软件安全专家Hugh Thompson指出,企业往往过于依赖安全技术,而忽视“人类防火墙”对安全的影响。在接受SearchSecurity.com采访时,Thompson解释说社会工程攻击让员工很难辨别合法邮件和那些诱骗用户透露敏感数据的邮件。 数据丢失防护、Web过滤和反恶意软件技术能够提高安全保护,但Thompson表示,企业应该致力于在企业内部营造一种安全意识的文化,这可以让员工成为安全保护的最后一道防线。 IT安全团队需要平衡风险缓解工作和员工工作效率,确保员工可以使用他们喜欢的工具来完成工作,同时保护敏感数据的安全。
Thompson表示,从数据管理的角度来看,文件共享服务、网……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
软件安全专家Hugh Thompson指出,企业往往过于依赖安全技术,而忽视“人类防火墙”对安全的影响。在接受SearchSecurity.com采访时,Thompson解释说社会工程攻击让员工很难辨别合法邮件和那些诱骗用户透露敏感数据的邮件。
数据丢失防护、Web过滤和反恶意软件技术能够提高安全保护,但Thompson表示,企业应该致力于在企业内部营造一种安全意识的文化,这可以让员工成为安全保护的最后一道防线。
IT安全团队需要平衡风险缓解工作和员工工作效率,确保员工可以使用他们喜欢的工具来完成工作,同时保护敏感数据的安全。Thompson表示,从数据管理的角度来看,文件共享服务、网络邮件、社交网络和其他在线协作工具带来了有趣的挑战。
Thompson目前是网络安全厂商Blue Coat公司的首席安全战略师兼高级副总裁,他同时也是RSA大会程序委员会主席。他还是安全意识和安全编码培训公司People Security的首席安全战略师。
在数据泄露事故中,我们经常能够看到社会工程的身影。在某些情况下,攻击者甚至不需要利用软件漏洞,他们只需要诱骗员工透露其账户登录信息,就能入侵系统。这方面的用户教育很失败吗?
Hugh Thompson:这正是目前安全领域的关键问题,即安全的人员因素。如果你是一名试图入侵某企业系统的攻击者,你是愿意花几周时间甚至几个月的时间来寻找他们系统中的特定未知漏洞,还是尝试社会工程攻击?通过社交网站查找特定员工的信息,然后给这些员工打电话或者发送电子邮件。你当然会选择后者,因为它更加容易。
现在的问题是,大多数人每天在选择信任或者不信任某些事物时,并没有考虑到安全风险问题。而且这种信任/不信任的选择变得比以前更加复杂。在过去,我们很容易判断某个人是否在骗你。而现在,这些通过电子邮件或者网站的欺骗信息非常枯燥,就像我们每天必须处理的所有其他枯燥的东西一样,我们越来越难以分辨攻击信息和合法信息。我认为我们碰到这个信任危机问题是因为,即使是受过教育、具有安全意识且中度偏执的人,也更难判断好网站和不良网站或者合法邮件和不良邮件。我认为,教育仍然很重要,但企业还需要部署工具来帮助用户做出判断。
IT安全团队未能创造一种安全文化吗?在企业内发展一种安全意识的文化需要很长时间吗?
Thompson:在安全行业,这是个有争议的话题。我是一个乐观者,也是教育者,我的观念是对于安全问题,人们的防御能力是可以提高的。如果给他们提供合适的教育机会,即在合适时间进行合适培训,那么,随着时间的推移,他们面对攻击时,能够变得更灵活更具防御性。但如果你去跟一些首席安全官交谈,他们可能会告诉你他们糟糕的培训经历,随后他们放弃了,而只是保证合规工作。当发生这种情况时,这意味着你的企业已经走上一条危险的道路。
这条危险的道路是什么样的?
Thompson:不努力提高员工的安全防范意识的话,你将完全依赖于第三方工具或者加强环境中的安全控制。我认为现在这种人类防火墙变得越来越重要,这种防火墙意味着当你点击或安装从未见过的浏览器插件或事物时,你脑海中会出现的想法和安全意识。另外,你的企业和风险之间的安全控制非常重要,它们管理web,同时我也认为,你脑子里的安全意识也变得越来越重要,它们决定信任/不信任。
想一想像DLP这样的技术,这种技术非常善于解决特殊用途的问题,以及查找结构化数据以确定这些数据是否将被发送到不对的位置。但你可以假设有一些非常想得到这些数据(例如社会安全号码等)的攻击者,他们意识到某种DLP软件正在环境中运行。他们可能会创造某种高度定制化的社会工程攻击,发送纸质的邮件给受害者,要求他们填写表格中的信息,然后通过邮件寄回。这不仅不需要正面攻击DLP系统,甚至不需要接触这个技术。面对这种社会工程攻击的危害,我们有必要打造人类防火墙,这是我们在安全行业中最大的挑战之一。
翻译
相关推荐
-
心理操控:社会工程手段发起的高级攻击
虽然社会工程攻击往往不太可能从一开始就得到遏制,但结合技术和安全意识教育,是完全可以消除恶意企图负面影响的。以下是规避此类攻击的一些有效方法:
-
黑帽2012:社会工程培训有益于IT团队和终端用户
如果企业IT安全团队能对用户进行有效的安全意识培训,有助于企业中形成一种安全意识文化,从而抵御社会工程攻击。
-
微软发布IE零日漏洞公告
微软周四晚发布了一项公告称,黑客在最近的针对Google、Adobe以及其他公司的攻击中利用了IE零日漏洞。远程代码执行漏洞影响到几乎所有Windows版本上运行的……
-
什么是社会工程攻击(Social Engineering Attack)?
社会工程学,准确来说,不是一门科学,而是一门艺术和窍门的方术。社会工程学利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问……