社会工程进化加剧商业应用程序入侵风险 组织应如何应对？

社会工程并不是一个什么新鲜词汇，就像网络钓鱼已经存在了近30年一样，攻击者总是会不断寻找新方法来诱导受害者去点击恶意链接、下载恶意文件或提供敏感信息。

即使在网络安全领域，社会工程也不是一个新概念。仅网络钓鱼诈骗就已经存在了近 30 年，攻击者不断寻找新方法来诱使受害者点击链接、下载文件或提供敏感信息。商业电子邮件泄露 (BEC) 攻击通过让攻击者获得对合法电子邮件账户的访问权限并冒充其所有者发送邮件的方式来达到恶意目的，攻击者认为受害者不会质疑来自可信来源的电子邮件，事实上，他们所认为的并没有错，相比之下，BEC攻击的成功率的确更高。

不过电子邮件并不是攻击者用来进行社会工程攻击的唯一有效手段，随着数字化转型的持续推进，当前企业对于数字应用的依赖也越来越重，无论是VPN、云服务、各类通信工具还是其他各种在线服务等等，在实际场景中，这些数字应用、服务彼此之间并非是割裂的，而是相关联的，因而任何一个环节出现了问题，其他环节也难以保全。因此，攻击者一旦对其中某一个应用或服务的攻击得手，势必会威胁到其他应用或服务，因此，组织也不能只关注网络钓鱼和BEC攻击，尤其是在商业应用程序入侵（BAC）呈现出上升趋势时。

组织进行数字化转型，广泛使用数字应用并不是纯粹为了跟上数字化时代的脚步，而是它们真的可以为组织提供更方便、更易用且更高效的好处。在远程办公或混合办公流行的当前，员工需要在不同的地方使用不同的设备去访问关键的资源和系统，好的数字应用无疑可以简化工作流程，令员工更轻松地完成工作。不过，这也带来了另一个问题——如何有效地监管。对于组织而言，任意一个内部独立的部门在工作中会涉及到的应用程序都不会太少，有时候可能会达到数十个甚至上百个，与之对应的则是身份验证也成为了一个问题，但与此同时，IT或安全部门往往都很难做到对于所有的应用程序都是可见的，而且去要求每一个员工为每一个应用程序去设立一个单独且具备足够复杂性的密码组合也并不是太现实，虽然密码管理器是一个很好的解决方案，但在实操层面难度依然很高。

因此，很多组织通过单点登录（SSO）解决方案来简化身份验证流程，此类解决方案允许员工登录到授权的账户一次，以访问所有连接的应用程序和服务。不过，由于单点登录服务可以让用户轻松地访问数十个甚至更多的业务应用程序，因此从攻击者的角度看，以其作为攻击目标的价值会更高，虽然单点登录解决方案提供商都会在产品中就赋予安全特性和功能，但在实际应用过程中，因人为错误造成的风险仍然难以根治。

许多应用程序都提供了多因素身份验证（MFA）的功能，包括大多数单点登录解决方案也是如此，这在较大程度上提高了攻击者入侵账户的难度。不可否认，MFA 对用户来说确实增加了一些麻烦，他们可能必须每天多次使用它来登录账户——这会令用户烦躁，进而导致不耐烦，有时甚至是粗心大意。

一些 MFA 解决方案要求用户输入代码或显示他们的指纹，当然也有部分只是增加了一个无聊的问题——“确定是你本人登录吗？”从某种角度看，让用户越轻松，攻击者也越开心。当然，MFA固然增加了攻击者的攻击难度，但对于那些已经获取一组用户凭证的攻击者而言，他们一定还会继续尝试破解另一组，尝试多次登录，通过向用户的手机发送MFA身份验证请求的垃圾邮件，可以增加受害者的告警疲劳，正是这种“不耐烦”的心态是攻击者乐于看到并利用的——许多受害者在收到大量请求后，往往会认为是信息系统在试图访问该账户，或是直接单击“确定”只是为了阻止大量通知。

因此，BAC在很多时候要比BEC更容易实现，攻击者只需要不断“骚扰”目标用户，诱导他们做出错误的决定即可。通过锁定用户的身份和SSO提供商，攻击者可以潜在访问数十个不同的应用程序，包括人力资源等，进而可以进行与员工工资、报销等相关的金融欺诈，最终实现将资金转入自己账户的目的。

这类攻击活动很容易被忽视——这就是为什么有一个可以识别可疑行为的检测工具是很重要的。此外，组织在使用MFA时应优先使用防钓鱼的FIDO（Fast IDentity Online线上快速身份验证）安全密钥。如果MFA的FIDO-only因素不现实，那么次优选择是禁用电子邮件、短信、语音和基于时间的一次性密码（TOTP），以支持推送通知，然后配置MFA或身份提供者策略，以限制对受管理设备的访问，相当于一个附加的安全层。

最近我们关注到的一些研究表明，51%的安全事件中使用了BEC或BAC策略。相比之下，虽然BAC不像BEC那么出名，但成功的BAC可以允许攻击者访问几乎所有与该账户相关的商业和个人应用程序。由此可见，对于当前的攻击者来说，社会工程仍然是一个高回报的工具，更值得警惕的是，它还在与对抗它的安全技术一起进化。

● 在防范手段中，“文化”层面主要是在相关制度建设以及员工相关安全意识的培养上，建立制度可以保证员工较为积极地参与防范活动，并且在发现活动后，可以通过报告机制将信息传达给相关责任人，可以在尽可能短的时间内降低甚至消除攻击事件的不良影响，并促进全体员工和安全团队之间达成良好的合作。对员工除了意识培养之外，还需要通过演练的方式来让员工以接近实战的方式去感受真正的攻击行为是怎样的，相比于单纯的灌输，演练无疑将会进一步巩固员工的安全意识。

● 同时，在工具方面，也应该考虑选择专业的技术和团队，比如零信任，该理念在今年广泛的落地于办公场景，以持安科技的零信任安全平台为例，该平台会对任何接入信息系统的访问进行持续动态验证，以身份为中心的访问控制，遵循最小权限原则，可以在有效保障企业业务与核心数据安全的同时，简化工作流程，提高员工办公效率。具体而言，从用户登录终端到业务访问，期间终端行为、应用访问行为、登录认证、零信任策略执行等过程，均有包含身份和设备信息的详尽日志，对用户行为的安全分析溯源可以基于精准的身份而非传统检查IP的方式。通过一套统一的控制台对所有终端、WEB 应用、四层应用进行集中管控，解决传统方案多个管理后台，多台设备部署，配置维护复杂，人员权限混乱的问题。同时帮助企业梳理内网应用，避免漏网之鱼。

同时，该平台以无侵入、无感方式接入业务系统，支持和企业已有的 IAM、SSO、SOC 等系统融合，无需改变用户习惯，不需业务的重复接入和建设，最大程度减少人员的学习与操作成本，近乎以零门槛的方式实现随时随地无差别办公，提升组织效率。

一方面是强化安全制度和提升员工整体安全意识，另一方面是依靠先进的安全工具、产品、解决方案。两者形成合力，才能确保在和攻击者的动态对抗中保持平衡甚至领先，让攻击者望而却步。