@大麻哈
2年前 提问
1个回答

人为错误会导致网络安全出现那些问题?

趣能一姐
2年前

人为错误会导致网络安全出现的问题如下:

  • 网络钓鱼:网络钓鱼是社会工程攻击中最常见的攻击,它是从“电话钓鱼”中得名的,“电话钓鱼”的目的是操纵电话网络。这些攻击抛出吊钩,看谁会上钩。尽管该术语仍用于描述欺骗性电话,但迄今为止,最大的网络钓鱼场所是电子邮件。据估计,在成功插入恶意软件的攻击中,超过80%的都是通过网络钓鱼电子邮件诈骗进行的。网络钓鱼有几种形式:鱼叉式——对一个人或一个设施的针对性攻击;捕鲸——对高价值受害者或“鲸鱼”的针对性攻击;电话钓鱼——使用电话(语音和网络钓鱼)进行攻击;短信钓鱼——使用文本消息进行攻击。令人担心的是,如果攻击者对预期目标进行了彻底的侦查,则网络钓鱼可能非常有效,并且难以检测和缓解。

  • 假托:假托(Pretexting)是创造虚假和令人信服的情境,使受害者信任攻击者并几乎愿意给出其个人信息或访问凭据。攻击者使用开放源代码情报,即公开文件,无论是在互联网上容易获得的信息,还是在社交媒体中获得的丰富信息。这些骗局让您相信有机会分享遗产、中彩票或其它“天上掉馅饼”的说法,前提是您需要给骗子汇钱来帮助他们“把钱取出来”。

  • 诱饵:如果您单击网站上的链接是为了获取一些免费的东西,那么你的贪心很可能会被一些人利用。这与旨在提高网站点击率的“点击诱饵”不同,诱饵攻击会在受害者的计算机上安装恶意软件。例如,看起来无辜的网站提供免费的财务计划电子表格供下载。当电子表格加载反向shell 程序时,攻击者就可以访问所有受害者。另外一种形式是使用被感染的USB 驱动器,这些驱动器被遗留在咖啡店或停车场周围,没有经验的用户出于好奇而拿起它们,然后插入他们的计算机。这也是将Stuxnet 蠕虫病毒安装到伊朗核设施中的方法,否则的话该设施被保护的密不通风,根本无法接近。

  • 等价交换:类似于诱饵,此攻击通过为受害者提供好处以换取信息。这在社交媒体中特别有效。一种常见的形式是冒充公司内部技术人员或者问卷调查人员,要求对方给出密码等关键信息。这些攻击不必非常复杂,并且通常是即时进行的,受害者是随机选择的。几年前在英国进行的一项研究表明,人们在地铁中随意停下,会为换取一块巧克力或一支廉价笔或其它小装饰品而泄露他们的网络密码。

  • 尾随:尾随是一种非常常见的物理攻击,攻击者冒充其他员工或送货员,利用合法员工的访问权限来访问安全区域。一种常见的方法是要求某人带攻击者进入,因为他们“忘记带通行证了”。此方法用于访问安全区域,并且还要求攻击者编个借口,说服起疑心的员工以获得信任和合法性。一个攻击的变种是,攻击者谎称借用员工的通行证“一分钟”,以便他们可以去车上取回被遗忘的东西或其它事项,从而导致身份证被复制或损坏。大多数人都愿意信任别人,攻击者知道这一点并充分利用。

可以降低导致网络安全风险的人为错误的预防措施如下:

  • 减少攻击面:这就需要从攻击者的角度对设施的IT 基础架构进行彻底的分析。关闭打开的端口,并保护防火墙。将对关键系统的访问限制在尽可能少的人员范围内。

  • 对关键人员进行全面的背景调查:人力资源是安全环节中最薄弱的,下一步最合乎逻辑的做法是尽可能消除潜在的人为因素。这意味着在可行的情况下,系统地消除人与人之间的互动。这听起来有点奇怪,但我们面临的危机有时就是由某些粗心的员工或未能理解攻击的员工而引起的。实际上,许多人认为网络安全是寻找问题的解决方案,这种思维使熟练的社会工程师面露微笑。

  • 网络安全团队:建议加强对关键人员进行培训以监控威胁和泄露,并设置网络安全专员,由其定期审核安全程序并审查其他人员的网络卫生状况。这些人必须有权关闭漏洞,并且有能力及时纠正问题员工的行为。由网络管理员、安全人员和高级员工组成的网络安全“反击团队”可以迅速采取行动,以检测并密封漏洞,然后进行事后检查以确定漏洞是如何发生的。

  • 基于角色的访问:无法阻止员工在便笺上写密码或将网络安全视为无用的行为。在允许员工在工作过程中访问网络和资源时,这种心态很难处理。基于角色的访问是解决问题的一种有效方法。另一种技术是要求正式的访问请求,然后在访问关键数据或系统时监视员工。多因素身份验证很有用,但如果员工没有认真对待它,并且对电话或其他第二种身份验证方法不注意,也是无济于事。

  • 智能密码:强制执行智能密码策略可以有效防止员工使用容易猜到的密码,例如“1234567”或流行的“password”。培训员工养成正确的网络卫生习惯和网络安全意识。很多企业可能在自动化系统、主动入侵者检测、缓解和预防以及主动对策方面花费数百万美元用于提升企业安全性,但这一切可能被粗心或无能的员工轻易破坏。尽可能消除人为因素可以有效降低网络安全风险。