如何防范社会工程攻击？

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全7月15日讯 在 Veriozon 出具的《2017年数据泄露调查》报告中，90%的成功入侵都是通过社交工程实现。与其说社交工程是电脑入侵，不如说是人与人的斗争。

现代黑客发现，从人着手获取数据，比暴力夺取要简单。这些攻击者欺骗秘书或 CEO（首席执行官）们，直至获得密码，网络访问许可权等一切他们想要的东西。要防止数据被黑，云服务厂商们需要的不是更强的防火墙，二是学会任何甄别人与人之间的欺骗。

社交工程实施者目的不尽相同，但是这些黑客通常无外乎两个原因：一己私利或是国家资助型的知识产权盗窃。

第一种黑客窃取个人数据（如信用卡和社保卡号）为的是拿去暗网交易。2017年，据 NBC 新闻报道，以金钱为目的的入侵数量在上升，特别是针对社保卡的攻击在增加，这意味着黑客对这种策略的使用越来越顺手。

但是不要小看第二种攻击者，即国家支持型黑客。私企或许还没有感受到国家支持型社交工程师的威胁，但其实他们应该具备威胁意识。在 Verizon 的报告中，2017年制造商中发生的620起入侵事件中，94%都跟间谍活动有关。任何拥有知识产权，且这些产权可能被盗窃或复制的公司都应该警惕外国机构的攻击。

每个行业都应该担忧一次成功攻击带来的后续影响。黑客们通常针对金融服务，政府，医疗和零售行业，但是他们是随机的。如果一家公司没有保护好自己的数据，黑客最终会找到缺口并拿走自己想要的。虽然，他们费心暴力入侵，而是想办法让受害者主动交出所需的东西。

社工行为有多种表现形式。黑客可以给目标公司发送大量邮件，或者在停车场留下一个 U 盘，以邮件形式发送物理媒介，也可以假借其他人身份打电话进行欺骗。即便他们有99%的方法都失败了，偶尔的一次成功也足以让他们找到继续的动力。

为了保护公司不受到社工攻击，可以采取下列步骤：

一、清点数据，采用恰当的访问控制策略

如果你不知道自己的信息在哪里，就无法保护信息。所以先要识别数据，并进行分类。不要忘记你的用户手上还保留有一些数据。所以不能只看你自己的数据库。

换位思考，站在黑客的角度问一问：将获取的客户数据拿去干什么？你把敏感的知识产权信息保存在哪里？谁有访问这些信息的许可权？如果黑客向获取你的财务记录或是生产设计，他们骗取哪些人的信任后可接触到这些数据？

按敏感级别对数据进行分类。客户数据和知识产权都值得做最严格的安全防护。在全面审视过后，可以设定一个数据再访问的周期，及时发现潜在泄露风险。

据 Verizon 的报告透露，81%的攻击案例中都涉及弱密码或密码被盗。事实上，Deloitte 就是因为这一简单的错误而出现数据泄露，而原本这是可以避免的。在黑客获取管理员账户的密码后，他们会进入邮件服务器，并从中窃取数据。如果管理员部署了多因素验证，那么黑客就不会这么轻易得手。

要求所有账号在访问敏感数据时都使用多因素验证。简讯验证码是最常见的多因素验证技巧，虽不是百分百安全，但也好过没有。软令牌，如推送通知，是更强的多因素验证。掌管数据库大门的管理员要使用硬令牌（如U盘）确保输入密码的人确实获得具备许可权。

数据保存和传输过程中都要进行加密。这种端到端的加密确保黑客不能实际使用任何他们攫取的数据。

对重要数据，从客户信用卡到员工邮件，都要使用端到端加密。微软最近将端到端加密引入了 Outlook，它可以保护用户的邮件，避免未授权的第三方访问敏感数据。

最后，数据保护最重要的一条防御线就是社交工程师的目标：你的员工。现在，大多数都知道“尼日利亚王子”邮件诈骗套路，但并不是每个人都知道如何揭露包装精美的黑客伪装。例如，美国 UC Davis Health 2017年就遭遇了一次数据泄露，当时，黑客通过邮件假冒其员工，并获得了该大学医疗数据的访问许可权。

要对员工进行钓鱼式攻击的常规教育。告诉不同岗位的员工，黑客可能接触他们并获得非法授权的方式。提醒员工内部安全的重要性，帮助他们报告可疑请求。

这些技巧将有助于你保护抵挡社交工程师。然而，如果仍有人想方设法访问了你的数据，不要试图掩盖这一事实——应立刻报警。即使数据被黑，你或许还有可能在黑客造成更大的破坏前阻止他们。