James A. Martin

犯罪黑客的目標范圍很廣，從行政助理到他們所服務(wù)的高管們等等。正如網(wǎng)絡(luò)安全公司Proofpoint所說，黑客的目標是“欺騙員工打開不安全的附件，或者點擊可疑的網(wǎng)絡(luò)鏈接。他們冒充你的首席執(zhí)行官，命令你的財務(wù)部門匯款。他們欺騙你的客戶，使其與誤認為是你的網(wǎng)站分享登錄憑證?！?/p>

大多數(shù)企業(yè)IT系統(tǒng)都能很好地抵御網(wǎng)絡(luò)攻擊，盡管并非無懈可擊。但員工下班后使用的個人設(shè)備和網(wǎng)絡(luò)工具可能不那么安全，有可能會繞過企業(yè)的安全防護措施。

IBM的X-Force Red資深白帽黑客部門的首席黑客專家Stephanie Carruthers介紹說，與此同時，越來越多的騙子瞄準特定的個人，比如首席財務(wù)官，因為這些高管們擁有訪問敏感企業(yè)數(shù)據(jù)的高級權(quán)限。其他潛在目標通常是能夠訪問敏感信息的員工，例如，IT和網(wǎng)絡(luò)安全、人力資源和法律部門的員工。

Carruthers說：“誰會成為目標，關(guān)鍵在于他們能接觸到什么?！彼a充說，這種目標定位越來越明顯，因為簡單地說，這樣可以更有效?！耙愿唢L(fēng)險員工為目標有助于犯罪分子直接瞄準他們想要得到的東西，而不必漫無目的的尋找?！?/p>

Sophos公司的首席研究科學(xué)家Chester Wisniewski指出，犯罪黑客可以從公共社交媒體賬戶或者其他網(wǎng)上資源收集有關(guān)某人及其單位的信息，這些信息提供了出于犯罪目的而冒充他人所需的開源情報（OSINT）。

同時，由于如此多的交流都是數(shù)字化的，因此很難發(fā)現(xiàn)冒名頂替者。Wisniewski補充道：“如果你認識的人打電話給你，你可以通過他們的聲音對他們進行身份驗證。但在網(wǎng)上要做到這一點并不總是那么容易?！?/p>

為了阻止針對員工的攻擊，一些企業(yè)開始為高風(fēng)險個人制訂個人OPSEC計劃，以更好地保護他們的工作和個人生活。這些計劃超越了標準的企業(yè)安全協(xié)議、實踐和工具，目的是提供個性化的網(wǎng)絡(luò)安全培訓(xùn)和保護措施。

Carruthers說：“對企業(yè)來說，安全實在太難了，太多的企業(yè)只是為所有員工提供安全意識培訓(xùn)。下一步是為高風(fēng)險員工制訂OPSEC計劃，我認為應(yīng)該有更多的企業(yè)這樣做。”

以下介紹為各級高風(fēng)險工作人員制訂最有效的個人OPSEC計劃的10個技巧和最佳實踐。

包括企業(yè)以及個人賬戶和設(shè)備

信息安全咨詢公司TrustedSec治理、風(fēng)險管理和合規(guī)部門的業(yè)務(wù)主管Alex Hamerstone指出：“通常情況下，OPSEC計劃只關(guān)注工作賬戶，而不是高管或者員工經(jīng)常使用的個人賬戶。有多種方法能夠借助于個人賬戶而進入工作賬戶——無論是通過重復(fù)使用密碼還是通過個人設(shè)備登錄企業(yè)服務(wù)。”

Hamerstone補充道，現(xiàn)在，高管更容易成為目標，因為他們使用的設(shè)備比過去多得多，包括筆記本電腦、智能手機、平板電腦、智能手表和其他物聯(lián)網(wǎng)（IoT）設(shè)備。他補充道：“聯(lián)網(wǎng)汽車也是一個新興領(lǐng)域，在未來幾年會變得越來越重要。OPSEC計劃必須考慮到這些方面，即加強實際使用的設(shè)備，限制設(shè)備可以存儲或者訪問的企業(yè)數(shù)據(jù)，想到哪些賬戶可能會被攻破，可能會被這些設(shè)備利用。”

此外，企業(yè)安全計劃保障范圍通常不會超出實際的辦公樓范圍。Hamerstone說：“但這是極大的疏忽，必須通過層層設(shè)防來加強高管的家庭網(wǎng)絡(luò)。高管還應(yīng)該在家中使用專用IP，該IP與家庭網(wǎng)絡(luò)的其他部分相隔離。他們在家中存儲或者訪問的數(shù)據(jù)類型應(yīng)受到限制、阻斷或者使用強加密進行加固?！?h3>讓高風(fēng)險員工參與計劃

Hamerstone說，OPSEC計劃成功的最大障礙往往在于要保護的人。他說：“對于這些高管們來說，在涉及到自己的個人行為時，他們通常會推翻OPSEC計劃的建議，或者完全無視這些建議。”例如，Hamerstone回憶起一位首席執(zhí)行官，給他的建議是，去國外出差時不要帶上他的個人筆記本電腦——但他還是這么做了，而這可能會危及企業(yè)數(shù)據(jù)的安全。

Hamerstone建議給高管們提供具體的例子，或者公開的新聞故事，從而說明他們是怎樣成為攻擊目標的。此外，OPSEC計劃應(yīng)盡可能簡單，方便高管們?nèi)プ裱?。他解釋說：“這就像車上的安全氣囊。設(shè)計和安裝安全氣囊涉及到工程師和制造商在幕后進行的大量工作。而用戶甚至沒有注意到這些?！?h3>設(shè)立具體的社交媒體政策和程序

Hamerstone說，從LinkedIn、Twitter、Facebook和Instagram等社交媒體網(wǎng)站上可以得到高風(fēng)險員工的信息，這些員工信息會被湊在一起，被用于各種社會工程攻擊目的，成為外圍攻擊目標，還被用于跟蹤物理位置，發(fā)現(xiàn)企業(yè)IT系統(tǒng)的弱點。

你可以采取以下幾個步驟來更好地保護社交媒體上的高風(fēng)險個人：

·制訂明確的、易于遵循的指南。說明哪些內(nèi)容可以共享，哪些內(nèi)容會把企業(yè)置于風(fēng)險之中。例如，會計公司W(wǎng)olf & Company的IT保障高級顧問Sean Goodwin解釋說，對最近的新聞事件發(fā)表評論通常是安全的，而在運營中心內(nèi)部進行自拍則是不安全的。他補充說：“你的政策要切合實際，因為幾乎不可能做到完全禁止。另外，解釋什么是邊信道攻擊，一些攻擊者是怎樣通過個人社交媒體賬戶進入公司賬戶的。”

·私人賬戶要保密。Carruthers說，理想情況下，高層管理人員和其他高風(fēng)險員工應(yīng)保持他們個人社交媒體賬戶的私密性。此外，與高管鏈接的社交媒體賬戶也應(yīng)該保持私密性。她解釋說：“很多時候，盡管一個社交媒體賬戶是私密的，但仍然可以從他們的孩子、配偶或者朋友分享的圖片和帖子中找到有關(guān)這位高管的信息。理想的做法是確保與管理層有聯(lián)系的每個人都把自己的賬戶設(shè)為私密的?！?/p>

·維護獨立的公共社交媒體資料。Wisniewski建議，高層管理人員應(yīng)該在Twitter、LinkedIn、Facebook和其他重要的社交媒體網(wǎng)絡(luò)上開設(shè)公共賬戶。“重要的是，必須聲明并使用這些賬戶，以防止犯罪分子在社交媒體上冒用您的身份?！彼a充說，高層管理人員通常會讓公司的營銷部門管理并發(fā)布到他們的公共賬戶中。

經(jīng)常性地進行“白手套”安全培訓(xùn)?

Carruthers說：“高風(fēng)險員工應(yīng)該經(jīng)常接受專門為他們提供的額外培訓(xùn)。從門衛(wèi)到首席執(zhí)行官，每個人都有不同的威脅模型，所以他們需要與自己的威脅模型相關(guān)的培訓(xùn)?！?/p>

Carruthers補充說，高風(fēng)險員工特別應(yīng)該接受移動安全風(fēng)險培訓(xùn)。有些人認為他們的移動設(shè)備相當安全，尤其是與他們的計算機相比，因此他們在使用智能手機或者平板電腦時會放松警惕。她補充說：“當我向智能手機發(fā)送網(wǎng)絡(luò)釣魚信息（作為一個白帽黑客）時，我的成功率要比向桌面計算機發(fā)送網(wǎng)絡(luò)釣魚信息高得多?！比欢瑂mishing（短信網(wǎng)絡(luò)釣魚）和vishing（語音網(wǎng)絡(luò)釣魚）等移動威脅越來越多了。

需要雙重身份驗證和密碼管理器

Carruthers說，企業(yè)應(yīng)要求所有高風(fēng)險員工在他們的個人賬戶（比如Gmail或者Dropbox）以及他們所使用的公司賬戶上使用雙重身份驗證（2FA）。

此外，高風(fēng)險員工應(yīng)使用密碼管理器應(yīng)用程序（比如，1Password和Dashlane）進行個人登錄和專業(yè)登錄。Carruthers補充說：“我們看到的數(shù)據(jù)泄露事件太多了，這是因為攻擊者獲得了人們在多個賬戶上重復(fù)使用的密碼?！?h3>在回答安全問題時撒謊

通常，在建立賬戶和密碼時，網(wǎng)站會要求用戶回答三個或者更多的安全問題，例如，“你的第一只寵物叫什么名字？”。但考慮到可以從社交媒體上收集到很多個人信息，Carruthers建議高風(fēng)險員工對這些安全問題給出錯誤的答案。一定要在安全的地方寫下錯誤的答案，例如密碼管理器應(yīng)用程序中的備注區(qū)域。

要方便進行信息驗證?

Wisniewski說，每當Sophos的經(jīng)理需要與員工共享信息時，他們首先把信息發(fā)布到安全的內(nèi)部Sophos wiki上，然后通過電子郵件發(fā)送出去。這樣，接收者就很容易驗證來自經(jīng)理們的信息是否合法。

建立明確的程序來驗證請求

騙子們經(jīng)常使用OSINT來冒充某個高管，然后向不知情的員工發(fā)送看似來自該高管的電子郵件。該電子郵件可能會提出各種各樣的理由讓員工把錢匯到與常用交易賬戶不同的賬戶中。

因此，你的OPSEC計劃應(yīng)該有一個簡單的程序來驗證這樣的請求是否合法。Wisniewski說：“如果一個請求超過了一定的金額并且/或者涉及程序變更，你的OPSEC政策應(yīng)要求員工通過口頭和數(shù)字兩種方式確認該請求是合法的。我們的目標不是讓人們承受太多的安全步驟，而是讓他們在真正需要的時候采取額外的措施?！?h3>設(shè)立報告可疑活動的程序

通過語音網(wǎng)絡(luò)釣魚，犯罪黑客會冒充企業(yè)的IT或者其他部門員工，并給公司的員工逐個打電話，希望有人無意中給黑客提供用戶名和密碼。通常情況下，員工可能會感到電話中的某些事情很蹊蹺，但他們會掛斷電話，不再采取進一步的行動。Wisniewski說：“要有既定的程序，讓員工知道向哪里報告可疑的事情，這樣你就可以很快地把消息傳達給公司里的其他人?！?h3>定期測試高風(fēng)險員工

Carruthers說，高風(fēng)險員工應(yīng)該經(jīng)常接受安全方面的測試，特別是社會工程攻擊。“向他們發(fā)送假的網(wǎng)絡(luò)釣魚電子郵件，看看他們是否向你的網(wǎng)絡(luò)安全部門報告，或者他們是否點擊電子郵件中嵌入的鏈接。看看他們是否會在電話上把密碼告訴一個看似合法的陌生人。重點是幫助高風(fēng)險員工了解針對他們的目標攻擊是什么樣子的，以及他們對這些攻擊有多敏感?！?/p>

James A. Martin是舊金山一名經(jīng)驗豐富的科技記者和博客寫手，由于其在CIO.com上的技術(shù)生活直播博文而獲得了2014年ASBPE國家金獎。James還是內(nèi)容營銷顧問。

原文網(wǎng)址

https：//www.csoonline.com/article/3429641/developing-personal-opsec-plans-10-tips-for-protecting-high-value-targets.html