無(wú)論是行業(yè)大鱷,還是微不足道的SOHO家庭辦公,一樣都會(huì)遭到黑客攻擊,而且危害不僅僅是銷掉幾張信用卡那么簡(jiǎn)單。如何保護(hù)企業(yè)網(wǎng)絡(luò)和用戶的安全?以下這些細(xì)節(jié)切記不可忽視。
細(xì)節(jié)1:知道誰(shuí)會(huì)被黑客盯上,怎樣、以及為何被盯上
由于最近時(shí)而爆出知名公司網(wǎng)絡(luò)受到攻擊的新聞,許多企業(yè)主可能會(huì)想:“這種事不會(huì)發(fā)生在我身上—我的服務(wù)器上又沒(méi)什么非常寶貴的資料值得攻擊者下手”。事實(shí)上,許多攻擊根本不是針對(duì)性的,而是自我選擇的結(jié)果。也就是說(shuō),攻擊者廣撒魚網(wǎng):將成千上萬(wàn)封郵件發(fā)送到采集來(lái)的一批郵件地址上,給予回復(fù)的郵件地址(無(wú)論是通過(guò)點(diǎn)擊郵件里面的鏈接,還是發(fā)送回應(yīng)信息的嵌入式圖片)都是自我選擇的目標(biāo),然后對(duì)其下手。
針對(duì)性攻擊有另一個(gè)廣為人知的說(shuō)法,那就是“魚叉式網(wǎng)絡(luò)釣魚(spearphishing)”,這是一種比較危險(xiǎn)的攻擊。一名出色的攻擊者會(huì)采取偵查手段—搜索目標(biāo)組織的網(wǎng)站、上市公司向證券交易委員會(huì)提交的季度報(bào)告以及新聞稿,從中找出重要人物的姓名和郵件地址。如果這一招不靈,攻擊者可能會(huì)混跡于眾多行業(yè)會(huì)議和公開(kāi)演講活動(dòng)(會(huì)議網(wǎng)站上幾乎總是保存了幻燈片,其中演講者的姓名、頭銜和郵件地址一應(yīng)俱全);他們還會(huì)光顧社交網(wǎng)絡(luò)網(wǎng)站—黑客只要通過(guò)Facebook粉絲頁(yè)面和LinkedIn個(gè)人檔案,摸清楚誰(shuí)是企業(yè)負(fù)責(zé)人,然后就比較容易設(shè)圈套了。
一般的垃圾郵件發(fā)送者注重?cái)?shù)量,而魚叉式網(wǎng)絡(luò)釣魚攻擊者注重質(zhì)量。經(jīng)常處理敏感文檔,或者在公司文件服務(wù)器方面擁有更高權(quán)限的任何高管,都可能會(huì)成為受害者。雖然一家公司的頭兒,比如首席執(zhí)行官,會(huì)是魚叉式網(wǎng)絡(luò)釣魚攻擊者的主要目標(biāo),但同樣不能忽視了首席執(zhí)行官的行政助理。行政助理平時(shí)每天替首席執(zhí)行官收取陌生發(fā)件人發(fā)來(lái)的成百上千封郵件,可能還負(fù)責(zé)整理收到的所有郵件,往往壓力很大,絲毫不敢延遲對(duì)重要郵件的回復(fù),因而更可能會(huì)在計(jì)算機(jī)安全方面作出糟糕的決定。
由于相似的原因,企業(yè)的法律顧問(wèn)或?qū)B毬蓭熞埠苋菀壮蔀楣裟繕?biāo),特別是遭到AdobePDF攻擊。律師經(jīng)常彼此之間交換大容量的PDF文檔。所以不難想象,當(dāng)有人利用某律師常聯(lián)系的一家頗有影響力的知識(shí)產(chǎn)權(quán)律師事務(wù)所的虛假地址,發(fā)送傳達(dá)停止不正當(dāng)競(jìng)爭(zhēng)命令的假冒郵件,或者將惡意代碼添加到PDF文檔中,這名律師會(huì)不假思索地打開(kāi)這樣的郵件;一旦PDF文檔里面的惡意代碼得到執(zhí)行,律師的電腦實(shí)際上就已被攻擊者所“掌控”。
細(xì)節(jié)2:當(dāng)心圈套
企圖獲取競(jìng)爭(zhēng)情報(bào)或?qū)嵤┢髽I(yè)間諜行為的魚叉式網(wǎng)絡(luò)釣魚攻擊,可能會(huì)采用極具針對(duì)性的郵件或即時(shí)消息(如IM和Twitter消息等),以使受害者更容易上鉤。一家研究機(jī)構(gòu)的知名核物理學(xué)家不太可能會(huì)點(diǎn)擊兜售假冒勞力士手表或純天然壯陽(yáng)藥的鏈接,但是如果郵件邀請(qǐng)受害者在一場(chǎng)知名的核物理學(xué)討論會(huì)上發(fā)表專題演講,就極容易中招。
你可能覺(jué)得,在2010年,大多數(shù)用戶(尤其是技術(shù)員工)會(huì)對(duì)聲稱“我們?cè)诟倪M(jìn)安全措施”的任何要求用戶密碼重置的伎倆或郵件產(chǎn)生懷疑;但不幸的是,還是有多得驚人的用戶在上這種當(dāng)。SpecialOpsSecurity公司在為企業(yè)組織和政府部門進(jìn)行安全評(píng)估時(shí),會(huì)進(jìn)行一些有控制的試驗(yàn):有意地針對(duì)該組織的某些人進(jìn)行網(wǎng)絡(luò)釣魚攻擊,跟蹤在加密網(wǎng)站上的點(diǎn)擊操作和密碼輸入。試驗(yàn)甚至為組織的CIO們開(kāi)設(shè)了自助服務(wù)門戶網(wǎng)站PhishMe.com,CIO們可以對(duì)自己的員工進(jìn)行模擬的魚叉式網(wǎng)絡(luò)釣魚攻擊。模擬測(cè)試的結(jié)果往往讓人大吃一驚,人們的安全意識(shí)真的不如CIO們想象的那樣強(qiáng)。