莉莲·阿布隆 (Lillian Ablon) 是兰德公司的网络安全研究员。我们看一下她对社会工程造成的威胁的相关解释,以及组织内粗心个人造成的严重漏洞。
做网站、网站设计介绍好的网站是理念、设计和技术的结合。创新互联公司拥有的网站设计理念、多方位的设计风格、经验丰富的设计团队。提供PC端+手机端网站建设,用营销思维进行网站设计、采用先进技术开源代码、注重用户体验与SEO基础,将技术与创意整合到网站之中,以契合客户的方式做到创意性的视觉化效果。
人为因素在网络和计算机网络操作中变得越来越普遍,也是网络安全中最不可预测的因素。越来越多的人连接到技术并与之互动,无论他们是否愿意,而且他们不一定具有安全意识。这使得他们的数字世界更容易定位和访问。
最简单的说,社会工程意味着让某人做你想做的事情,或者给你提供你想要的信息,而这个人通常不会考虑该行为的负面后果。由于人类与计算机交互——并且由于人类可以被操纵——它们通常是公司或组织的薄弱环节。Social-engineer.org 网站将“社会工程”定义为影响一个人以实现可能不符合该人最佳利益的目标的行为。
通常使攻击者能够获得对目标设备和网络的物理访问,并有助于收集和获取凭据(例如用户名/密码组合)以进行后续基于网络的攻击(例如在网络上安装恶意软件或窃取知识产权)财产)。
重大网络事件的发生是由于攻击者通过社会工程获得初始访问权限,通常是通过说服内部人员无意中下载或安装向攻击者开放目标网络的恶意软件(例如,盗窃 RSA SecureID 令牌) 2011 年推特上的虚假报道导致道琼斯指数在 2013 年下跌、2013 年多达 1.1 亿 Target 客户的个人信息大规模泄露以及 2014 年索尼影视娱乐公司的电子邮件被黑客攻击。
Check Point Software 2011 年的一份报告发现,48% 的公司遭遇过社会工程攻击。2013 年,Verizon 的一项研究报告称,29% 的攻击可能与社会工程策略有关。赛门铁克 2015 年的一份报告称, 2014 年,每六家大公司中就有五家成为鱼叉式网络钓鱼攻击的目标。攻击者正在转向利用人类漏洞的方法,而不是依赖对软件漏洞的复杂利用。
社会工程攻击诱使目标单击链接、打开附件、安装程序或下载文件。该链接可能会将目标重定向到索取个人信息(然后由攻击者收集)的网站,或者其中包含恶意软件,然后感染目标的计算机。该恶意软件可能会安装键盘记录程序(一种记录任何击键的恶意程序,通常用于窃取密码)或其他一些程序或代码,使攻击者能够从目标计算机移动到目标网络和组织中的其他网络。
攻击者使用许多技巧来试图让人类目标向他们提供信息或访问权限。它们迎合自我(“促销详情见附件”)、财务需求(“您刚刚中了大奖,点击这里!”)、好奇心(“如何在 10 分钟内减掉 10 磅!”)、人性(“点击此链接向华金飓风受害者捐款”)或工作职责(“请查看我所附的简历”)——所有这些都是为了让目标点击将目标重定向到恶意网站的链接或打开包含恶意软件的附件。
电话诱骗和网络钓鱼是攻击者用来渗透公司的两种最大的社会工程技术。
有针对性的网络钓鱼称为鱼叉式网络钓鱼,其中“诱饵”针对特定个人或公司。定制攻击会增加受害者陷入鱼叉式网络钓鱼活动的可能性。
面对面的互动可能是最具挑战性的,因为它们是实时发生的,并且恶意行为者需要实际尝试表演场景。社会工程师需要着装得体(面试迟到的候选人、联邦快递送货员、自助餐厅工作人员、同事),并且可能需要佩戴徽章才能通过大楼安检。
为了开展令人信服的社会工程活动,必须针对目标做大量的功课。这通常采取收集有关目标的开源信息的形式,以便制作看似合法的鱼叉式网络钓鱼电子邮件或可信的钓鱼电话。例如,信息搜寻可以包括在互联网上搜索,或者在目标住所或公司的垃圾箱中进行物理搜索以寻找线索。
通过电子邮件或文本(相对于通过语音或面对面)进行的社会工程具有内在的巨大好处。它具有可扩展性:只需按一下按钮,社会工程师就可以尝试攻击许多目标。此外,由于社会工程师没有与目标实时通信,因此如果目标有任何抵制或怀疑,社会工程师有时间改变策略或编写新的故事。
2000 年代初,网络钓鱼开始流行,但其尝试十分粗暴,充满了错误的语法和拼写,并试图将目标定向到明显虚假的网站。在 2000 年代中期,通过文本进行的网络钓鱼(称为 SMiShing)开始出现,到了 20 世纪末,网络钓鱼攻击变得司空见惯。2010年,复杂的鱼叉式网络钓鱼尝试开始出现,其中包括可信的演示格式和恶意网站。
随着社会工程攻击的改善,人们和潜在受害者的反应也随之改善。公司意识到有必要教会员工可疑的电子邮件、电话、短信和面对面的互动可能是什么样子。
攻击者和防御者一直在玩猫捉老鼠的游戏。防御者试图领先于攻击者的方法,而攻击者总是想出新的攻击方法。这种来回只会继续下去。
人类也将继续成为薄弱环节。无论网络、设备、系统或组织从技术角度来看多么安全,人类经常会被剥削、操纵和利用。然而,个人和企业可以采取措施更好地保护自己免受社会工程攻击。
无论网络、设备、系统或组织在技术上多么安全,人类经常会被剥削、操纵和利用。
个人应对试图让人们透露个人或敏感信息、或要求访问陌生网站或安装陌生程序的电子邮件、未经请求的电话或面对面互动保持警惕。企业应定期为员工提供安全意识培训。培训可能包括从每年的静态 PowerPoint 演示到定期的交互式内部网络钓鱼尝试等各种内容。
为了了解哪些地方容易受到攻击以及安全工作的重点在哪里,组织应对其网络和系统进行渗透测试(或“渗透测试”)。进行笔测试的公司通常还会提供物理评估,以确定建筑安全方面的薄弱环节,这样社会工程师就无法实际通过门。
最后,组织应该准备好应对网络攻击,并制定补救和恢复计划。任何人都不应该措手不及。公认的普遍观点是,攻击发生只是时间问题,而不是是否发生的问题。
网站名称:社会工程解释:网络攻击中的人为因素
转载源于:http://www.shufengxianlan.com/qtweb/news34/248084.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联