「思科被駭」凸顯社交工程攻擊的危險性

近日，雲端通訊平台Twilio和網路巨頭思科（CISCO）先後遭遇駭客社交工程攻擊並發生資料洩露，兩家公司的員工成了駭客的突破口，這再次凸顯了人員依然是當今網路安全最難以修補的「漏洞」。

人依然是最大漏洞

對Twilio的攻擊中，駭客進行簡訊網路釣魚詐騙，冒充Twilio的IT部門並警告員工他們的密碼已過期需要更改。受騙員工被帶到看似Twilio登錄頁面的釣魚網站，駭客在該頁面中獲取了Twilio員工的身分驗證資訊，後來他們使用這些憑證存取公司的內部系統並查看了客戶的資料。

而思科的資料洩露事件中，「閻羅王」組織聲稱竊取了思科2.8G資料。在這次攻擊中，攻擊者首先控制了一名員工的個人google帳戶，用戶將該帳戶的身分憑證同步到瀏覽器。隨後，攻擊者冒充各種該員工信任的組織單位進行了一系列語音網路釣魚攻擊和大量發送MFA（多因子身分驗證）通知直至該員工確認了其中一次驗證請求，從而使攻擊者能夠存取VPN和關鍵內部系統。

Twilo和思科的資料洩露事件都表明，企業不能僅僅依靠員工來識別日益複雜的社交工程騙局，即使是這些員工本身也是IT技術人員。
 
專家表示，這兩次攻擊說明社交工程仍然是獲取組織存取權限的最有效方法之一，且任何組織都可能成為攻擊目標。人類永遠都是攻擊的目標。如果使用者收到一封來自看似可信來源的電子郵件或短信，其中又包含緊急資訊，使用者很可能會不經安全確認就點選連結。

基於密碼的安全防護非常脆弱

研究表明，19%的網路安全事件是被盜或洩露的憑據造成的，16%的安全事件是網路釣魚造成的，這表明基於密碼的安全防護無法有效阻止威脅者。

同樣，沒有任何防毒軟體或工具可以防止員工犯錯並洩露機敏資料。

除了需要強化安全意識培訓等「人為因素」的解決方案外，企業越來越需要重新思考資料存取控制。因為資料統計顯示，企業平均每年要遭遇700次社交工程攻擊嘗試，即使是嚴格遵守安全最佳實踐的員工也無法避免犯錯。畢竟，攻擊者只需誤導員工一次即可成功獲取他們的登入憑證。

同時，即便類似FIDO聯盟開發的無密碼身份驗證解決方案有助於消除對憑證的依賴，企業不應僅依賴這些措施和 MFA來保護其 IT環境。就像思科的案例，缺乏安全意識和警覺的員工被攻擊者用社交工程手法繞過了 MFA機制。

重新思考資料存取控制

引入嚴格的資料存取控制，強制執行最小特權原則是降低社交工程威脅風險的關鍵。如果員工只能存取完成日常職責所需的基本資訊，就能將更少的資料置於風險之中，同時也意味著員工不再是駭客攻擊中的顯著目標。

舉例而言，企業中的一般員工其實沒有需要瀏覽大量客戶資料。因此，特權資料存取控制可以限制資料暴露。

此外，企業應盡可能遮蔽個人資訊，實施資料庫存取速率限制，並使用異常檢測技術來監控用戶存取是否存在惡意行為的跡象。專注於資料存取控制不僅可以有效減少攻擊者可竊取的資料量，而且還可以減輕員工的一些壓力。

本文節錄自Secrss.com。