“捕鲸”是一个不断增长的安全威胁是个性化的网络钓鱼技术的使用,让您最敏感的数据和访问您的网络的关键
去年,公司负责客户满意度的一名高管打开了一封主题为“客户投诉”的电子邮件,邮件似乎是由商业改善局(Better Business Bureau)发出的。他点击了一个链接查看投诉的细节。“如果他停下来仔细查看网址,他会发现这是一个陷阱”——被称为捕鲸攻击,基于鱼叉式网络钓鱼技术——安全咨询公司SystemExperts的总裁乔纳森•戈塞尔斯(Jonathan Gossels)表示,这样做的目的是收集有关该公司的信息。“但在繁忙的工作日,这种情况很少发生。”
在最近的另一个案例中,一名攻击者研究了一名系统管理员的背景,然后向他发送了一封电子邮件,内容是针对四口或四口以上的家庭降低了保费的医疗保险计划。这吸引了管理员,他有五个孩子,并诱使他打开附件的表格。表单已经嵌入恶意软件这就破坏了目标的电脑,给了攻击者一个进入他的公司网络的立足点。安全咨询和培训公司Intrepidus Group的首席执行长贝拉尼(Rohyt Belani)说,它还允许攻击者冒充管理员,获取有关公司运营的敏感信息。
通过InfoWorld的互动,掌握你的安全安全iGuide和我们的PDF深水指南浏览器的安全,Windows 7的安全,恶意软件保护。|与InfoWorld保持最新的安全发展安全中心通讯。]
这些捕鲸攻击是一种个性化的网络钓鱼鱼叉式网络钓鱼,针对的是能够接触到大量有价值或有竞争力的信息的高级管理人员或组织中的其他人。虽然打劫者通常会为了经济利益而追踪消费者的银行账户数据、密码、信用卡号码等信息,但打劫者最常针对的是那些掌握内部信息或能够持续访问系统的人。因此,被标枪击中的代价可能是巨大的。
捕鲸攻击比钓鱼攻击更难察觉。在网络钓鱼中没有明显的签名可以检测,比如看到数百份钓鱼邮件进入您的服务器。捕鲸业的攻击也很难抵御,因为它们经常利用高管们的感觉和自我重要性。
安全专家说,这类攻击正在增加。
“随着越来越多的私人信息公开普华永道咨询公司(PricewaterhouseCoopers consulting company)法务服务业务主管金•佩雷蒂(Kim Peretti)表示:“通过社交媒体网站或其他方式,针对公司内部特定个人的攻击已变得更容易,因此成为黑客攻击的首选方式。”
“这扩散的信息对个人——在他们工作,与他们社会和专业的交互,他们参加什么会议,何时何地他们假期——不仅使黑客来确定个人在公司可能持有王国的钥匙,而且这些消息[人]最有可能被骗到回应,“Peretti说。
你能做些什么来保护你的企业鲸鱼免受鱼叉攻击?专家告诉《信息世界》,遵循这五个最佳实践。
1.了解什么是捕鲸攻击和如何确定实际的威胁和攻击。你怎么知道你是捕鲸攻击的目标?安全顾问、身份盗窃专家罗伯特·西利亚诺(Robert Siciliano)说,不幸的是,如果捕鲸船做了大量研究,有效地复制了你的签名和其他已知的电子邮件特征,你通常不会知道自己受到了攻击,因为真的没有任何明显的泄密迹象。
西西里亚诺说,尽管如此,你还是可以注意到一些事情。注意那些奇怪的请求,那些对日常通信没有意义的链接,以及那些通常不是由所谓的发送者发送的附件。Intrepidus的Belani说,如果你收到一封似乎是同事发来的邮件,但看起来很可疑,那就和收件人确认一下,看他(她)是否真的发了。请记住,一些最常见的捕鲸技术涉及到从执行管理团队的一名成员向另一名成员发送电子邮件。
一般来说,要对未经请求的电子邮件保持警惕。系统专家的Gossels说:“永远不要点击你不认识的人发来的电子邮件中的链接——除非是你主动发起的电子邮件交流。”“当电子邮件的发件人太了解你的时候,你应该保持警惕。”
2.让你的主管花时间去学习如何避免被“鱼叉”攻击。不管高管们有多忙,也不管他们有多抗拒经历安全意识教育——他们需要定期参加培训课程。
这包括关于在可疑邮件中寻找什么的指示,以及如何识别个人捕鲸攻击,在这种攻击中,一个可能看起来值得信任的人在几个月的时间里收集信息,这些信息可以用来访问公司的系统。
Belani说,大多数高管不让自己参加定期的安全意识演习,即使他们正是那些应该加倍努力以阻止有针对性的网络钓鱼攻击的人。
强制规定,不仅高管要接受培训,他们的行政助理也要接受培训,这些助理在挫败针对他们老板的攻击方面可以发挥关键作用。对于与会者来说,培训并不一定是极其无聊的。考虑加入模拟的视频社会工程方案,或者让安全团队执行这样的场景。
除了提供培训外,还要不断向人们通报捕鲸的威胁和事件。海洋银行每月向组织中的每个人发送“安全意识”公告,就捕鲸、网络钓鱼和恶意软件等威胁向人们提供建议,并提供如何避免这些威胁的提示。
“我们让他们时刻保持警惕,这样如果他们成为目标,他们就会知道并向我们报告,”佛罗里达银行安全事务高级副总裁兼金融机构安全协会主席塞尔吉奥·皮农(Sergio Pinon)说。但一定要保持这些更新简短;如果太长,大多数人都懒得去读。
除了培训人们如何避免成为捕鲸受害者外,重申保护知识产权等有价值数据的重要性。根据威瑞森风险团队(Verizon Risk Team)、美国特勤局(U.S. Secret Service)和荷兰高科技犯罪部门(Dutch High Tech Crime unit) 2011年的数据泄露调查报告,最近有更多针对特定类型数据的针对性攻击,而这些数据通常不会被大量窃取,比如某些种类的敏感组织数据和知识产权。
3.做你自己的渗透测试和社会工程。安全培训课程的参加者对他们听到的内容有多注意?为什么不通过运行一些测试来找出答案呢?
安全咨询公司Sonalysts的首席分析师欧文·麦卡斯克(Owen McCusker)说,他公司的一些客户在培训之后会进行“预防接种”,管理员会向精心挑选的个人发送包含已知捕鲸攻击特征的电子邮件,以观察他们的反应。如果他们回复了信息,他们就会得到一个回复,提醒他们未能遵守培训课程的指示。
首席信息安全官帕特丽夏提多,技术服务提供者Unisys,说在之前担任CISO运输安全管理局,她和她的员工定期组织叫人随机尝试社会工程师到他们不应该放弃信息共享。她计划在Unisys开展类似的活动。
这些内部攻击往往会让人明白这一点。“一旦你这么做了,每个人都会听到这个故事,这表明我们真的很在乎这些东西,”提图斯说,他一直是捕鲸业外部攻击的目标。“我们需要有安全意识的员工。”She says the tests are not just aimed at senior executives, but at workers such as help desk employees who have access to information such as system passwords.
除了定期测试外,Unisys安全团队还与那些屡次违反安全政策的人进行个人咨询。Titus说,可能有一个根本原因导致人们会做出一些引人注目的行为,所以安全团队不是简单地说他们不能访问某些网站或阻止访问,而是分析为什么会发生这种行为。她说,80%的情况下,这是由于无知造成的。
4.在社交网络中使用常识。Facebook、LinkedIn和其他社交网站已经成为建立商业联系、在线协作和招聘的宝贵工具。但它们也是捕鲸者收集信息用于攻击的地方。
“捕鲸背后的罪犯正在公司网站上做研究,寻找关键人物冒充,并在Facebook和LinkedIn上继续他们的研究,使钓鱼邮件更加个人化,”独立顾问Siciliano说。
有些公司禁止企业使用社交网络的顾左右而言他。例如,海洋银行不允许员工使用的网站,如Facebook和YouTube的任何工作目的,它会阻止这些网站从公司网络访问。当人们需要使用社交网络从工作地点,他们必须首先获得从信息安全部门的许可大洋银行的皮尼翁说。这甚至适用于高级管理人员。
对大多数组织来说,阻止或限制社交媒体活动是不现实的。尽管如此,你还是可以做一些事情来避免帮助捕鲸者。正如领英(LinkedIn)等网站所建议的那样,不要链接到你不认识的人,也不要链接到发送邀请的人,即使对方听起来像是你的潜在客户或商业伙伴。
对你发布的内容保持理智:Intrepidus的Belani说:“不要在社交网络上公开的部分透露太多信息会有很大帮助。”“如果攻击者能够确定从某人的Facebook的个人资料——没有被连接为一个朋友,他们长大了,他们的婚姻状况、出生日期、等等,他们可以给出一条非常吸引人,赢得他们的信心很容易采取行动在电子邮件联系。”
实践安全浏览,以避免病毒和键盘输入程序,说都Gossels:保持你的防病毒/恶意软件检测软件,让你的浏览器自动更新块已知攻击和已知的不良网站,独立工作和娱乐(考虑使用一个单独的浏览器),如果你必须下载内容一定要扫描恶意软件在运行它。
5.使用安全技术来帮助阻止攻击。当然,捕鲸者可以绕过一些安全系统。但企业仍应利用现有安全技术的能力,如电子邮件嵌入的数字签名。Sonalyst的麦卡斯克说,使用数字签名的电子邮件可以让人们创建自己信任的联系人,并增加电子邮件的私密性。其他安全工具,如垃圾邮件过滤器、防火墙和入侵检测和预防系统,可以帮助逐步减少威胁,他说。
事件聚合和相关产品可用于识别捕鲸和相关行为活动。新兴的智能反应工具,如曼迪昂特公司的智能反应剂,可以帮助减少捕鲸攻击发生后的影响。
McCusker说:“响应技术提供了可操作的和集体的情报,可以提高组织减少基于捕鲸的攻击的能力,减少恢复关键业务流程的时间,减少第一次攻击后再次感染的机会。”
McCusker说,一些安全产品,如防火墙,可以通过附加的规则集进行微调,以发现潜在的捕鲸活动和其他可疑的异常情况。他说,安全取证系统还可以用来分析攻击过程中发生了什么,这样公司就可以了解到正在进行的对公司系统的攻击。
但正如《信息世界》的安全专栏作家罗杰·a·格里姆斯所说,你不能依赖自动安全工具为了保护您的用户、信息和网络——您还必须亲自进行调查和监视。
捕鲸是一种严重的威胁,它侵犯了捕鲸者的善意信仰专家说,捕鲸应该被严肃对待,把它视为一种威胁。系统专家的Gossels说:“我们大多数人在一生中都觉得自己是匿名的——只是人群中的另一张面孔,没有人专门在监视我们。”“捕鲸就是以人类的这种特性为食的。只需几秒钟就能记住姓名、角色、电子邮件地址和电话号码。突然间,有人能够监视你,而你却不知道。”
为了减少成为捕鲸受害者的机会,那些关键角色需要认识到他们是潜在的目标,并采取防御行动。
这个故事,”如何阻止你的高管被“鱼叉”攻击”,最初发表于InfoWorld.com。关注……的最新发展计算机安全在InfoWorld.com。商务科技新闻的最新发展,遵循在Twitter上InfoWorld.com。
阅读更多关于安全性的信息在信息世界的安全频道。
这个故事,是由最初发表的“如何从被鱼叉停止你的高管”信息世界 。