ISACA Journal | 社会工程如何绕开技术控制
简单的社会工程就能让威胁攻击者绕开技术控制,造成企业网络瘫痪,这已经成为当下安全专业人员的一大困扰。连有经验的安全专业人员也有上当受骗的时候,将社会工程当做符合社会规范的正常人际交往、放心地给予信任和善意,从而成为攻击的受害者。
攻击者能利用人类的信任轻易地破坏机密信息。想象这样一个场景:一个人打电话给医院要求从以前的医生那里获取自己的医疗记录,接线员会要求提供姓名和出生日期来验证对方身份,然后将请求转给医生批准,然后再确认第二天可以领取纸质医疗记录。现在,由于新冠疫情的关系,此人到达诊所时电话联系接线员,并戴上口罩。一名护士从诊所出来,没有确认此人的身份,也没有要求摘下口罩,就将医疗记录交予他。这种情况的问题在于,医疗记录的真正主人完全有可能被别人通过各种来源拼凑信息而冒充,这个人可能是信息所有人的朋友、前配偶、甚至陌生人。如果诊所将医疗记录交给了一个攻击者,诊所不验证领取者身份的做法还涉嫌违反美国《健康保险流通和责任法案》(HIPAA)。
由于许多国家缺乏强有力的综合隐私法,居民的大量个人信息都可以在网上获得,攻击者在侦查时很容易将不同的数据拼凑起来。各种网站在未经用户同意的情况下公布电话号码、住宅地址、工作地点等信息,部分社交媒体用户在平台上的过度分享还使可用信息的传播更广。这就给社会工程攻击者留下了不小的漏洞。犯罪分子能够在千里之外针对政商界人士发起攻击,攻击者还熟知公共和私营部门安全专业人员的个人信息(这些信息也很容易获取)。这是一个非常严重的弱点。
社会工程可以被定义为通过操纵和欺骗他人来获取机密信息的行为。社会工程也被描述为未经授权访问信息系统和获取敏感信息的最具创造性的方法之一。成功的社会工程项目需要精心策划,目的是在攻击者和目标之间建立绝对的信任,使目标在执行过程中不产生任何怀疑。由于很多国家都缺乏强有力的隐私法,众多网站未经授权泄露个人信息,安全专家需要明白他们真正的敌人是社会工程,因为技术控制只占成功攻击的一小部分。如果没有严肃的隐私法改革、不加强组织的安全意识,许多攻击者将继续利用目前的漏洞,绕过组织价格不菲的技术控制。
技术如何助长欺骗
许多人都意识到了钓鱼邮件和钓鱼活动在过去十年中变得非常普遍。但即使是最谨慎的人也还有很大风险会被一种新的社会工程技术欺骗,那就是全自动区分计算机和人类的图灵测试(CAPTCHA)钓鱼。CAPTCHA 的目的是防止机器人进行远程数字输入,只允许拥有正确用户名和密码的授权人员访问账户。但是,即便复杂的CAPTCHA技术也会在社会工程攻击中一败涂地。
CAPTCHA 钓鱼攻击包括在网页上部署 CAPTCHA 钓鱼页面(CAPTCHA载体),并选择在一些高流量的网站发布钓鱼信息。毫无戒心的用户试图访问他们通常登录的网站时,会看到一个 CAPTCHA,选择一个图像来验证自己是人类时,结果会显示验证失败。之后会进入一个假的登录页面,按照页面指示输入真正的凭证后,凭证就在不知不觉中被交给了第三方。即使是安全意识最强的用户也很难注意到这样的社会工程陷阱。
此外,还有一种非常普遍的新型社会工程,其中,攻击者通过伪造与工作相关、看起来很真实的电子邮件(如福利的变化或发放礼品卡奖励工作出色的员工)进行网络钓鱼。员工可能会点击这样的链接,因为这些邮件看起来完全没问题,结果却让未经授权的外部人员进入企业网络。
随着物联网(IoT)的发展,社会工程的难度进一步降低,因为许多人使用相互连接的各种设备。尽管一些企业正在努力用容器将企业应用与员工的个人应用隔开,但人为操作失误会帮助攻击者入侵企业网络。随着追踪个人行动的设备激增,对手也更容易了解和利用目标的习惯。
新冠疫情大流行开始后,许多雇主允许他们的员工在家工作——许多人使用家庭网络处理工作业务。一些技术措施可以用来应对安全弱点,如使用虚拟专用网络(VPN)和容器来分离个人和工作的应用程序。然而,员工也会希望连接咖啡馆、机场大厅和飞机上的互联网随地赶上工作,这也给了社会工程项目可乘之机。人们接触的新技术、新应用越多,社会工程师就越有可能利用知识盲区实施成功的攻击。
新冠疫情大流行将众多日常办公程序转移到了线上平台,大大增加了在线工作的人口比例。一方面互联网用户在增加,但网络安全教育和培训并没有跟上,大多数人都不知道如何识别和应对日常可能发生的不同类型的攻击。
图片来源于公共图片库
人是最薄弱的一环
许多人认为网络安全领域全是抽象和深奥的硬件和软件设置配置——这些核心信息归精通计算机科学的员工负责。普通的用户更关心技术使用的便利性而非安全性。攻击者知道计算机用户有这种错误想法,并企图利用这种想法。持有这种想法的人可能对日常网络安全非常松懈,例如在飞机上登录企业网站,忘记了攻击者可能会利用这个机会窃取信息。如果间谍的目标是一个正在登录应用程序的政府雇员呢?他只是想赶上工作进度,但窥探的间谍可以看到他正在访问的应用程序,并利用这些信息伪造电子邮件,诱使他点击嵌入的恶意链接。
社会工程也可以被描述为一门利用未做好准备防范此类威胁或攻击的人的心理来渗透网络安全防御的艺术。成功的社会工程依赖的一大人性弱点就是一些人没有意识到他们的行为或思维过程可能存在缺陷,因此几乎没有采取任何预防措施。攻击者可以更容易地利用那些意识松懈的人。有这种心态的员工也可能做出危险行为,如在机场大厅用手机大声讨论客户的机密信息。有些人不认为自己的行为可能导致新的漏洞,他们有时还非常顽固不化,仅一次年度安全意识培训课程很难改变他们的想法。
攻击者如何成功入侵
网络安全是一个国家层面的安全问题。攻击者已经知道要攻破围绕敏感数据的深度防御(DiD)技术配置,最简单的方法就是社会工程。由于各法域在数据管理方面法律不同、漏洞不同,有时一些组织甚至无视现行法律,不断在网上购买和出售个人数据。社会工程攻击者可以利用这些数据针对地缘政治对手发动网络攻击。
有些人认为国家安全是要保护重要的基础设施,公民的隐私无关紧要。有这种想法的人有时正是代表政府管理重要基础设施的人。如果这些人的信息在网上被公开,攻击者就可以把他们作为目标,尝试进入他们的计算机系统和网络。随着网络战时代的到来,监管网络战的法律也在不断发展,我们必须强调:关键基础设施人员的个人信息不容曝光,否则将危害网络安全。
图片来源于公共图片库
减小社会工程威胁
所有数字系统的用户都需要意识到自己的行为可能存在缺陷,可能被攻击者利用。保持这种意识绝非易事,因为人们往往对自己的决定充满信心。雇主至少应该出资开展培训和安全意识活动,但安全主要还是看个人,个人应该应用从组织的培训中学到的东西,并持续保持警惕。员工只有意识到自己在应对环境中威胁时的错误行为可能导致何种危险,才能保持警惕。
企业应该对人事部门展开培训,要求人事发布招募信息时谨慎透露工作内容。如果一个组织的人事透露组织正在寻找专攻特定软件平台(平台可能使用过时、易被入侵的技术)的软件工程师,这可能会向攻击者透露宝贵的信息。入职后的软件工程师也应接受培训,避免在领英或其他网站上发布其职位的不必要的细节,包括人员设置等,这些细节可能会给攻击者提供有关内部组织架构的信息。
有些组织在网上发布员工的资料,包括工作电子邮件和工作地点;还有些组织还在网上发布关键安全员工的个人信息,包括他们的住宅地址、个人电子邮件和电话号码。员工应该意识到个人信息是否暴露给攻击者,并努力删除公共平台上的个人信息。
除了开展培训之外,制定法规也有助于减小社会工程的威胁。政策制定者和立法者必须了解缺乏综合隐私法对攻击者意味着什么。如果国家缺乏法规,攻击者可以获得大量的信息,那么将可能在潜在的网络战争中处于不利地位。欧盟《通用数据保护条例》(GDPR)就是一个很好的范例,类似立法能够防止非必要暴露安全专业人员和官员的信息。
结论
新冠疫情大流行下许多组织现在都有员工全职在家工作,还有一些组织则采取了混合工作模式。无论采取哪种工作方式,员工都应该对社会工程的危险保持警惕。员工需要明白自己的行为可能在很多难注意到的角落留下漏洞,这一点非常重要。每个使用系统的用户都应该接受严格的网络安全自我评估技术培训,防止不经意间向攻击者泄露凭证。
世界正在步入网络战争风险加剧的时代。社会工程可以成为敌手收集所需信息、发动破坏性网络攻击的有效武器。每天都有数百万、数千万用户在在线社交网络上发布个人信息。这些信息也许看起来微不足道,却可能是引燃网络战争的火星。
要解决互联网上个人数据满天飞的问题,国家可以出台强有力的隐私法,用户则可以改变在网络上的行为。现在行动起来,也许还不算太晚。
编者注:本文出自ISACA Journal 2022年第5期。尾注略。文章内容仅代表作者本人观点。
作者:ALLEN ARI DZIWA,CISA, CCSP, CEH, CISSP,目前就读于美国布朗大学网络安全专业,同时在克利夫兰联邦储备银行担任网络安全风险专员。