降低網(wǎng)絡(luò)釣魚(yú)攻擊的風(fēng)險(xiǎn)

責(zé)任編輯:editor004

作者:Harris編譯

2016-11-10 12:10:31

摘自:機(jī)房360

摘要:如今,網(wǎng)絡(luò)釣魚(yú)已演變成黑客用來(lái)滲透組織的最有效的工程攻擊手段。以下是大多數(shù)組織能夠以適度的成本實(shí)施的措施,并大大提高個(gè)人的警惕措施,從而降低網(wǎng)絡(luò)釣魚(yú)成功攻擊的風(fēng)險(xiǎn)。

如今,網(wǎng)絡(luò)釣魚(yú)已演變成黑客用來(lái)滲透組織的最有效的工程攻擊手段。網(wǎng)絡(luò)釣魚(yú)的目標(biāo)是讓人們不知不覺(jué)地下載惡意軟件或泄露他們的訪問(wèn)憑據(jù)。最好的防御是作好個(gè)人警惕和防護(hù)工作。

在剛剛結(jié)束的“網(wǎng)絡(luò)安全意識(shí)月”提醒人們,個(gè)人和集體行為是包含網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)的行為。

以下是大多數(shù)組織能夠以適度的成本實(shí)施的措施,并大大提高個(gè)人的警惕措施,從而降低網(wǎng)絡(luò)釣魚(yú)成功攻擊的風(fēng)險(xiǎn)。

安全意識(shí)培訓(xùn)

安全意識(shí)培訓(xùn)是減少網(wǎng)絡(luò)釣魚(yú)攻擊的最簡(jiǎn)單的措施。在許多組織中,每個(gè)人都需要參加基本的安全意識(shí)培訓(xùn)。通常培訓(xùn)大綱包括:

1.適當(dāng)?shù)慕M織和個(gè)人的互聯(lián)網(wǎng)使用。

2.釣魚(yú)和其他類型攻擊的定義。

3.黑客動(dòng)機(jī)概述。

4.網(wǎng)絡(luò)釣魚(yú)攻擊和其他惡意入侵的不良后果。

5.遵守密碼策略以及如何保護(hù)個(gè)人訪問(wèn)憑據(jù)。

6.如何發(fā)現(xiàn)可疑的傳入電子郵件。

7.組織的電子監(jiān)視防御的限制。

8.審查機(jī)密信息管理政策,包括:

·妥善處理機(jī)密信息。

·告誡不要點(diǎn)擊來(lái)源不明電子郵件中的鏈接或附件。

·提醒不要在沒(méi)有適當(dāng)授權(quán)的情況下發(fā)出組織信息。

·鼓勵(lì)向網(wǎng)絡(luò)安全團(tuán)隊(duì)報(bào)告可疑的電子郵件。

9.報(bào)告網(wǎng)絡(luò)釣魚(yú)和其他安全事件。

10.網(wǎng)絡(luò)安全小組如何調(diào)查網(wǎng)絡(luò)釣魚(yú)和其他事件。

11.物理安全和進(jìn)入建筑物。

背景篩選

有時(shí),一些黑客加入組織作為雇員或承包商只是收集內(nèi)部信息。背景篩選是基于收集的信息預(yù)先處理未來(lái)網(wǎng)絡(luò)釣魚(yú)攻擊的重要政策。而篩選不應(yīng)僅限于員工,而應(yīng)包括供應(yīng)商員工和合同工,因?yàn)閹缀趺總€(gè)人都能獲得某種形式進(jìn)入一些機(jī)構(gòu)網(wǎng)絡(luò)和設(shè)施的機(jī)會(huì)。

不篩查或隨意篩選會(huì)讓黑客收集內(nèi)幕信息用于未來(lái)的攻擊。

網(wǎng)絡(luò)釣魚(yú)意識(shí)培訓(xùn)幾乎徒勞無(wú)功,因?yàn)槟切┮呀?jīng)經(jīng)過(guò)訓(xùn)練,并警告和威脅工作人員不要點(diǎn)擊可疑的電子郵件附件,但他們?nèi)匀贿@樣做。員工似乎對(duì)此還不太重視。

每個(gè)組織都應(yīng)該操作訪問(wèn)控制系統(tǒng),以確保只有明確授權(quán)的人才可以訪問(wèn)系統(tǒng)和設(shè)施。每個(gè)人都需要學(xué)會(huì)堅(jiān)定地挑戰(zhàn)他們不認(rèn)識(shí)的人和事。

頻繁的物理安全監(jiān)督包括:

1.在訪問(wèn)控制系統(tǒng)離開(kāi)組織后,不會(huì)嚴(yán)格刪除他們。

2.為個(gè)人擔(dān)任的角色提供太多的機(jī)會(huì)。

模擬社會(huì)工程演習(xí)

有時(shí),網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)將網(wǎng)絡(luò)釣魚(yú)消息作為一種演練發(fā)送給員工,以評(píng)估組織中安全意識(shí)培訓(xùn)的有效性。

排除演練價(jià)值的事件包括:

1.不舉行演習(xí)。

2.舉辦過(guò)多的演練,可能讓大量的員工煩惱。

3.制裁懲罰失誤的員工,而不是使用這種相關(guān)事件來(lái)加強(qiáng)培訓(xùn)。

信息分類政策

組織應(yīng)該發(fā)展,員工應(yīng)該閱讀和簽署信息分類和管理政策。分類為組織數(shù)據(jù)的類別分配了一定的價(jià)值和敏感性。每個(gè)信息分類包括用于查看,編輯和共享數(shù)據(jù)的不同規(guī)則。

網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)該不斷監(jiān)控與網(wǎng)絡(luò)上浮動(dòng)的組織相關(guān)的信息。發(fā)現(xiàn)機(jī)密信息應(yīng)觸發(fā)調(diào)查。這些過(guò)程應(yīng)保護(hù)機(jī)密信息,并使被動(dòng)信息收集對(duì)攻擊者更加困難。

破壞政策和這些過(guò)程的因素包括:

1.每個(gè)信息類別的模糊或復(fù)雜和冗長(zhǎng)的定義。

2.未能調(diào)查潛在事件。

3.未能懲罰員工違規(guī)行為。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)