警惕:工业网络安全中人为因素的5种攻击方法和防御措施
图:人为操纵的网络安全攻击实施阶段
作者 | Dan Capano
人为因素通常是网络安全的最薄弱环节,即使是在技术系统安全的情况下。如何帮助身边的同事,使之避免成为网络攻击的切入点?
人为因素通常是网络攻击中最容易被利用的。攻击者在对其目标进行侦察之后,使用获得的信息来获取凭据或其它信息,从而实现对原本受保护的系统和资源的入侵。
通常,攻击者会很幸运,并且只需付出很少的努力和风险,就可以通过简单猜测而获得用户凭据,尽管这是自动进行的。这个问题很难讨论。许多用户“有信心”保护自己的重要信息,因此没有学习和掌握适当的网络防御知识和方法。这导致了很多引人注目的数据泄露事件。
社交挖掘
社会工程学(Social Engineering)通常被定义为:主要通过人类情报(Humint)和开源情报(osint)实现对人力资源的操纵。这些技术与情报机构用来从外国竞争对手那里收集情报所使用的技术类似。在所有的网络攻击中,大约有80%始于社会工程攻击。这些初始攻击采取多种形式,最常见的是网络钓鱼电子邮件,它们非常具有迷惑性且容易奏效。这些攻击无需冒险就可以发挥作用并产生实际效果。尤其是那些对网络安全意识比较淡薄的人更容易受到损害。
另一个容易滋生网络安全隐患的“沃土”是社交媒体。除了社交媒体固有的舆论和行为能力之外,研究表明,还可以从中挖掘用户数据,并将其用于构建配置文件,这些配置文件为攻击者提供了大量的信息和情报,可用于获取凭证或破坏资产。
“认知和社会偏见确实是危害网络安全的深层原因。”
认知偏差
认知和社会偏见在网络安全事件中往往扮演着重要角色。一个有趣的认知偏差被称为达克效应(D-K effect),它假设无能者不知道自己是无能的,这会导致虚幻的、膨胀的自我认知,进而导致资产很容易受到损害。在这个效应影响下的人们通常不遵循指示或不愿意接受批评,从而带来了很多副作用。这些漏洞提供了非常丰富的攻击面,尤其是在社交媒体上。社会偏见是利用这些倾向破坏资产的无底洞。这些大规模操纵技术中的任何一种都不是新出现的技术——多年来人们一直使用它们来获取和保留权力,但是不同的是,现在,由于珍贵的资产和关键的基础设施也可以成为攻击对象,因此后果不堪设想。
攻击方法
社会工程攻击是最危险的威胁之一。攻击者使用社会工程学来攻击无法找到任何技术漏洞的系统。人们普遍认为可以检测到这些攻击,但不能完全阻止这些攻击。这些攻击通常遵循相似的发展阶段,最常见的模式涉及以下4 个阶段:
1. 侦查:收集漏洞信息;
2. 陷阱:与目标建立联系,设置诱饵;
3. 入侵:利用信息和联系攻击目标;
4. 退出:成功攫取数据信息后撤离,几乎不留下或完全没有攻击的迹象。
社交工程攻击可以基于人,也可以基于计算机。基于人的攻击,要求攻击者与受害者互动以获取信息,因此一次不能攻击多个受害者。基于计算机的攻击,可以在很短的时间内发动成千上万次攻击。网络钓鱼电子邮件是基于计算机攻击的一个示例。
根据攻击的实施方式,攻击可以进一步分为三类:基于技术的、基于社交的和基于物理的攻击。基于技术的攻击,一般在线进行,例如社交媒体或旨在收集信息的网站。基于社交的攻击,是通过与受害者的关系进行的,并利用情绪和偏见。物理攻击通常与社交攻击结合使用,以误导受害者,从而盗取凭证或进入安全区域。
从另外一方面,也可以将攻击分为直接或间接攻击。直接攻击要求攻击者与受害者保持联系,并且经常需要物理接触,例如目击、谈话以及出现在受害者的工作场所或家庭空间中。直接攻击包括实际盗窃文件或长期或短期“骗局”。伪造的IRS 电话是直接的社会工程攻击的一个例子。间接攻击不需要攻击与其受害者接触。恶意软件、分布式拒绝服务(DDoS)、网络钓鱼、勒索软件和反向社会工程,是间接攻击的一些示例。
“网络安全团队需要迅速采取行动,发现并封锁漏洞,然后查找出漏洞发生的原因。”
5种常见的攻击类型
社会工程手段和方法存在多种变体。所有这些都是基于人类的基本弱点。熟练的攻击者已经完成了研究,并针对目标受害者的弱点和脆弱性,进行了适应性的修改。以下是最常见的5 种攻击类型:
1
网络钓鱼
网络钓鱼是社会工程攻击中最常见的攻击,它是从“电话钓鱼”中得名的,“电话钓鱼”的目的是操纵电话网络。这些攻击抛出吊钩,看谁会上钩。尽管该术语仍用于描述欺骗性电话,但迄今为止,最大的网络钓鱼场所是电子邮件。据估计,在成功插入恶意软件的攻击中,超过80%的都是通过网络钓鱼电子邮件诈骗进行的。网络钓鱼有几种形式:鱼叉式——对一个人或一个设施的针对性攻击;捕鲸——对高价值受害者或“鲸鱼”的针对性攻击;电话钓鱼——使用电话(语音和网络钓鱼)进行攻击;短信钓鱼——使用文本消息进行攻击。令人担心的是,如果攻击者对预期目标进行了彻底的侦查,则网络钓鱼可能非常有效,并且难以检测和缓解。
2
假托
假托(Pretexting)是创造虚假和令人信服的情境,使受害者信任攻击者并几乎愿意给出其个人信息或访问凭据。攻击者使用开放源代码情报,即公开文件,无论是在互联网上容易获得的信息,还是在社交媒体中获得的丰富信息。这些骗局让您相信有机会分享遗产、中彩票或其它“天上掉馅饼”的说法,前提是您需要给骗子汇钱来帮助他们“把钱取出来”。
1
诱饵
如果您单击网站上的链接是为了获取一些免费的东西,那么你的贪心很可能会被一些人利用。这与旨在提高网站点击率的“点击诱饵”不同,诱饵攻击会在受害者的计算机上安装恶意软件。例如,看起来无辜的网站提供免费的财务计划电子表格供下载。当电子表格加载反向shell 程序时,攻击者就可以访问所有受害者。另外一种形式是使用被感染的USB 驱动器,这些驱动器被遗留在咖啡店或停车场周围,没有经验的用户出于好奇而拿起它们,然后插入他们的计算机。这也是将Stuxnet 蠕虫病毒安装到伊朗核设施中的方法,否则的话该设施被保护的密不通风,根本无法接近。
1
等价交换
类似于诱饵,此攻击通过为受害者提供好处以换取信息。这在社交媒体中特别有效。一种常见的形式是冒充公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。这些攻击不必非常复杂,并且通常是即时进行的,受害者是随机选择的。几年前在英国进行的一项研究表明,人们在地铁中随意停下,会为换取一块巧克力或一支廉价笔或其它小装饰品而泄露他们的网络密码。
1
尾随
尾随是一种非常常见的物理攻击,攻击者冒充其他员工或送货员,利用合法员工的访问权限来访问安全区域。一种常见的方法是要求某人带攻击者进入,因为他们“忘记带通行证了”。此方法用于访问安全区域,并且还要求攻击者编个借口,说服起疑心的员工以获得信任和合法性。一个攻击的变种是,攻击者谎称借用员工的通行证“一分钟”,以便他们可以去车上取回被遗忘的东西或其它事项,从而导致身份证被复制或损坏。大多数人都愿意信任别人,攻击者知道这一点并充分利用。
预防措施
5 种预防措施可以降低导致网络安全风险的人为错误。
1
减少攻击面
这就需要从攻击者的角度对设施的IT 基础架构进行彻底的分析。关闭打开的端口,并保护防火墙。将对关键系统的访问限制在尽可能少的人员范围内。
2
对关键人员进行全面的背景调查
人力资源是安全环节中最薄弱的,下一步最合乎逻辑的做法是尽可能消除潜在的人为因素。这意味着在可行的情况下,系统地消除人与人之间的互动。这听起来有点奇怪,但我们面临的危机有时就是由某些粗心的员工或未能理解攻击的员工而引起的。实际上,许多人认为网络安全是寻找问题的解决方案,这种思维使熟练的社会工程师面露微笑。
3
网络安全团队
建议加强对关键人员进行培训以监控威胁和泄露,并设置网络安全专员,由其定期审核安全程序并审查其他人员的网络卫生状况。这些人必须有权关闭漏洞,并且有能力及时纠正问题员工的行为。由网络管理员、安全人员和高级员工组成的网络安全“反击团队”可以迅速采取行动,以检测并密封漏洞,然后进行事后检查以确定漏洞是如何发生的。
4
基于角色的访问
无法阻止员工在便笺上写密码或将网络安全视为无用的行为。在允许员工在工作过程中访问网络和资源时,这种心态很难处理。基于角色的访问是解决问题的一种有效方法。另一种技术是要求正式的访问请求,然后在访问关键数据或系统时监视员工。多因素身份验证很有用,但如果员工没有认真对待它,并且对电话或其他第二种身份验证方法不注意,也是无济于事。
5
智能密码
强制执行智能密码策略可以有效防止员工使用容易猜到的密码,例如“1234567”或流行的“password”。培训员工养成正确的网络卫生习惯和网络安全意识。
很多企业可能在自动化系统、主动入侵者检测、缓解和预防以及主动对策方面花费数百万美元用于提升企业安全性,但这一切可能被粗心或无能的员工轻易破坏。尽可能消除人为因素可以有效降低网络安全风险。
关键概念:
■ 社交媒体和认知偏差可能会削弱人类的防御能力。
■ 降低攻击面、定期检查和创建内部网络安全团队可以为提升企业的网络安全提供帮助。
思考一下:
松懈防御的人可能会挫败最强硬的网络安全措施。