Spear Phishing Check Point 社交媒體 APT

員工才是資安防護最前線

2012-03-27
企業常常忙著尋求資安設備的保護來避免可能的威脅,但忽略了其實公司內部員工本身也是資安防護的一大漏洞。在迎戰日益複雜的安全威脅時,最需要的是技術及使用者警覺意識的有效結合。
近年來,進階持續性威脅(APT)所造成的幾起重大的資安事件教會了我們一件事,那就是「員工」對網路安全來說,跟資安技術同樣重要。

企業常常忙著尋求資安設備的保護來避免可能的威脅,但忽略了其實公司內部員工本身也是資安防護的一大漏洞,而且也未曾訓練或要求員工協助保護公司機敏資訊。僅管企業為保護公司網路,在部署解決方案時已投入大量的投資,但事實上,在迎戰日益複雜的安全威脅時,最需要的是技術及使用者警覺意識的有效結合。

像社交工程等這種將焦點放在利用員工的駭客技術,早已蔚為風潮。根據Check Point調查,近半數的企業在過去兩年受到社交工程的攻擊至少多達25次以上,而透過電子郵件及社交網路的「魚叉式攻擊(Spear Phishing)」則是最常見的攻擊模式。企業在每次資安事件中往往蒙受了2.5萬到美金10萬元以上的損失。


▲根據Check Point調查,近半數的企業在過去兩年受到社交工程的攻擊至少多達25次以上。

這種攻擊趨勢主要有兩個原因。首先,對於許多企業來說,公司缺乏適當的資安政策方針或員工資安訓練。其次,目前的社交媒體平台數目不斷增加,每個平台都能提供許多隨手可得、關於個人及其任職公司的資訊。有了這些資訊,駭客就能建立攻擊目標人員的背景資料、針對個別目標進行攻擊,以建立新的入侵點,增加攻擊成功的可能性。

一旦進入公司內部,駭客即可利用一系列的工具,沿著職權等級逐步駭入高階主管級的權限,讓駭客能毫無限制地存取公司內部機敏資料。

社交網路偵察

社交網路偵察是駭客慣用的手法。與經由正門的暴力攻擊方式不同,社交工程攻擊需要更多技巧及規劃。監視是瞭解潛在「目標」的關鍵,並能為有心的駭客提供許多重要問題的解答,包括:

·關鍵人員
誰是負責企業資安防護的守門員?

·資安政策
哪些是該公司已具備的防護措施?

·加密資料流
在下班時間是否允許外送SSL資料流?
現在收集這些情報比以往更為容易。利用以下社交網路及其他線上工具,就可針對企業及其員工找到前所未有的深入資料,便於駭客快速建構出其目標的全貌。

·公司網站
在求才廣告中所張貼的資訊,能讓駭客更為瞭解公司現有的安全架構,進而精心打造用來發動攻擊的工具,增加成功的可能性。

·Facebook和Twitter
對駭客來說簡直是資訊的金礦,能協助他們對公司特定員工的喜好及興趣有更深入的瞭解,發展出更精確的攻擊。

·Foursquare、Facebook打卡服務
以地區為主的定位服務,可用來跟隨潛在的攻擊目標,讓駭客趁對方用筆電登入未設防護的公共網路時趁機發動攻擊。

整個收集資料的過程非常簡單。藉由從這些來源所獲得的資訊,有心的駭客即可具備所需要的一切資料,悄悄入侵某間公司的網路資安防線。

今日的威脅

在確認公司內鎖定的目標之後,接下來讓我們討論一些駭客最常用來滲透、深入公司網路的方式。瞭解駭客所使用的方法,對於提升員工的警覺心及資安教育是非常重要的。

·惡意附件
這也許是最常被利用的攻擊方式之一。惡意附件是魚叉式攻擊的一種誘餌,一旦開啟附件後就會傳送惡意內容,最常見的副檔名就是Microsoft文件及PDF。

·偷渡下載
通常發生在惡意網站,或是已遭入侵的原始網站,包括利用訪客瀏覽器中的安全漏洞,就能在使用者不知情的情況下安裝惡意軟體。

·零時差攻擊
利用尚未發現的軟體漏洞。利用一個以上的弱點,如Stuxnet蠕蟲病毒即是利用Windows中4個未知的漏洞,增加目標裝置或電腦對攻擊完全束手無策的可能性。

上述的實例並非全面化攻擊,但利用這些方式與其他入侵方式的組合,便可繞過網路外部的安全保護網,建立出一條通往公司機敏資料核心的小徑。

順藤摸瓜

典型的駭客攻擊動機通常不外乎三種原因:詐財、取得競爭利益或報復行為。當駭客已在目標公司網路建立根據地之後,便會開始專注於駭入他們真正想要攻擊的目標——通常是掌握公司機密資料存取權力的高階主管。

達成目標最常見的方法是,從駭客初始目標的電腦擷取一份原始文件,由遠端駭客操作端將它感染,然後以轉寄指令寄回公司。被駭客鎖定的目標在收到來自信任來源的附件後,不疑有他,在受害者開啟文件時,就會將已受感染的內容安裝到其電腦上,為駭客建立後門程式。在入侵目標之後,駭客即可開始存取和下載端點裝置中所保存的資訊,任誰也無法察覺。

企業裡的員工是資安防護重要的一部份,因為他們可能會被駭客誤導,或造成導致惡意軟體感染與意外資料外洩的錯誤。太多公司都未能正視與「使用者」有關的問題,事實上,使用者應該是資安防護的最前線。

以使用者為核心

為達成現今IT環境所需要的防護等級,資訊安全不應只是不同資安技術的結合,而必須以使用者為核心來考量公司如何兼顧資安防護與日常業務運作。持續的教育訓練配合清楚定義且完整傳達的資安政策,對於員工的資安警覺意識是非常重要的。



追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!