警惕:工业网络安全中人为因素的5种攻击方法和防御措施

图:人为操纵的网络安全攻击实施阶段

作者 | Dan Capano

人为因素通常是网络安全的最薄弱环节,即使是在技术系统安全的情况下。如何帮助身边的同事,使之避免成为网络攻击的切入点?

人为因素通常是网络攻击中最容易被利用的。攻击者在对其目标进行侦察之后,使用获得的信息来获取凭据或其它信息,从而实现对原本受保护的系统和资源的入侵。

通常,攻击者会很幸运,并且只需付出很少的努力和风险,就可以通过简单猜测而获得用户凭据,尽管这是自动进行的。这个问题很难讨论。许多用户“有信心”保护自己的重要信息,因此没有学习和掌握适当的网络防御知识和方法。这导致了很多引人注目的数据泄露事件。

 社交挖掘 

社会工程学(Social Engineering)通常被定义为:主要通过人类情报(Humint)和开源情报(osint)实现对人力资源的操纵。这些技术与情报机构用来从外国竞争对手那里收集情报所使用的技术类似。在所有的网络攻击中,大约有80%始于社会工程攻击。这些初始攻击采取多种形式,最常见的是网络钓鱼电子邮件,它们非常具有迷惑性且容易奏效。这些攻击无需冒险就可以发挥作用并产生实际效果。尤其是那些对网络安全意识比较淡薄的人更容易受到损害。

另一个容易滋生网络安全隐患的“沃土”是社交媒体。除了社交媒体固有的舆论和行为能力之外,研究表明,还可以从中挖掘用户数据,并将其用于构建配置文件,这些配置文件为攻击者提供了大量的信息和情报,可用于获取凭证或破坏资产。

“认知和社会偏见确实是危害网络安全的深层原因。”

 认知偏差 

认知和社会偏见在网络安全事件中往往扮演着重要角色。一个有趣的认知偏差被称为达克效应(D-K effect),它假设无能者不知道自己是无能的,这会导致虚幻的、膨胀的自我认知,进而导致资产很容易受到损害。在这个效应影响下的人们通常不遵循指示或不愿意接受批评,从而带来了很多副作用。这些漏洞提供了非常丰富的攻击面,尤其是在社交媒体上。社会偏见是利用这些倾向破坏资产的无底洞。这些大规模操纵技术中的任何一种都不是新出现的技术——多年来人们一直使用它们来获取和保留权力,但是不同的是,现在,由于珍贵的资产和关键的基础设施也可以成为攻击对象,因此后果不堪设想。

攻击方法

社会工程攻击是最危险的威胁之一。攻击者使用社会工程学来攻击无法找到任何技术漏洞的系统。人们普遍认为可以检测到这些攻击,但不能完全阻止这些攻击。这些攻击通常遵循相似的发展阶段,最常见的模式涉及以下4 个阶段:

1. 侦查:收集漏洞信息;

2. 陷阱:与目标建立联系,设置诱饵;

3. 入侵:利用信息和联系攻击目标;

4. 退出:成功攫取数据信息后撤离,几乎不留下或完全没有攻击的迹象。

社交工程攻击可以基于人,也可以基于计算机。基于人的攻击,要求攻击者与受害者互动以获取信息,因此一次不能攻击多个受害者。基于计算机的攻击,可以在很短的时间内发动成千上万次攻击。网络钓鱼电子邮件是基于计算机攻击的一个示例。

根据攻击的实施方式,攻击可以进一步分为三类:基于技术的、基于社交的和基于物理的攻击。基于技术的攻击,一般在线进行,例如社交媒体或旨在收集信息的网站。基于社交的攻击,是通过与受害者的关系进行的,并利用情绪和偏见。物理攻击通常与社交攻击结合使用,以误导受害者,从而盗取凭证或进入安全区域。

从另外一方面,也可以将攻击分为直接或间接攻击。直接攻击要求攻击者与受害者保持联系,并且经常需要物理接触,例如目击、谈话以及出现在受害者的工作场所或家庭空间中。直接攻击包括实际盗窃文件或长期或短期“骗局”。伪造的IRS 电话是直接的社会工程攻击的一个例子。间接攻击不需要攻击与其受害者接触。恶意软件、分布式拒绝服务(DDoS)、网络钓鱼、勒索软件和反向社会工程,是间接攻击的一些示例。

“网络安全团队需要迅速采取行动,发现并封锁漏洞,然后查找出漏洞发生的原因。”

 5种常见的攻击类型 

社会工程手段和方法存在多种变体。所有这些都是基于人类的基本弱点。熟练的攻击者已经完成了研究,并针对目标受害者的弱点和脆弱性,进行了适应性的修改。以下是最常见的5 种攻击类型:

1

网络钓鱼

网络钓鱼是社会工程攻击中最常见的攻击,它是从“电话钓鱼”中得名的,“电话钓鱼”的目的是操纵电话网络。这些攻击抛出吊钩,看谁会上钩。尽管该术语仍用于描述欺骗性电话,但迄今为止,最大的网络钓鱼场所是电子邮件。据估计,在成功插入恶意软件的攻击中,超过80%的都是通过网络钓鱼电子邮件诈骗进行的。网络钓鱼有几种形式:鱼叉式——对一个人或一个设施的针对性攻击;捕鲸——对高价值受害者或“鲸鱼”的针对性攻击;电话钓鱼——使用电话(语音和网络钓鱼)进行攻击;短信钓鱼——使用文本消息进行攻击。令人担心的是,如果攻击者对预期目标进行了彻底的侦查,则网络钓鱼可能非常有效,并且难以检测和缓解。

2

假托

假托(Pretexting)是创造虚假和令人信服的情境,使受害者信任攻击者并几乎愿意给出其个人信息或访问凭据。攻击者使用开放源代码情报,即公开文件,无论是在互联网上容易获得的信息,还是在社交媒体中获得的丰富信息。这些骗局让您相信有机会分享遗产、中彩票或其它“天上掉馅饼”的说法,前提是您需要给骗子汇钱来帮助他们“把钱取出来”。

1

诱饵

如果您单击网站上的链接是为了获取一些免费的东西,那么你的贪心很可能会被一些人利用。这与旨在提高网站点击率的“点击诱饵”不同,诱饵攻击会在受害者的计算机上安装恶意软件。例如,看起来无辜的网站提供免费的财务计划电子表格供下载。当电子表格加载反向shell 程序时,攻击者就可以访问所有受害者。另外一种形式是使用被感染的USB 驱动器,这些驱动器被遗留在咖啡店或停车场周围,没有经验的用户出于好奇而拿起它们,然后插入他们的计算机。这也是将Stuxnet 蠕虫病毒安装到伊朗核设施中的方法,否则的话该设施被保护的密不通风,根本无法接近。

1

等价交换

类似于诱饵,此攻击通过为受害者提供好处以换取信息。这在社交媒体中特别有效。一种常见的形式是冒充公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。这些攻击不必非常复杂,并且通常是即时进行的,受害者是随机选择的。几年前在英国进行的一项研究表明,人们在地铁中随意停下,会为换取一块巧克力或一支廉价笔或其它小装饰品而泄露他们的网络密码。

1

尾随

尾随是一种非常常见的物理攻击,攻击者冒充其他员工或送货员,利用合法员工的访问权限来访问安全区域。一种常见的方法是要求某人带攻击者进入,因为他们“忘记带通行证了”。此方法用于访问安全区域,并且还要求攻击者编个借口,说服起疑心的员工以获得信任和合法性。一个攻击的变种是,攻击者谎称借用员工的通行证“一分钟”,以便他们可以去车上取回被遗忘的东西或其它事项,从而导致身份证被复制或损坏。大多数人都愿意信任别人,攻击者知道这一点并充分利用。

 预防措施 

5 种预防措施可以降低导致网络安全风险的人为错误。

1

减少攻击面

这就需要从攻击者的角度对设施的IT 基础架构进行彻底的分析。关闭打开的端口,并保护防火墙。将对关键系统的访问限制在尽可能少的人员范围内。

2

对关键人员进行全面的背景调查

人力资源是安全环节中最薄弱的,下一步最合乎逻辑的做法是尽可能消除潜在的人为因素。这意味着在可行的情况下,系统地消除人与人之间的互动。这听起来有点奇怪,但我们面临的危机有时就是由某些粗心的员工或未能理解攻击的员工而引起的。实际上,许多人认为网络安全是寻找问题的解决方案,这种思维使熟练的社会工程师面露微笑。

3

网络安全团队

建议加强对关键人员进行培训以监控威胁和泄露,并设置网络安全专员,由其定期审核安全程序并审查其他人员的网络卫生状况。这些人必须有权关闭漏洞,并且有能力及时纠正问题员工的行为。由网络管理员、安全人员和高级员工组成的网络安全“反击团队”可以迅速采取行动,以检测并密封漏洞,然后进行事后检查以确定漏洞是如何发生的。

4

基于角色的访问

无法阻止员工在便笺上写密码或将网络安全视为无用的行为。在允许员工在工作过程中访问网络和资源时,这种心态很难处理。基于角色的访问是解决问题的一种有效方法。另一种技术是要求正式的访问请求,然后在访问关键数据或系统时监视员工。多因素身份验证很有用,但如果员工没有认真对待它,并且对电话或其他第二种身份验证方法不注意,也是无济于事。

5

智能密码

强制执行智能密码策略可以有效防止员工使用容易猜到的密码,例如“1234567”或流行的“password”。培训员工养成正确的网络卫生习惯和网络安全意识。

很多企业可能在自动化系统、主动入侵者检测、缓解和预防以及主动对策方面花费数百万美元用于提升企业安全性,但这一切可能被粗心或无能的员工轻易破坏。尽可能消除人为因素可以有效降低网络安全风险。

关键概念: 

■ 社交媒体和认知偏差可能会削弱人类的防御能力。

■ 降低攻击面、定期检查和创建内部网络安全团队可以为提升企业的网络安全提供帮助。

思考一下: 

松懈防御的人可能会挫败最强硬的网络安全措施。

(0)

相关推荐

  • 网络安全攻防:APT攻击特点

    一次性付费进群,长期免费索取资料. 回复公众号:微信群 可查看进群流程. 微信公众号:计算机与网络安全 ID:Computer-network 01 什么是APT攻击 APT(Advanced Per ...

  • SQL注入攻击的类型有哪些?网络安全教程

    网络安全攻击方式有很多种,其中包括SQL注入.XSS等,今天主要为大家介绍一下SQL注入攻击.那么什么是SQL注入?SQL注入攻击的类型有哪些? 什么是SQL注入? SQL注入是一种注入攻击,可以执行 ...

  • DDOS攻击分为哪些类型?网络安全学习教程

    DDOS攻击是网络安全课程中非常常见的一种攻击方式,它利用带宽的流量来攻击服务器以及网站,从而造成严重的危害,被分为七大类.那么DDOS攻击有什么分类?以下是详细的内容介绍. DDOS攻击有什么分类? ...

  • 什么是ARP欺骗或ARP病毒?网络安全渗透教程

    你对网络安全了解多少呢?你知道IP地址和Mac地址有什么区别吗?你知道什么是白帽黑客的踩点?用于踩点的技术是什么?--关于这些,相信很多人都是一塌糊涂,接下来我们一起来看看吧. IP地址和Mac地址有 ...

  • 【安全圈】网络钓鱼依然是勒索软件的“主干道”

    Cloudian发布的一项针对过去两年经历过勒索软件攻击的200名IT决策者进行的新调查报告显示,网络钓鱼依然是勒索软件团伙的主要攻击方式之一. 根据调查数据,超过一半的受访者对员工进行了反网络钓鱼培 ...

  • 在internet应用中常见的安全威胁有几种,该采用何种措施应对?

    计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁. 从人的因素 考虑,影响网络安全的因素包括: (1)人为的无意失误. (2)人为的恶意攻击.一种是主动攻击, ...

  • 图文简析:中国画中主要运用的几种设色方法

    中国画设色方法主要有以下几种: 1.填色法 先勾好墨线,然后在墨线内填色.如工笔花鸟画的花.叶.树干.树枝,青绿山水的山石,夹叶树的叶等均属填色法. 2.点写法 不用先勾线,直接用颜色往纸上画.毛笔含 ...

  • 图表中关于空值的几种处理方法

    前言 大家都知道,在EXCEL中可以插入各种各样的图表,最常见的是折线图和柱形图,折线图更多的是直观的反应数据在日期或类别的趋势,柱形图更多反映的是数据在若干类别上的对比. 相同的是,不管什么样式的图 ...

  • 中考必考二次函数中菱形存在性两种思路方法

    概括说一种是先平行四边形再菱形,另一种是先等腰三角形再菱形. 我们已经熟知等腰三角形,直角三角形,它们存在性讨论,只是单一的以某顶点的角为等腰顶角,或者直角顶角,存在三种讨论方式. 但是,等边三角形, ...

  • Word中节约用纸的3种常见方法,教你怎样用Word节约用纸?

    施老师: 节约是一种美德,也是一种好的习惯.平常办公中我们随便打印一些内容,就会用去不少的纸张.相信主管一定是希望我们节约纸张,那WORD中该怎样设置才能节约纸张呢.下面就随施老师一起看一下吧. 一. ...

  • 中国画中主要运用的几种设色方法

    中国画设色方法主要有以下几种: 1.填色法 先勾好墨线,然后在墨线内填色.如工笔花鸟画的花.叶.树干.树枝,青绿山水的山石,夹叶树的叶等均属填色法. 2.点写法 不用先勾线,直接用颜色往纸上画.毛笔含 ...

  • 摄影中抓拍动作的4种基本方法,让你拍好运动摄影!

    尼康D750.140mm,f / 2.8.1 / 1500秒,ISO 100 一.使用正确的自动对焦模式 如何正确使用自动对焦来捕捉快速运动是捕捉运动中的主体的出色镜头的第一步也是重要的一步.每个相机 ...

  • 植物如何分类:分为'人为'和'自然'两种分类方法

    植物分类,也叫植物分类学.这是一门主要研究整个植物界的不同类群的起源,亲缘关系,以及进化发展规律的一门基础学科.也就是把纷繁复杂的植物界分门别类一直鉴别到种,并按系统排列起来,以便于人们认识和利用植物 ...

  • 安装程序在Windows10开始菜单中消失不见的四种解决方法

    安装程序在Windows10开始菜单中消失不见的四种解决方法 方法一: 具体步骤:①打开"设置→②单击设置中的[个性化]选项→③单击窗口左侧选项卡菜单中的[开始]选项→④在开始右侧的菜单栏中 ...

  • 足球教学丨提高在实战中进球能力的七种简单方法

    " 今天给大家展示几个常用的射门情场景,几种在实战中打进更多球的方法,下面我们正式开始: 身后磕球射门 当我们跑向近门柱准备接球的时候,发现传中略微有些偏后. 图1-传中靠后 这个时候我们可 ...