There is No Patch to Human Stupidity
系統安全性更新,病毒碼更新,漏洞修補,是資安管理上最基本的要求,但唯獨「人」的思維,行為模式沒有辦法安全性更新,也正因如此「人」永遠是資安最弱的一環,不論有多強的安全防護架構,常常是因為人的疏忽導致資安事件。而社交工程也正是基於人性的弱點作為攻擊途徑;好奇心、恐懼心、貪心、同情心,這些都是罪犯常利用的弱點,而這類攻擊手法不需要高深的入侵技術,來破解防火牆,躲避入侵偵測系統或防毒系統,以合法掩護非法,透過電子郵件,社群網站、訊息平台、商務網站等合法管道,將惡意程式傳入受害者電腦,手機,USB等各式裝置。所以對於社交工程我們應該更深入了解攻擊行為,並擬定適當的防護措施
首先我們必須知道社交工程可是一種使人信服的藝術,如下圖步驟
一、想辦法取得受害者的信任
二、利用對社交工程的無知,更容易成為攻擊的目標
三、威脅受害者因損失某事物
四、誘使受害者提供攻擊者需要的一些重要資訊(如洩漏個資)
五、受害者被要求做一些看似降低損害,但卻是損失更大的行為(如匯款轉帳行為)
社交工程的攻擊類型基本上可分為
基於人為(Human-Based)
假冒員工或合法用戶 (Impersonating an Employee or Valid User)
冒充重要人員(Posing as an Important User)
使用第三人稱Using a Third Person
透過技術支援Calling Technical Support
偷窺(Shoulder Surfing)
翻閱垃圾桶(Dumpster Diving)
基於電腦(Computer-Based)
電子郵件附檔(Email attachments)
假網站(Fake websites)
彈出視窗(Pop-up windows)
Inside Attack
商業間諜(Spying)
心懷惡意員工(Revenge)
Preventing
重要職責應區分
僅提供最小權限
系統、資料應有存取控制
對於存取活動應紀錄並稽核
擬定資安政策
重要資料應有防護機制
Identity Theft
個人身分憑證(身分證、護照、自然人憑證等)
個人資料(姓名、身分證字號、住址、出生年月日、電話、金融資料、醫療紀錄...)
Social-Engineering Countermeasure
一、密碼政策(Password policy)
二、資訊設備政策(Physical Policy)
三、電子郵件政策(Email Policy)
四、社交工程教育訓練(Training)
五、資訊應分級(Classification information)
六、存取權限設置(Access privileges)
七、員工背景查核(Background check)
八、資安事件處理程序(Incidence response)
九、雙因子認證(Two-Factor Authentication)
十、防毒軟體(Anti Virus)
十一、防釣魚軟體Anti Phishing Defenses
(Netcraft:https://www.netcraft.com/、PhishTank:https://www.phishtank.com/)
十二、變更管理Change Management
Identity Theft Countermeasure
一、丟棄含有個資的文件前應碎化或隱密(帳單,稅單)
二、維持郵件信箱的安全,刪除機敏的郵件
三、確認沒有個人資料被公開於網路上
四、對於要求你個資的APP或其他資訊服務應檢視並盡量不提供
五、檢視信用卡帳單內容是否異常
六、不要讓信用卡離開你的視線
七、保護在公開網路上的個人隱私資料
八、不要在手機上記錄個人資料
九、在公開網路上不要提供個人聯絡資訊,除非是強制規定
資料來源:CEH
沒有留言:
張貼留言