社會(huì)工程并不是一個(gè)什么新鮮詞匯,，就像網(wǎng)絡(luò)釣魚已經(jīng)存在了近30年一樣，攻擊者總是會(huì)不斷尋找新方法來(lái)誘導(dǎo)受害者去點(diǎn)擊惡意鏈接,、下載惡意文件或提供敏感信息。

　　即使在網(wǎng)絡(luò)安全領(lǐng)域,，社會(huì)工程也不是一個(gè)新概念,。僅網(wǎng)絡(luò)釣魚詐騙就已經(jīng)存在了近 30 年，攻擊者不斷尋找新方法來(lái)誘使受害者點(diǎn)擊鏈接,、下載文件或提供敏感信息,。商業(yè)電子郵件泄露 （BEC） 攻擊通過(guò)讓攻擊者獲得對(duì)合法電子郵件賬戶的訪問(wèn)權(quán)限并冒充其所有者發(fā)送郵件的方式來(lái)達(dá)到惡意目的，攻擊者認(rèn)為受害者不會(huì)質(zhì)疑來(lái)自可信來(lái)源的電子郵件,，事實(shí)上,，他們所認(rèn)為的并沒有錯(cuò)，相比之下,，BEC攻擊的成功率的確更高,。

　　不過(guò)電子郵件并不是攻擊者用來(lái)進(jìn)行社會(huì)工程攻擊的唯一有效手段，隨著數(shù)字化轉(zhuǎn)型的持續(xù)推進(jìn),，當(dāng)前企業(yè)對(duì)于數(shù)字應(yīng)用的依賴也越來(lái)越重,，無(wú)論是VPN、云服務(wù),、各類通信工具還是其他各種在線服務(wù)等等,，在實(shí)際場(chǎng)景中，這些數(shù)字應(yīng)用、服務(wù)彼此之間并非是割裂的,，而是相關(guān)聯(lián)的,，因而任何一個(gè)環(huán)節(jié)出現(xiàn)了問(wèn)題，其他環(huán)節(jié)也難以保全,。因此,，攻擊者一旦對(duì)其中某一個(gè)應(yīng)用或服務(wù)的攻擊得手，勢(shì)必會(huì)威脅到其他應(yīng)用或服務(wù),，因此,，組織也不能只關(guān)注網(wǎng)絡(luò)釣魚和BEC攻擊，尤其是在商業(yè)應(yīng)用程序入侵（BAC）呈現(xiàn)出上升趨勢(shì)時(shí),。

　　單純依靠單點(diǎn)登錄

　　無(wú)法克制人為因素所導(dǎo)致的風(fēng)險(xiǎn)

　　組織進(jìn)行數(shù)字化轉(zhuǎn)型,，廣泛使用數(shù)字應(yīng)用并不是純粹為了跟上數(shù)字化時(shí)代的腳步，而是它們真的可以為組織提供更方便,、更易用且更高效的好處,。在遠(yuǎn)程辦公或混合辦公流行的當(dāng)前，員工需要在不同的地方使用不同的設(shè)備去訪問(wèn)關(guān)鍵的資源和系統(tǒng),，好的數(shù)字應(yīng)用無(wú)疑可以簡(jiǎn)化工作流程,，令員工更輕松地完成工作。不過(guò),，這也帶來(lái)了另一個(gè)問(wèn)題——如何有效地監(jiān)管,。對(duì)于組織而言，任意一個(gè)內(nèi)部獨(dú)立的部門在工作中會(huì)涉及到的應(yīng)用程序都不會(huì)太少,，有時(shí)候可能會(huì)達(dá)到數(shù)十個(gè)甚至上百個(gè),，與之對(duì)應(yīng)的則是身份驗(yàn)證也成為了一個(gè)問(wèn)題，但與此同時(shí),，IT或安全部門往往都很難做到對(duì)于所有的應(yīng)用程序都是可見的,，而且去要求每一個(gè)員工為每一個(gè)應(yīng)用程序去設(shè)立一個(gè)單獨(dú)且具備足夠復(fù)雜性的密碼組合也并不是太現(xiàn)實(shí)，雖然密碼管理器是一個(gè)很好的解決方案,，但在實(shí)操層面難度依然很高,。

　　因此，很多組織通過(guò)單點(diǎn)登錄（SSO）解決方案來(lái)簡(jiǎn)化身份驗(yàn)證流程,，此類解決方案允許員工登錄到授權(quán)的賬戶一次,，以訪問(wèn)所有連接的應(yīng)用程序和服務(wù)。不過(guò),，由于單點(diǎn)登錄服務(wù)可以讓用戶輕松地訪問(wèn)數(shù)十個(gè)甚至更多的業(yè)務(wù)應(yīng)用程序,，因此從攻擊者的角度看，以其作為攻擊目標(biāo)的價(jià)值會(huì)更高,，雖然單點(diǎn)登錄解決方案提供商都會(huì)在產(chǎn)品中就賦予安全特性和功能,，但在實(shí)際應(yīng)用過(guò)程中,，因人為錯(cuò)誤造成的風(fēng)險(xiǎn)仍然難以根治。

　　MFA無(wú)法阻擋所有社工攻擊

　　許多應(yīng)用程序都提供了多因素身份驗(yàn)證（MFA）的功能,，包括大多數(shù)單點(diǎn)登錄解決方案也是如此,，這在較大程度上提高了攻擊者入侵賬戶的難度。不可否認(rèn),，MFA 對(duì)用戶來(lái)說(shuō)確實(shí)增加了一些麻煩,，他們可能必須每天多次使用它來(lái)登錄賬戶——這會(huì)令用戶煩躁，進(jìn)而導(dǎo)致不耐煩,，有時(shí)甚至是粗心大意,。

　　一些 MFA 解決方案要求用戶輸入代碼或顯示他們的指紋，當(dāng)然也有部分只是增加了一個(gè)無(wú)聊的問(wèn)題——“確定是你本人登錄嗎,？”從某種角度看,，讓用戶越輕松，攻擊者也越開心,。當(dāng)然,，MFA固然增加了攻擊者的攻擊難度,，但對(duì)于那些已經(jīng)獲取一組用戶憑證的攻擊者而言,，他們一定還會(huì)繼續(xù)嘗試破解另一組，嘗試多次登錄,，通過(guò)向用戶的手機(jī)發(fā)送MFA身份驗(yàn)證請(qǐng)求的垃圾郵件,，可以增加受害者的告警疲勞，正是這種“不耐煩”的心態(tài)是攻擊者樂于看到并利用的——許多受害者在收到大量請(qǐng)求后,，往往會(huì)認(rèn)為是信息系統(tǒng)在試圖訪問(wèn)該賬戶,，或是直接單擊“確定”只是為了阻止大量通知。

　　因此,，BAC在很多時(shí)候要比BEC更容易實(shí)現(xiàn),，攻擊者只需要不斷“騷擾”目標(biāo)用戶，誘導(dǎo)他們做出錯(cuò)誤的決定即可,。通過(guò)鎖定用戶的身份和SSO提供商,，攻擊者可以潛在訪問(wèn)數(shù)十個(gè)不同的應(yīng)用程序，包括人力資源等,，進(jìn)而可以進(jìn)行與員工工資,、報(bào)銷等相關(guān)的金融欺詐，最終實(shí)現(xiàn)將資金轉(zhuǎn)入自己賬戶的目的,。

　　這類攻擊活動(dòng)很容易被忽視——這就是為什么有一個(gè)可以識(shí)別可疑行為的檢測(cè)工具是很重要的,。此外，組織在使用MFA時(shí)應(yīng)優(yōu)先使用防釣魚的FIDO（Fast IDentity Online線上快速身份驗(yàn)證）安全密鑰,。如果MFA的FIDO-only因素不現(xiàn)實(shí),，那么次優(yōu)選擇是禁用電子郵件、短信、語(yǔ)音和基于時(shí)間的一次性密碼（TOTP）,，以支持推送通知,，然后配置MFA或身份提供者策略，以限制對(duì)受管理設(shè)備的訪問(wèn),，相當(dāng)于一個(gè)附加的安全層,。

　　社會(huì)工程仍在進(jìn)化

　　做好防范需文化與工具兩者結(jié)合

　　最近我們關(guān)注到的一些研究表明，51%的安全事件中使用了BEC或BAC策略,。相比之下,，雖然BAC不像BEC那么出名，但成功的BAC可以允許攻擊者訪問(wèn)幾乎所有與該賬戶相關(guān)的商業(yè)和個(gè)人應(yīng)用程序,。由此可見,，對(duì)于當(dāng)前的攻擊者來(lái)說(shuō)，社會(huì)工程仍然是一個(gè)高回報(bào)的工具,，更值得警惕的是,，它還在與對(duì)抗它的安全技術(shù)一起進(jìn)化。

　　● 在防范手段中,，“文化”層面主要是在相關(guān)制度建設(shè)以及員工相關(guān)安全意識(shí)的培養(yǎng)上,，建立制度可以保證員工較為積極地參與防范活動(dòng)，并且在發(fā)現(xiàn)活動(dòng)后,，可以通過(guò)報(bào)告機(jī)制將信息傳達(dá)給相關(guān)責(zé)任人,，可以在盡可能短的時(shí)間內(nèi)降低甚至消除攻擊事件的不良影響，并促進(jìn)全體員工和安全團(tuán)隊(duì)之間達(dá)成良好的合作,。對(duì)員工除了意識(shí)培養(yǎng)之外,，還需要通過(guò)演練的方式來(lái)讓員工以接近實(shí)戰(zhàn)的方式去感受真正的攻擊行為是怎樣的，相比于單純的灌輸,，演練無(wú)疑將會(huì)進(jìn)一步鞏固員工的安全意識(shí),。

　　● 同時(shí)，在工具方面,，也應(yīng)該考慮選擇專業(yè)的技術(shù)和團(tuán)隊(duì),，比如零信任，該理念在今年廣泛的落地于辦公場(chǎng)景,，以持安科技的零信任安全平臺(tái)為例,，該平臺(tái)會(huì)對(duì)任何接入信息系統(tǒng)的訪問(wèn)進(jìn)行持續(xù)動(dòng)態(tài)驗(yàn)證，以身份為中心的訪問(wèn)控制,，遵循最小權(quán)限原則,，可以在有效保障企業(yè)業(yè)務(wù)與核心數(shù)據(jù)安全的同時(shí)，簡(jiǎn)化工作流程,，提高員工辦公效率,。具體而言,，從用戶登錄終端到業(yè)務(wù)訪問(wèn)，期間終端行為,、應(yīng)用訪問(wèn)行為,、登錄認(rèn)證、零信任策略執(zhí)行等過(guò)程,，均有包含身份和設(shè)備信息的詳盡日志,，對(duì)用戶行為的安全分析溯源可以基于精準(zhǔn)的身份而非傳統(tǒng)檢查IP的方式。通過(guò)一套統(tǒng)一的控制臺(tái)對(duì)所有終端,、WEB 應(yīng)用,、四層應(yīng)用進(jìn)行集中管控，解決傳統(tǒng)方案多個(gè)管理后臺(tái),，多臺(tái)設(shè)備部署,，配置維護(hù)復(fù)雜，人員權(quán)限混亂的問(wèn)題,。同時(shí)幫助企業(yè)梳理內(nèi)網(wǎng)應(yīng)用,，避免漏網(wǎng)之魚。

　　同時(shí),，該平臺(tái)以無(wú)侵入,、無(wú)感方式接入業(yè)務(wù)系統(tǒng)，支持和企業(yè)已有的 IAM,、SSO,、SOC 等系統(tǒng)融合，無(wú)需改變用戶習(xí)慣,，不需業(yè)務(wù)的重復(fù)接入和建設(shè)，最大程度減少人員的學(xué)習(xí)與操作成本,，近乎以零門檻的方式實(shí)現(xiàn)隨時(shí)隨地?zé)o差別辦公,，提升組織效率。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<