如何防範社會工程攻擊？

在 Veriozon 出具的《2017年資料洩露調查》報告中，90%的成功入侵都是通過社交工程實現。與其說社交工程是電腦入侵，不如說是人與人的鬥爭。

現代黑客發現，從人著手獲取資料，比暴力奪取要簡單。這些攻擊者欺騙祕書或 CEO（執行長）們，直至獲得密碼，網路訪問許可權等一切他們想要的東西。要防止資料被黑，雲服務廠商們需要的不是更強的防火牆，二是學會任何甄別人與人之間的欺騙。

最常見的攻擊往往也是最有效的-E安全

黑客想要什麼？

社交工程實施者目的不盡相同，但是這些黑客通常無外乎兩個原因：一己私利或是國家資助型的智慧財產權盜竊。

第一種黑客竊取個人資料（如信用卡和社保卡號）為的是拿去暗網交易。2017年，據 NBC 新聞報導，以金錢為目的的入侵數量在上升，特別是針對社保卡的攻擊在增加，這意味著黑客對這種策略的使用越來越順手。

但是不要小看第二種攻擊者，即國家支援型黑客。私企或許還沒有感受到國家支援型社交工程師的威脅，但其實他們應該具備威脅意識。在 Verizon 的報告中，2017年製造商中發生的620起入侵事件中，94%都跟間諜活動有關。任何擁有智慧財產權，且這些產權可能被盜竊或複製的公司都應該警惕外國機構的攻擊。

最常見的攻擊往往也是最有效的-E安全

組織機構如何防範社會工程攻擊？

每個行業都應該擔憂一次成功攻擊帶來的後續影響。黑客們通常針對金融服務，政府，醫療和零售行業，但是他們是隨機的。如果一家公司沒有保護好自己的資料，黑客最終會找到缺口並拿走自己想要的。雖然，他們費心暴力入侵，而是想辦法讓受害者主動交出所需的東西。

社工行為有多種表現形式。黑客可以給目標公司傳送大量郵件，或者在停車場留下一個 U 盤，以郵件形式傳送物理媒介，也可以假借其他人身份打電話進行欺騙。即便他們有99%的方法都失敗了，偶爾的一次成功也足以讓他們找到繼續的動力。

為了保護公司不受到社工攻擊，可以採取下列步驟：

一、清點資料，採用恰當的訪問控制策略

如果你不知道自己的資訊在哪裡，就無法保護資訊。所以先要識別資料，並進行分類。不要忘記你的使用者手上還保留有一些資料。所以不能只看你自己的資料庫。

換位思考，站在黑客的角度問一問：將獲取的客戶資料拿去幹什麼？你把敏感的智慧財產權資訊儲存在哪裡？誰有訪問這些資訊的許可權？如果黑客向獲取你的財務記錄或是生產設計，他們騙取哪些人的信任後可接觸到這些資料？

按敏感級別對資料進行分類。客戶資料和智慧財產權都值得做最嚴格的安全防護。在全面審視過後，可以設定一個資料再訪問的週期，及時發現潛在洩露風險。

二、多因素驗證

據 Verizon 的報告透露，81%的攻擊案例中都涉及弱密碼或密碼被盜。事實上，Deloitte 就是因為這一簡單的錯誤而出現資料洩露，而原本這是可以避免的。在黑客獲取管理員賬戶的密碼後，他們會進入郵件伺服器，並從中竊取資料。如果管理員部署了多因素驗證，那麼黑客就不會這麼輕易得手。

要求所有賬號在訪問敏感資料時都使用多因素驗證。簡訊驗證碼是最常見的多因素驗證技巧，雖不是百分百安全，但也好過沒有。軟令牌，如推送通知，是更強的多因素驗證。掌管資料庫大門的管理員要使用硬令牌（如U盤）確保輸入密碼的人確實獲得具備許可權。

最常見的攻擊往往也是最有效的-E安全

三、用端到端加密使用傳播媒介

資料儲存和傳輸過程中都要進行加密。這種端到端的加密確保黑客不能實際使用任何他們攫取的資料。

對重要資料，從客戶信用卡到員工郵件，都要使用端到端加密。微軟最近將端到端加密引入了 Outlook，它可以保護使用者的郵件，避免未授權的第三方訪問敏感資料。

四、建立一種安全文化

最後，資料保護最重要的一條防禦線就是社交工程師的目標：你的員工。現在，大多數都知道“奈及利亞王子”郵件詐騙套路，但並不是每個人都知道如何揭露包裝精美的黑客偽裝。例如，美國 UC Davis Health 2017年就遭遇了一次資料洩露，當時，黑客通過郵件假冒其員工，並獲得了該大學醫療資料的訪問許可權。

要對員工進行釣魚式攻擊的常規教育。告訴不同崗位的員工，黑客可能接觸他們並獲得非法授權的方式。提醒員工內部安全的重要性，幫助他們報告可疑請求。

這些技巧將有助於你保護抵擋社交工程師。然而，如果仍有人想方設法訪問了你的資料，不要試圖掩蓋這一事實——應立刻報警。即使資料被黑，你或許還有可能在黑客造成更大的破壞前阻止他們。

原文釋出時間為：2018-07-15
本文作者：E安全
本文來自雲棲社群合作伙伴“ 安恆資訊”，瞭解相關資訊可以關注“ 安恆資訊”