谨防“黑客视觉”

人类黑客的最常见的形式是社会工程。但是,这并不意味着存在从老式的物理间谍在你的办公室没有危险

贡献的作家,方案 |

肖像历史/ CSO工作人员

当谈到网络安全,人是最大的问题。或者,你可以作出这样的“问题”。

至少机器或电脑会按照我们的吩咐去做——除非有人偷偷溜进来,让它们做一些不同的事情。人就不是这样了——即使他们的意图是好的。他们会忘记,会粗心大意,会被愚弄,在某些情况下,会变得恶毒。

而且有许多不同的方式来欺骗他们,这就是为什么专家们基本上一致认为,“人的因素”是最弱链接安全链。

坏人知道这一点为好,当然,与安全技术改进,主要集中弱于链接:不是黑客入侵系统的,他们破解了人类。

要做到这一点,最常见的方式是通过社会工程 - 诱骗人们点击链接,似乎是从一个合法的供应商,在合法网站或电子邮件从一个“值得信赖的”源。

事实上,社会工程往往是安全意识培训的主要焦点。

拉里Ponemon的董事长兼研究公司Ponemon的研究所的创始人,并没有采取与这个问题。但他认为,组织和个人需要把重点放在“视觉黑客”的可能。

拉里•波耐蒙

Ponemon的拉里董事长和创始人,Ponemon的研究所

在最近的博客帖子波内蒙甚至写道,“我们很快就会看到一个深刻的转变,从恶意攻击系统到攻击人。”

其他专家和Ponemon的自己,同意转移已经进行了一段时间。视觉黑客是什么新鲜事。它远远早数字时代。大卫·莫纳汉,研究总监,安全和风险管理在企业管理协会,称之为“黑客最古老的形式。因为有三个人,想要写点什么和秘密两个人想保持它已经存在了,”他说。“我们通常把它叫做肩窥。”

但是,大多数关于肩窥的警告是针对那些谁在公共场所使用自己的移动设备 - 机场,公园或咖啡馆有免费无线网络 - 在黑客尝试通过简单地看一个无人看守的屏幕拿起凭证或其他敏感信息。

Ponemon的的职位是更多关于在办公室视觉黑客。他写了最近的研究实验,他的公司做的,发送白帽黑客成八家的美国公司的办公室,临时或兼职工人的幌子。

“(我)N 88的尝试%,白帽子黑客能够从视觉上工人的电脑屏幕或硬拷贝文件破解敏感信息,”他写道。包括这些信息,“员工的联系人列表,客户信息,企业财务,员工访问和登录信息和凭据或有关雇员的信息。”

一个半小时内63% - 黑客还成功地快。

波耐蒙在一次采访中说,他没有统计数据显示这种形式的视觉黑客有多普遍,但他说,这项研究的目的是看看它有多容易。结果证明,这是令人不安的简单。

“这是什么样的事情,如果你不知道的人四处流浪,他们并不需要是一样的人进入医院寻找的人谁可能是名人,可以发生,”他说。

其他专家,而他们都认为是有风险的,说这种视觉黑客攻击是非常罕见的。

[可如果你细心的话要避免六个社会工程技巧]

SANS安全人类项目的培训主管兰斯·斯匹茨纳(Lance Spitzner)说,他教过600多名安全意识官员,“他们从来没有真正提出过这个问题,除了在机密环境中。”

莫纳汉说,这种情况很少出现的原因是难度大得多,因为它需要设计一个进入建筑物内部的看似合理的诡计,而一旦进入建筑物内部,一旦被识别出来的黑客就会面临更大的个人风险。

而且,由于它需要在现场的人,“它不能扩展以及远程和自动化的黑客行为,”他说。

戴维·莫纳汉

大卫说研究总监,安全和风险管理,企业管理协会

“你无法像远程黑客那样收集大量数据,”他说。“试着在某人的办公室里呆上229天,像远程攻击者那样收集信息,或者可视化记录6000万条数据记录。”

他补充说,登录信息几乎是不可能得到的,即使有人在看屏幕,因为,“绝大多数密码字段都被屏蔽。他们可能会认为这是有人类型,或找到它的一个便条但仍然费时费力,所以小土豆的时间。成千上万的人有他们的证书被恶意软件每天的损害。”

Ponemon的不争任何的是,同意视觉黑客在办公室可能不会产生任何接近的数据远程高级持续性威胁(APT)攻击可能收集​​的量。

但他说,这可以为“外科手术”,有针对性的攻击是非常有用的。“这是量 - 质量的问题,”他说。“这是少量的极高价值的材料。”

社会工程师公司(social engineer)的首席执行官克里斯托弗•哈德纳吉(Christopher Hadnagy)对此表示赞同。虽然这可能不是最常见的黑客形式,但他说这种情况正在增加,部分原因是“有些攻击必须亲自进行才能成功。”银行抢劫、艺术品盗窃、窃取蓝图或物理硬件——所有这些都需要攻击者在场。哈德纳吉认为,这并不是那么困难。“如果我能花五分钟走进门,为什么还要花十年时间在地下挖个洞呢?””他说。“正是这种心态让进攻者去冒险。在他们心目中,回报大于风险。”

克里斯hadnagy

克里斯托弗·哈德纳,CEO,社会工程师

事实上,虽然它可能不符合黑客的标准,但印第安纳州医学协会(ISMA)本周关于“随机”盗窃一对备份硬盘的消息只是最近的一例来自内部的威胁该协会表示,失窃事件意味着其39,090名客户的私人数据可能面临风险。

有一件事几乎没有异议,那就是降低风险的最好方法是通过改善组织的“安全文化”。波耐蒙说,其中一些可以通过一些低技术含量的手段来实现,比如屏幕隐私过滤器和文件锁盒。其中一些可以通过奖励发现安全漏洞的员工来实现。

但是,有效的安全意识培训被视为主要的关键。

斯皮茨纳说,人类的行为“绝对”可以通过训练来改变,但不会通过传统的“ppt死亡”讲座,这在很大程度上是为了勾选符合要求的方框。

“几百年来,市场营销一直在改变人们的行为,”他说。“我们的问题是,培训主要是由安全专业人员完成的,他们往往是世界上最糟糕的通信人员。这需要由沟通专业人士来完成。”

兰斯spitzner

兰斯Spitzner培训总监,无保护人类程序

Hadnagy补充说,还有更多的有很大的需求,更好的培训。“我不能告诉你我的火车时刻有多少人甚至不知道网络钓鱼是什么,或者语音网络钓鱼电话,或肩冲浪,”他说。“如果他们不知道,他们怎么能防守?教育可能是保护最重要的一步任何公司都可以有。”

斯皮茨纳说,如果培训的重点是安全意识如何不仅有利于公司,而且有利于员工自身,“那么它就会成为他们DNA的一部分”,失败率就会从30%降至60%,降至不到5%。

即使是那些在5%,他说,倾向于承认他们立即做了什么,并报告。“这是几乎一样好,”他说。

这个故事,“小心‘视觉黑客’”最初发表于方案

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
有关:

版权所有©2015年Raybet2

工资调查:结果是