安全领域不应掺杂情感因素
作者:Tony Perez | 2020年12月29日
危害组织的最快捷且最有效的方式是通过社会工程学攻击。在数字领域,社会工程学几乎总是与某种形式的网络钓鱼攻击同义。
最简单的网络钓鱼攻击就是引诱受害者上钩以实现某种目的的行为。想象一下钓鱼的过程:你将蠕虫挂在鱼钩上,抛入水中等待,最终一条饥饿的鱼会说"嘿,看这里,晚餐…"。它们上钩了,就像变魔术一样,你钓到了鱼。
钓鱼攻击的世界
随着安全技术的进步,钓鱼攻击对恶意行为者变得愈发重要。随着物理网络消失、组织向云端迁移,钓鱼攻击日益突出。
原因很简单:钓鱼攻击利用了安全行业自始至终都在努力应对的一个漏洞——人性因素。
人们通常认为钓鱼攻击来自电子邮件,但这只是其中一种媒介。钓鱼攻击已经进化,可以来自社交媒体和语音平台等多种渠道。
人性漏洞并不完全是人类的过错。人类是习惯的动物,而科技公司引入的习惯往往与我们在安全领域的做法背道而驰。
为了说明这一点,以下是导致钓鱼攻击如此有效的几个因素:
- 链接的设计初衷就是让人点击
- 文件的设计初衷就是让人打开
- 技术有意模糊了信息来源的敏感细节(大公司的理念是"不要用用户不关心的信息淹没他们")
- 技术允许我们利用颜色、样式等元素吸引用户心智以促进互动(各种规模的公司都有专门团队从事这种形式操纵)
而现在,又出现了一个新的障碍——不要伤害员工的感情。
恶意行为者不在乎你的感受
在我们生活的这个荒谬世界里,感情竟然成为了关于保护组织安全的讨论的一部分。
我们不是在讨论员工受到虐待、攻击或不应有的待遇。不,我们讨论的是在进行模拟恶意行为者策略的测试时,员工因测试的"不合时宜"而感到被冒犯。
举例来说,2020年圣诞节期间,GoDaddy决定进行一次测试,提供奖金代替节日聚会。测试内容如下:
“由于疫情,我们无法举办传统的节日聚会。为了表达我们的感激之情,我们决定向所有员工发放500美元的特别奖金。”
这个测试很巧妙,原因如下:
- 模拟了GoDaddy为其他活动发送的电子邮件
- 利用了当时每个人最关心的事情——没有节日聚会(这是GoDaddy曾经闻名且深受员工喜爱的事情)
- 间接呼应了疫情现状——“我们无法相聚”
- 也呼应了经济状况——“到处都缺钱,我们想让它变得更好”
- 安全团队设身处地思考了恶意行为者的做法——“他们会怎么做?”
我能欣赏这个测试的巧妙之处。
然而,我们关注的却是它被认为"不合时宜"和伤害了感情。恶意行为者不在乎你的感受,因此,那些负责保护公司和员工的人也不能在乎。
这种虚伪令人震惊
被黑客攻击时,你会因策略和团队的失败而受到指责,同时获得有限的资金和支持。努力避免被黑客攻击时,你又会因伤害感情而受到指责。每个人都会支持这个策略,直到感情问题公开化,然后你就不得不撤回,好像策略有缺陷一样。
这一切的讽刺之处何在?那些感情受到伤害、被媒体像躲避瘟疫一样抓住的人,正是这些测试所要保护的对象。
顺便说一句,GoDaddy在2020年遭受的最后一次重大入侵就是通过钓鱼攻击实现的。
最终,我们不得不为本不应成为话题的事情再次被迫道歉。感情在安全领域没有立足之地。
防范钓鱼攻击的建议
根据互联网安全中心的建议,以下是帮助改进在线习惯、增强对钓鱼攻击(和测试)抵抗力的几个技巧:
- 对所有收到的通信保持警惕。如果看起来是钓鱼通信,不要回复,直接删除。你也可以将其转发给联邦贸易委员会:spam@uce.gov
- 不要点击电子邮件中列出的任何链接,不要打开可疑电子邮件中的任何附件
- 不要在弹出窗口中输入个人信息。合法的公司、机构和组织不会通过弹出窗口要求提供个人信息
- 在电子邮件应用程序和网页浏览器上安装钓鱼过滤器。这些过滤器不能阻止所有钓鱼信息,但会减少钓鱼尝试的次数
从美国网络安全与基础设施安全局了解更多关于钓鱼攻击的信息。