安全最大的问题出在人的身上,解决方案也一样。我们来看看《Verizon 2015年企业数据泄漏调查报告》(DBIR)中的一个分类--网络钓鱼。
网络钓鱼现在已受到很多首席信息安全官的关注。我们知道,不少业内震惊的数据泄露事件都是由网络钓鱼的得逞而引起的。我们也见证了经由策略邮件实施的网络欺诈案例的大幅上涨。这些策略邮件大多以公司高管为目标,邮件内容经过精心策划,非常具备迷惑性。
那么关于网络钓鱼,今年的DBIR又告诉了我们什么呢?
23%的接收者会打开钓鱼邮件,11%会点击附件。其中近一半的人会在第一个小时内打开邮件并点击钓鱼链接。
情况似乎不太严重,只有23%的员工会打开钓鱼邮——而且这其中只有50%是在第一个小时内点击的。
但当你考虑到以下两件事时,情况看起来就恶劣多了:
· 首先,会打开邮件的那23%与去年的10%-20%相比有了明显上升。
· 其次,点击诱骗链接的危害可不容小觑。两年来,超过三分之二的网络间谍事件都有着明显的网络钓鱼特征。”毕竟这是一种很有效率的攻击方式,但很多公司只考虑将大量时间和金钱花在“保护人本身”上面,于是问题却越来越严重。这里讨论可不仅仅是从员工身上获取信息,虽然这是恶意软件远程登录企业网络或者将有价值的数据偷运出去的常用方法。
网络钓鱼问题的一个重要部分在于钓鱼技术不仅越来越复杂精密,也越来越难以阻挡。可以说,成功的网络钓鱼邮件更像是一场战役,用户会在短时间内收到大量的邮件。这是提高效率的一部分,他们用更多的邮件淹没用户,寄希望于降低用户的防备心而点击里面的链接,这样他们就能悄悄潜入用户电脑了。
DBIR中写道:
“这些数字表现出的是,仅仅10封电子邮件就能产生90%的几率至少有一名用户会成为网络罪犯的猎物,然后该用户被打包,贴上标签,卖给市场上的“鱼贩子”。
企业不能弃用电子邮件,无论是内部交流还是与用户沟通,因此还是来看看我们能做点什么吧。
凡事预则立
如果你能在钓鱼邮件到达员工之前就捕获它,比如说采用网关检测,那样就能将员工隔离在钓鱼环节之外。但攻击者无时不刻的在研究并攻克各种检测手段,因此指望邮件网关完全捕获钓鱼邮件是不大现实的。
而且可能的话,尽可恻然隔离或者删除邮件,不要仅仅拖到垃圾邮件文件夹。在一样案例中,有人会“勤快”地从垃圾邮件文件夹中恢复出恶意邮件,然后点击链接或者打开恶意附件。于是……这样的案例并不十分令人意外。
训练网络钓鱼的防范意识
如果想让你的员工在面对网络钓鱼攻击时有着更充分的准备,一个好的方法就是让他们在一个安全的环境中事先操练一番。信息安全意识培训提供商虽然有多种方案任君挑选,但如果想要免费的话,OpenDNS上的网络钓鱼小测验是个不错的选择,可以有效的提升其用户的“网络钓鱼识别”能力。
这个小测试聚焦在网络钓鱼网站,并没有针对鱼叉式网络钓鱼的电子邮件。不过它仍不失为一个非常不错的资源。
另外还有一些关于怎样识别网络钓鱼邮件的好文章。比如,微软的安全中心就有一份非常好的安全指南。国内的一些安全网站上也有一些很有用的相关信息。
关注可能的受害者
DBIR中称,有些人更倾向于打开钓鱼邮件。
联络部、法务部、客户服务部等部门远比公司其他部门更倾向于打开电子邮件。”但只要打开电子邮件,任何部门的人点击里面链接的可能性都是一样的。如果你认真观察那些本来职责就是打开邮件并回复的部门的数据,便会有所收获的。另外要注意高管,最好将他们也加入到易打开钓鱼邮件的名单中。现实中有过太多针对CXO人员的钓鱼邮件案例了。
亡羊补牢
确保系统的检测和响应程序有效并且就位。一个相对简单的解决方案可换来巨大的收益:
确保用户别用本地管理员权限登录系统!只要做到这一点,恶意软件的疯狂爆发可能性会极大的降低。这样做虽然会带来些操作上的麻烦,也许有人会对安全人员抱怨,但至少保证了系统不会遭受更大的损失,相反的例子如索尼影业。
网络钓鱼仅仅是数据泄露涉及的一个方面,但问题确实出在人身上,因此人本身也是解决问题根本所在,解铃还须系铃人。
作者:nana
来源:51CTO
