钓鱼中招了就一定是员工的错吗?这公平吗?
Aaron de Montmorency是一名IT安全领导,在他的职业生涯中,他见识过很多次安全事件的发生。
比如:一名员工在上岗第一天就被冒充首席执行官的人钓鱼;一位人力资源部门主管,被一名虚假的首席财务官要求更改公司的汇款信息。除此之外,还有很多人遭遇攻击者的狂轰滥炸,尤其泛滥的是从社交媒体到电子邮件,再到短信进行攻击。
在这些情况下,用户几乎都麻痹大意而上当,但有些人会感觉不对劲,他们会通过致电被冒充的高管来亲自验证信息的真假。
总部位于华盛顿州塔科马的Elevate Health的IT安全和合规总监De Montmorency,赞扬了有些人的这种能够阻止攻击造成财务或声誉损害的直觉。然而,他认为,期望用户成为抵御猖獗的网络钓鱼、虚假高仿域名和其他基于凭据的攻击的第一线防御,将会是一种灾难性的后果。
对此,De Montmorency说:“当然,培训你的员工。人的因素往往是安全最薄弱的环节。但是,不要仅仅依靠培训或技术来保护组织,而是需要寻找一种平衡的手段和方式。”
随着攻击者通过 Zoom、Slack 和 Teams 等社交外部渠道对员工进行钓鱼手段,安全意识培训和防欺诈技术控制必须要有配套措施。
De Montmorency补充说,企业需要了解用户在数十个协作平台中点击、下载、上传或链接到的内容。他的公司使用SafeGuard Cyber来监控数据流量,并检测通过这些渠道可能进行的恶意活动。
据悉,该工具是无代理的,只需要单个用户登录,即可访问他们选择的平台,使其对用户正常工作无打扰,这是让用户支持必要的安全控制的关键标准之一。
麦迪逊大学最近的一份报告,剖析了业务协作平台 (BCP) 可用于应用到应用授权攻击、用户到应用交互劫持、应用到用户机密性违规的多种方式。
在他们的测试中,研究人员能够冒充受害者发送任意电子邮件、代码请求、使用默认的安全设置发起虚假视频通话,窃取私人消息,即使在应用程序卸载后,也能保持恶意工具的继续存在。
通过使用自制抓取工具,研究人员估计,在分析的2460个Slack应用程序中有1493个(61%)以及1304个Microsoft Teams应用程序中有427个(33%),容易受到钓鱼攻击。此外,1266 (51%) 的 Slack 应用使用斜杠命令,这些命令容易受到用户到应用和应用到用户违规操作的影响。
这些趋势显示了社会工程攻击如何转移到员工通过协作平台工作的地方。这意味着安全意识教育和安全控制需要协同进行,以保护用户、他们的设备和他们的账号,无论他们在哪里工作,都能免受这些不断变化的威胁影响。
“过去,我们将员工视为计算机的延伸。我们会制定法律规范某些行为:‘不,你不能去这个网站或使用这个社交平台’。但实际上人仍然是人,他们的首要任务是完成他们的工作,所以他们会绕过严厉的规则,如果有必要的话,他们会违反某些安全规范和防范措施。”
Nudge Security的联合创始人兼首席执行官Russell Spitler如是说,该公司最近委托对900名用户进行了一项名为“揭穿愚蠢的用户神话”的研究。
在这项研究中,67%的参与者表示,他们不会遵守这些类型的阻断干预措施,而是在阻断妨碍他们工作时寻找解决方法。相反,该报告指出,如果组织授权其用户做出更明智的决策,他们可以实现两倍于某些规范措施的合规率。
杜克大学(Duke University)管理学、心理学和神经科学教授亚伦·凯(Aaron Kay)博士为该报告提供建议,他说:“如果一个人能消除面对安全威胁时的负面心理因素,你就可以认为这个人会成为合格的盟友。”
总部位于安大略省密西沙加的首席信息安全官克里斯托弗·拉克斯达尔(Kristofer Laxdal)是一家拥有500多名员工的财务绩效管理平台,他同意惩罚性培训方法和限制性安全控制弊大于利,因为网络钓鱼,虚假域名和其他旨在利用特权访问的社会工程攻击只会变得更糟。他还认为,该行业正处于一个转折点,安全性可以改善用户体验,而不是成为一种阻碍。
里斯托弗·拉克斯达尔(Kristofer Laxdal)补充说,例如,Laxdal引用零信任和无密码计算作为技术控制,在提高安全性和降低风险的同时减轻员工的责任。另一方面,屏幕锁定和超时等繁琐的控制,导致用户私下安装鼠标抖动器和按键生成器,以防止他们的屏幕在计算机空闲时自动锁定,因为他们没有时间持续保持登录。
里斯托弗·拉克斯达尔(Kristofer Laxdal)还说:“安全从业者已经投入了多层技术控制和安全意识培训。然而,网络钓鱼、知识产权盗窃、虚假域名和勒索软件已经持续了太久,因此,虽然安全性确实存在人为因素,但控件本身需要无感知,因为用户厌倦了向多个系统输入多个登录名。他们还遇到了多重身份验证的疲劳感。所以需要实施技术控制,以消除用户操作过程中遇到的问题。”
里斯托弗·拉克斯达尔(Kristofer Laxdal)认为,最好的方式是了解员工的角色、资源和访问习惯。例如,金融工作者应该了解企业账户和社会工程尝试手段的具体风险,比如可能针对他们的 BEC 诈骗。
此外,开发部门需要重点关注不同的风险领域;例如托管服务器上的IP或隐藏在公共开源库中的恶意软件。另一方面,人力资源部正在处理不应通过任何渠道共享的PII(财务、银行和医疗保健信息),特别是考虑到任何人都可以冒充CEO并请求文件或转账。
Laxdal解释称:“所有这些载体都在全球范围内被用于攻击信息资产,而且绝大多数都是通过网络钓鱼实施的基于凭证的攻击。用户需要了解原因,并通过真实世界的例子参与讨论。”
Laxdal还强调:“与自己的员工坐下来,询问他们经常操作的工作日常和访问要求。了解业务的每个职能领域,以便可以为他们的业务设计控制和培训。”
Laxdal的公司使用Ninjio,该工具将行为分析与安全意识培训结合在一起,以动漫的方式进行。他说,通过使用现实世界的黑客,向用户展示如果用户采取危险的行动,后果将会发生什么,从而使其引人注目并引人关注。
Nudge Security还部署了分析功能,以识别用户何时偏离其规范操作的平台,通过提问来吸引用户,甚至通过双因素身份验证和其他安全支持,来帮助他们安全地设置新平台。
亚伦·凯(Aaron Kay)博士补充道:“如果你想要轻松、合规的员工,他们需要在自己的决策中拥有代理权,并感到自己受到组织的信任和尊重……传递有助于这种感觉的信息。对程序的因素保持透明。不要通过命令用户做他们不理解的事情来挫败他们。”
但什么是信任?早期信息战和安全意识先驱温恩·施瓦托(Winn Schwartau)问道,你是基于什么,以及如何将其应用于用户。
温恩·施瓦托(Winn Schwartau)说:“我相信他们不会基于什么标准从我这里窃取信息?我相信他们基于什么获得了我公司的最大利益?我相信他们不会基于什么点击恶意链接或附件?因为我对他们进行了培训,我在这个行业已经做了很长时间了,我可以告诉你,培训并没有像人们所希望的那样改变规则。”
温恩·施瓦托(Winn Schwartau)认为,用户安全意识教育和培训应该是整体安全计划的一部分,该计划从物理和电子的关键资产识别开始,限制用户只能访问他们工作中所需要的系统,并对滥用权限进行“深度检测”监控。他建议使用高速OODA循环来检查用户行为并调整技术控制。
温恩·施瓦托(Winn Schwartau)补充道,这有助于确定最初的软信任水平。但诈骗者和社会工程师继续改进他们的策略,因此CISO(首席信息安全官)需要调整和升级他们的用户教育和技术控制。
因为随着时间的推移,任何环境中的信任度都会下降,风险也会随之增加,温恩·施瓦托(Winn Schwartau)在《模拟网络安全》一书中,对这一点进行了数学描述。“在很多方面,这完全是一个悖论,员工是你最大的资产。然而,员工也是你最薄弱的环节。”
对于企业安全、钓鱼欺诈以及员工安全意识等相关问题,国内安全专家给出了一些实践经验和建议参考。
某金融企业安全负责人表示,今年发布的《中国企业网络安全意识教育现状与发展报告》中指出,我国企业安全防护工作存在诸多短板,其中网络安全意识教育问题比较突出。当前黑客更倾向于从企业中的“人”下手,这样更容易绕过企业防御措施。并且当前的各种钓鱼攻击仿真度越来越高,迷惑性越来越强。
比如,某攻击者发现某银行VPN客户端可以外网下载,他们可能会伪装成银行客户,去银行咨询业务并记录银行员工的工号、姓名、电话、邮箱等信息,银行员工往往会提供详细信息。攻击者可能利用员工通讯录发起定制邮件钓鱼攻击,内容可能是VPN需要升级,请重新设置密码。银行员工可能输入原始账号密码,攻击者通过大量密码找出密码规律,然后暴力破解更多账号,进入银行内网入侵系统,窃取大客户存款信息。
所以在金融企业,一般会不断提高员工安全意识培训,其中网络钓鱼演练往往更为有效。员工熟练识别网络钓鱼,避免中套,企业安全事故也会大大降低。比如我们培训有网络钓鱼的高仿邮件附件攻击,或者培训员工如何识别非法链接,如何识别伪造的登录界面,如何避免被诱骗下载恶意软件,如何防范个人信息泄露或被窃取等等。
当然,安全问题也确实不能全指望员工,系统终端需要安装杀毒软件,开启自动扫描邮件附件,让员工避免使用弱密码并定期更换,设置邮箱账号登录保护,遇到财务转账等问题需要电话或视频验证等等。
此外,我们也会购买正规专业的“防网络钓鱼模拟演练系统”以接近实战的方式去考察培训成果,针对不同岗位使用不同的训练场景,覆盖邮件、短信、二维码、WiFi乃至USB设备等多种容易被钓鱼的领域。
因此,我建议即便要进行安全意识培训,也需要找正规的培训机构或培训系统,否则不正规的培训不但耗费资源和员工精力,还起不到有效作用。
安恒信息某安全专家表示,企业确实要提升自身的安全防护能力,因为过硬的系统防御往往也能挡住许多钓鱼攻击。
就拿企业邮件来说,一般而言,企业邮件服务器防护主要包括服务器本身系统安全防护、邮件服务安全防护、邮件内容安全防护。邮件内容安全防护主要依靠对发件人账号审计、ueba审计、邮件内容人工智能审计、邮件附件文件沙箱审计、邮件包含的超链接网站安全审计等等,并配套对群发邮件的范围和数量进行管理的安全策略,才可以有效及时地发现威胁、拦截威胁,最大程度上限制威胁的危害性。
此外,对于主要依靠账号、密码、多因子认证等方式保护的个人邮箱,要养成不在陌生主机上使用账号密码登录个人邮箱的习惯,尽量使用扫描二维码或其他单次独密的方式登录认证,使用完毕后记得退出,避免因个人账户密码泄露导致更广泛的钓鱼邮件欺诈。
另外,对于普通用户而言,现在有许多浏览器防钓鱼工具,这些工具会对访问网站运行安全检查,并且可以将网站数据与网络钓鱼网页大数据进行比对。如果不小心点开了钓鱼网站或其他恶意网站的链接,工具就能及时提醒。
参考文献:
Deb Radcliff:《When blaming the user for a security breach is unfair – or just wrong》
齐心抗疫 与你同在