就可以造成大規(guī)模的數(shù)據(jù)泄露。

設(shè)定場景：第三方不良分子假扮成供應商或建筑工人進入辦公區(qū)，他獲得了大樓的通行權(quán)，基本上就可以在辦公區(qū)內(nèi)暢通無阻。對他來說，拍下雇員電腦屏幕上顯示的訪問入口和登錄信息是很容易的事。不良分子通過視覺入侵公司后，就有能力滲透到組織的網(wǎng)絡(luò)并發(fā)動網(wǎng)絡(luò)攻擊了。

解決方案：提升工作人員對于視覺隱私價值的認識是打擊這一新興企業(yè)風險的必要措施。策略和規(guī)程中應該對設(shè)備和物理文檔進行視覺入侵有所應對。員工意識和溝通程序與關(guān)于視覺入侵和其他低技術(shù)含量威脅的持續(xù)教育相結(jié)合，也是有幫助的。還有就是可以為員工配備視覺隱私過濾器這樣的工具。

二、內(nèi)部威脅

由雇員行為引起的數(shù)據(jù)丟失應當是當今IT專業(yè)人士主要關(guān)注的問題。這樣的例子越來越多仿佛已經(jīng)司空見慣。最近發(fā)生在索尼影業(yè)數(shù)據(jù)泄露事件，是以和平衛(wèi)士自居的黑客，聲稱利用內(nèi)部人士獲得進入公司的權(quán)限，破解了相關(guān)記錄，以拿到的公司數(shù)據(jù)進行威脅以滿足他們的要求。

粗心的員工，特別是那些通過自帶設(shè)備或公司發(fā)放設(shè)備訪問公司網(wǎng)絡(luò)的人，可以很容易地造成公司數(shù)據(jù)或知識產(chǎn)權(quán)受損，甚至發(fā)生數(shù)據(jù)泄漏而不為人知。還有一些心懷不滿的員工，同樣也可以對公司的專屬信息構(gòu)成嚴重威脅。這些員工可能會受潛在經(jīng)濟利益的引誘或者心懷惡意。就像索尼影業(yè)事件中的黑客所要求的一樣，與黑客有著相似利益的員工也可能被說服加入他們的行動并協(xié)助從內(nèi)部實施攻擊。

解決方案：對于粗心的員工，缺乏意識和不夠勤勉在數(shù)據(jù)泄露中扮演著重要因素。IT專業(yè)人員通過確保公司策略和規(guī)程可以幫助降低風險，包括公司數(shù)據(jù)的職業(yè)行為語言，以及努力增加與這些員工的溝通。進一步要確保手機或筆記本電腦等一旦落入不良分子之手的設(shè)備要擁有遠程擦除功能。對于不滿的員工，要監(jiān)視其可疑行為，尤其是在差評后或試用期內(nèi)。

三、社會工程

社會工程入侵，是指不良分子通過利用人類心理而非使用高科技黑客技術(shù)獲取公司系統(tǒng)或數(shù)據(jù)訪問權(quán)限的一種手段。冒充可信供應商或IT團隊成員，打電話索要像密碼和電子郵件地址這樣的機密信息，聲稱用于修正服務器問題;或者冒充朋友發(fā)送電子郵件邀請員工點擊其中的鏈接，試圖通過“網(wǎng)絡(luò)釣魚”獲得公司網(wǎng)絡(luò)的訪問權(quán)限，就有可能發(fā)生社會工程入侵。

這些不良分子一旦得逞，就不難深入滲透進公司的網(wǎng)絡(luò)和數(shù)據(jù)庫。今天的社會工程師都非常精明，常常在發(fā)起攻擊之前對公司進行研究，熟悉公司的活動和行話，以表現(xiàn)自信，讓社會工程受害人放松警惕繳械投降。

解決方案：提高意識對于打擊社會工程入侵至關(guān)重要。發(fā)起交流活動強調(diào)現(xiàn)實生活中的例子，幫助員工認識到社會工程入侵真實存在，并且形式多多樣。鼓勵員工向IT經(jīng)理報告可疑行為。

威脅的形式一直以來都在不斷地進行進化，隨著防火墻、反惡意軟件和其他高科技防御使得公司數(shù)據(jù)庫越來越難以從外部進行穿透，黑客將通過對人力資源的入侵來獲取機密信息。IT專業(yè)人員和領(lǐng)導人士需要馬上行動，在公司安全策略中采取相關(guān)防御措施，應對這些低技術(shù)含量的威脅。