工業(yè)網(wǎng)絡(luò)專用、封閉型工業(yè)網(wǎng)絡(luò):該網(wǎng)絡(luò)規(guī)范是由各公司自行研制,往往是針對某一特定應(yīng)用領(lǐng)域而設(shè),效率也是最高。但在相互連接時就顯得各項指標(biāo)參差不齊,推廣與維護(hù)都難以協(xié)調(diào)。
人為因素通常是網(wǎng)絡(luò)攻擊中最容易被利用的。攻擊者在對其目標(biāo)進(jìn)行偵察之后,使用獲得的信息來獲取憑據(jù)或其它信息,從而實現(xiàn)對原本受保護(hù)的系統(tǒng)和資源的入侵。
通常,攻擊者會很幸運(yùn),并且只需付出很少的努力和風(fēng)險,就可以通過簡單猜測而獲得用戶憑據(jù),盡管這是自動進(jìn)行的。這個問題很難討論。許多用戶“有信心”保護(hù)自己的重要信息,因此沒有學(xué)習(xí)和掌握適當(dāng)?shù)木W(wǎng)絡(luò)防御知識和方法。這導(dǎo)致了很多引人注目的數(shù)據(jù)泄露事件。
社交挖掘
社會工程學(xué)(Social Engineering)通常被定義為:主要通過人類情報(Humint)和開源情報(osint)實現(xiàn)對人力資源的操縱。這些技術(shù)與情報機(jī)構(gòu)用來從外國競爭對手那里收集情報所使用的技術(shù)類似。在所有的網(wǎng)絡(luò)攻擊中,大約有80%始于社會工程攻擊。這些初始攻擊采取多種形式,最常見的是網(wǎng)絡(luò)釣魚電子郵件,它們非常具有迷惑性且容易奏效。這些攻擊無需冒險就可以發(fā)揮作用并產(chǎn)生實際效果。尤其是那些對網(wǎng)絡(luò)安全意識比較淡薄的人更容易受到損害。
另一個容易滋生網(wǎng)絡(luò)安全隱患的“沃土”是社交媒體。除了社交媒體固有的輿論和行為能力之外,研究表明,還可以從中挖掘用戶數(shù)據(jù),并將其用于構(gòu)建配置文件,這些配置文件為攻擊者提供了大量的信息和情報,可用于獲取憑證或破壞資產(chǎn)。
認(rèn)知偏差
認(rèn)知和社會偏見在網(wǎng)絡(luò)安全事件中往往扮演著重要角色。一個有趣的認(rèn)知偏差被稱為達(dá)克效應(yīng)(D-K effect),它假設(shè)無能者不知道自己是無能的,這會導(dǎo)致虛幻的、膨脹的自我認(rèn)知,進(jìn)而導(dǎo)致資產(chǎn)很容易受到損害。在這個效應(yīng)影響下的人們通常不遵循指示或不愿意接受批評,從而帶來了很多副作用。這些漏洞提供了非常豐富的攻擊面,尤其是在社交媒體上。社會偏見是利用這些傾向破壞資產(chǎn)的無底洞。這些大規(guī)模操縱技術(shù)中的任何一種都不是新出現(xiàn)的技術(shù)——多年來人們一直使用它們來獲取和保留權(quán)力,但是不同的是,現(xiàn)在,由于珍貴的資產(chǎn)和關(guān)鍵的基礎(chǔ)設(shè)施也可以成為攻擊對象,因此后果不堪設(shè)想。
攻擊方法
社會工程攻擊是最危險的威脅之一。攻擊者使用社會工程學(xué)來攻擊無法找到任何技術(shù)漏洞的系統(tǒng)。人們普遍認(rèn)為可以檢測到這些攻擊,但不能完全阻止這些攻擊。這些攻擊通常遵循相似的發(fā)展階段,最常見的模式涉及以下4個階段:
1.偵查:收集漏洞信息;
2.陷阱:與目標(biāo)建立聯(lián)系,設(shè)置誘餌;
3.入侵:利用信息和聯(lián)系攻擊目標(biāo);
4.退出:成功攫取數(shù)據(jù)信息后撤離,幾乎不留下或完全沒有攻擊的跡象。
社交工程攻擊可以基于人,也可以基于計算機(jī)?;谌说墓簦蠊粽吲c受害者互動以獲取信息,因此一次不能攻擊多個受害者?;谟嬎銠C(jī)的攻擊,可以在很短的時間內(nèi)發(fā)動成千上萬次攻擊。網(wǎng)絡(luò)釣魚電子郵件是基于計算機(jī)攻擊的一個示例。
根據(jù)攻擊的實施方式,攻擊可以進(jìn)一步分為三類:基于技術(shù)的、基于社交的和基于物理的攻擊?;诩夹g(shù)的攻擊,一般在線進(jìn)行,例如社交媒體或旨在收集信息的網(wǎng)站?;谏缃坏墓?,是通過與受害者的關(guān)系進(jìn)行的,并利用情緒和偏見。物理攻擊通常與社交攻擊結(jié)合使用,以誤導(dǎo)受害者,從而盜取憑證或進(jìn)入安全區(qū)域。
從另外一方面,也可以將攻擊分為直接或間接攻擊。直接攻擊要求攻擊者與受害者保持聯(lián)系,并且經(jīng)常需要物理接觸,例如目擊、談話以及出現(xiàn)在受害者的工作場所或家庭空間中。直接攻擊包括實際盜竊文件或長期或短期“騙局”。偽造的IRS電話是直接的社會工程攻擊的一個例子。間接攻擊不需要攻擊與其受害者接觸。惡意軟件、分布式拒絕服務(wù)(DDoS)、網(wǎng)絡(luò)釣魚、勒索軟件和反向社會工程,是間接攻擊的一些示例。
5種常見的攻擊類型
社會工程手段和方法存在多種變體。所有這些都是基于人類的基本弱點。熟練的攻擊者已經(jīng)完成了研究,并針對目標(biāo)受害者的弱點和脆弱性,進(jìn)行了適應(yīng)性的修改。以下是最常見的5種攻擊類型:
1.網(wǎng)絡(luò)釣魚:網(wǎng)絡(luò)釣魚是社會工程攻擊中最常見的攻擊,它是從“電話釣魚”中得名的,“電話釣魚”的目的是操縱電話網(wǎng)絡(luò)。這些攻擊拋出吊鉤,看誰會上鉤。盡管該術(shù)語仍用于描述欺騙性電話,但迄今為止,最大的網(wǎng)絡(luò)釣魚場所是電子郵件。據(jù)估計,在成功插入惡意軟件的攻擊中,超過80%的都是通過網(wǎng)絡(luò)釣魚電子郵件詐騙進(jìn)行的。網(wǎng)絡(luò)釣魚有幾種形式:魚叉式——對一個人或一個設(shè)施的針對性攻擊;捕鯨——對高價值受害者或“鯨魚”的針對性攻擊;電話釣魚——使用電話(語音和網(wǎng)絡(luò)釣魚)進(jìn)行攻擊;短信釣魚——使用文本消息進(jìn)行攻擊。令人擔(dān)心的是,如果攻擊者對預(yù)期目標(biāo)進(jìn)行了徹底的偵查,則網(wǎng)絡(luò)釣魚可能非常有效,并且難以檢測和緩解。
2.假托:假托(Pretexting)是創(chuàng)造虛假和令人信服的情境,使受害者信任攻擊者并幾乎愿意給出其個人信息或訪問憑據(jù)。攻擊者使用開放源代碼情報,即公開文件,無論是在互聯(lián)網(wǎng)上容易獲得的信息,還是在社交媒體中獲得的豐富信息。這些騙局讓您相信有機(jī)會分享遺產(chǎn)、中彩票或其它“天上掉餡餅”的說法,前提是您需要給騙子匯錢來幫助他們“把錢取出來”。
3.誘餌:如果您單擊網(wǎng)站上的鏈接是為了獲取一些免費的東西,那么你的貪心很可能會被一些人利用。這與旨在提高網(wǎng)站點擊率的“點擊誘餌”不同,誘餌攻擊會在受害者的計算機(jī)上安裝惡意軟件。例如,看起來無辜的網(wǎng)站提供免費的財務(wù)計劃電子表格供下載。當(dāng)電子表格加載反向shell程序時,攻擊者就可以訪問所有受害者。另外一種形式是使用被感染的USB驅(qū)動器,這些驅(qū)動器被遺留在咖啡店或停車場周圍,沒有經(jīng)驗的用戶出于好奇而拿起它們,然后插入他們的計算機(jī)。這也是將Stuxnet蠕蟲病毒安裝到伊朗核設(shè)施中的方法,否則的話該設(shè)施被保護(hù)的密不通風(fēng),根本無法接近。
4.等價交換:類似于誘餌,此攻擊通過為受害者提供好處以換取信息。這在社交媒體中特別有效。一種常見的形式是冒充公司內(nèi)部技術(shù)人員或者問卷調(diào)查人員,要求對方給出密碼等關(guān)鍵信息。這些攻擊不必非常復(fù)雜,并且通常是即時進(jìn)行的,受害者是隨機(jī)選擇的。幾年前在英國進(jìn)行的一項研究表明,人們在地鐵中隨意停下,會為換取一塊巧克力或一支廉價筆或其它小裝飾品而泄露他們的網(wǎng)絡(luò)密碼。
5.尾隨:尾隨是一種非常常見的物理攻擊,攻擊者冒充其他員工或送貨員,利用合法員工的訪問權(quán)限來訪問安全區(qū)域。一種常見的方法是要求某人帶攻擊者進(jìn)入,因為他們“忘記帶通行證了”。此方法用于訪問安全區(qū)域,并且還要求攻擊者編個借口,說服起疑心的員工以獲得信任和合法性。一個攻擊的變種是,攻擊者謊稱借用員工的通行證“一分鐘”,以便他們可以去車上取回被遺忘的東西或其它事項,從而導(dǎo)致身份證被復(fù)制或損壞。大多數(shù)人都愿意信任別人,攻擊者知道這一點并充分利用。
預(yù)防措施
5種預(yù)防措施可以降低導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險的人為錯誤。
1.減少攻擊面。這就需要從攻擊者的角度對設(shè)施的IT基礎(chǔ)架構(gòu)進(jìn)行徹底的分析。關(guān)閉打開的端口,并保護(hù)防火墻。將對關(guān)鍵系統(tǒng)的訪問限制在盡可能少的人員范圍內(nèi)。
2.對關(guān)鍵人員進(jìn)行全面的背景調(diào)查。人力資源是安全環(huán)節(jié)中最薄弱的,下一步最合乎邏輯的做法是盡可能消除潛在的人為因素。這意味著在可行的情況下,系統(tǒng)地消除人與人之間的互動。這聽起來有點奇怪,但我們面臨的危機(jī)有時就是由某些粗心的員工或未能理解攻擊的員工而引起的。實際上,許多人認(rèn)為網(wǎng)絡(luò)安全是尋找問題的解決方案,這種思維使熟練的社會工程師面露微笑。
3.網(wǎng)絡(luò)安全團(tuán)隊:建議加強(qiáng)對關(guān)鍵人員進(jìn)行培訓(xùn)以監(jiān)控威脅和泄露,并設(shè)置網(wǎng)絡(luò)安全專員,由其定期審核安全程序并審查其他人員的網(wǎng)絡(luò)衛(wèi)生狀況。這些人必須有權(quán)關(guān)閉漏洞,并且有能力及時糾正問題員工的行為。由網(wǎng)絡(luò)管理員、安全人員和高級員工組成的網(wǎng)絡(luò)安全“反擊團(tuán)隊”可以迅速采取行動,以檢測并密封漏洞,然后進(jìn)行事后檢查以確定漏洞是如何發(fā)生的。
4.基于角色的訪問:無法阻止員工在便箋上寫密碼或?qū)⒕W(wǎng)絡(luò)安全視為無用的行為。在允許員工在工作過程中訪問網(wǎng)絡(luò)和資源時,這種心態(tài)很難處理。基于角色的訪問是解決問題的一種有效方法。另一種技術(shù)是要求正式的訪問請求,然后在訪問關(guān)鍵數(shù)據(jù)或系統(tǒng)時監(jiān)視員工。多因素身份驗證很有用,但如果員工沒有認(rèn)真對待它,并且對電話或其他第二種身份驗證方法不注意,也是無濟(jì)于事。
5.智能密碼:強(qiáng)制執(zhí)行智能密碼策略可以有效防止員工使用容易猜到的密碼,例如“1234567”或流行的“password”。培訓(xùn)員工養(yǎng)成正確的網(wǎng)絡(luò)衛(wèi)生習(xí)慣和網(wǎng)絡(luò)安全意識。
很多企業(yè)可能在自動化系統(tǒng)、主動入侵者檢測、緩解和預(yù)防以及主動對策方面花費數(shù)百萬美元用于提升企業(yè)安全性,但這一切可能被粗心或無能的員工輕易破壞。盡可能消除人為因素可以有效降低網(wǎng)絡(luò)安全風(fēng)險。
未來的工業(yè)互聯(lián)網(wǎng)企業(yè),與其設(shè)備提供商、安全服務(wù)商、監(jiān)管機(jī)構(gòu)等都需要建立協(xié)同機(jī)制,共同應(yīng)對來自工業(yè)、互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全等跨領(lǐng)域、跨行業(yè)的挑戰(zhàn)。網(wǎng)絡(luò)安全的能力,將變成一種可定制的服務(wù),工業(yè)互聯(lián)網(wǎng)企業(yè)可以根據(jù)自己的威脅、成本、人才和運(yùn)行階段按需使用。