日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

社會工程滲透測試僅僅是防止員工落入網(wǎng)絡(luò)罪犯陷阱的一個步驟。

創(chuàng)新互聯(lián)建站主要從事成都做網(wǎng)站、網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)巴馬,十余年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

社會工程攻擊不是是否會發(fā)生的問題，而是一定會發(fā)生。員工終究會接到“緊急”電子郵件或電話，要求他們趕緊轉(zhuǎn)賬到安全賬戶、立即登錄企業(yè)網(wǎng)絡(luò)，或者安裝遠(yuǎn)程訪問木馬。社會工程攻擊一直以來都是網(wǎng)絡(luò)罪犯確保高成功率的不二法門。但新冠肺炎疫情導(dǎo)致的遠(yuǎn)程辦公增長，還是將社會工程技術(shù)轉(zhuǎn)變成了前所未有的充滿無限創(chuàng)造力和景氣度的工具。

在家辦公時，員工無法獲得公司安全解決方案提供的全方位防護(hù)，只能依賴自己的直覺，而這正是網(wǎng)絡(luò)安全團(tuán)隊最糟的噩夢。意識到這場災(zāi)難的規(guī)模后，很多公司迅速開展員工安全意識培訓(xùn)。

為評估問題的范圍，Group-IB在一家物流公司開展了社會工程滲透測試項目。測試采用了新冠肺炎疫情相關(guān)的釣魚托辭，呈現(xiàn)了員工對此類話題絲毫不減的“熱情”。Group-IB將精心編制的網(wǎng)絡(luò)釣魚電子郵件通過貌似歸屬公司IT部門的虛假郵箱地址發(fā)送出去。超過半數(shù)(51%)的測試對象在虛假虛擬專用網(wǎng)門戶登錄頁面上提交了他們的登錄憑證。

? 某些社會工程攻擊比其他攻擊更有效

社會工程攻擊測試項目還揭示出，某些攻擊技術(shù)比其他技術(shù)更加有效。2020年該公司開展的100多個社會工程攻擊測試項目中，語音電話(“語音網(wǎng)絡(luò)釣魚”)的有效程度優(yōu)于內(nèi)置虛假資源鏈接或可執(zhí)行附件的網(wǎng)絡(luò)釣魚電子郵件。語音網(wǎng)絡(luò)釣魚的成功率為37%，因受害者通常不會預(yù)期接到此類電話而上鉤率驚人。此外，攻擊者可以調(diào)整腳本以匹配受害者行為的變化，并利用他們的情緒。

除了獲取個人或機密信息，語音網(wǎng)絡(luò)釣魚攻擊還可用于獲取基礎(chǔ)設(shè)施訪問權(quán)。近期的一個案例中，Group-IB的滲透測試員以進(jìn)行安全事故調(diào)查為借口，成功說服23名員工在備份門戶(網(wǎng)絡(luò)釣魚資源)上進(jìn)行身份驗證。

語音網(wǎng)絡(luò)釣魚結(jié)合網(wǎng)絡(luò)釣魚(即有通往虛假資源的鏈接，又添加了可執(zhí)行附件)更是極致高效：2020年75%的社會工程攻擊測試成功突破測試對象防護(hù)。至于釣魚托辭，效率最高的是獎金制度的變化(成功率20.6%)，IT系統(tǒng)的變化(17.8%)緊隨其后，然后是公司重要活動的公告(16.3%)。

? 執(zhí)行更多測試未必能解決問題

鑒于以上統(tǒng)計數(shù)據(jù)，你可能會覺得執(zhí)行更多社會工程滲透測試有助于提高員工的網(wǎng)絡(luò)釣魚防范意識。但實際上并非如此，因為滲透測試如果不與其他措施一并實施是沒有效果的。如果你決定攻擊一下自己試試，那你需要做得明智些。

可以參考下面這個案例。X公司時不時對自己的員工開展社會工程攻擊測試。但對基本網(wǎng)絡(luò)安全概念的認(rèn)知還是沒有改善：員工繼續(xù)點擊惡意鏈接和滿足攻擊者提出的要求。

于是，這家公司決定正式確立其測試計劃，要用不同的釣魚托辭以相同的形式每年執(zhí)行四次社會工程攻擊測試。但結(jié)果與之前更為隨意的測試并沒有什么不同：員工仍然點擊惡意URL，仍然與滲透測試員溝通，仍然交出機密信息。

而且，測試的有效性很大程度上取決于釣魚托辭的相關(guān)性。盡管每次測試的安全意識提升效果都會增加一點點，但在第三季度，基于新冠肺炎疫情的釣魚托辭又讓員工完全忘記了之前收到的所有培訓(xùn)、指南和建議。原來，該公司壓根兒沒有開展其他任何安全意識提升活動，僅僅只搞了測試。

? 網(wǎng)絡(luò)安全培訓(xùn)缺失了什么

研究還發(fā)現(xiàn)，員工并不知道在發(fā)現(xiàn)社會工程攻擊后該怎么做。他們不僅需要知道如何識別攻擊，還需要學(xué)會怎樣應(yīng)對攻擊。公司應(yīng)該培訓(xùn)員工在任何情況下都不要聯(lián)系攻擊者(或合法滲透測試員)，而是立即通知安全團(tuán)隊。但不幸的是，用戶(尤其是小公司里的用戶)往往意識不到這一點。

最重要的是，對自己展開攻擊測試不應(yīng)該是簡單直白的實戰(zhàn)演習(xí)。沒錯，經(jīng)常培訓(xùn)員工識別各種潛在社會工程方法、對所有外部邊界服務(wù)實施強制雙因子身份驗證，還有采用有效惡意軟件引爆工具，這些都很重要。但更重要的是，培訓(xùn)和社會工程攻擊測試應(yīng)該旨在確保公司內(nèi)部的有效溝通。需要教導(dǎo)員工如何檢測攻擊和及時有效地應(yīng)對攻擊。他們需要明確的指示和交互式指南(如維基頁面、視頻等等)。

有創(chuàng)意一點。在學(xué)習(xí)體驗中大膽加入游戲元素，激發(fā)和最大化參與度。比如說，Group-IB最近的內(nèi)部滲透測試中，檢測并恰當(dāng)報告了社會工程攻擊的員工就收到了成就徽章，可以兌換公司獎勵。

此外，每次滲透測試后召開回顧會議收集反饋也很重要。不討論出了什么問題以及如何改進(jìn)，就無法汲取教訓(xùn)做出改善。

把注意力從常規(guī)演練和記憶社會工程攻擊檢測指令上移開，轉(zhuǎn)向解釋現(xiàn)代攻擊都來自何方，以及為什么每名員工都必須參與攻擊檢測。社會工程滲透測試如果缺乏有意識的創(chuàng)造性方法，那怎么培訓(xùn)都不會有效果的。

新聞名稱：2021年的滲透測試怎么做
文章轉(zhuǎn)載：http://www.dlmjj.cn/article/cdgohce.html