社會工程并不是一個什么新鮮詞匯，就像網(wǎng)絡(luò)釣魚已經(jīng)存在了近30年一樣，攻擊者總是會不斷尋找新方法來誘導(dǎo)受害者去點(diǎn)擊惡意鏈接、下載惡意文件或提供敏感信息。

　　即使在網(wǎng)絡(luò)安全領(lǐng)域，社會工程也不是一個新概念。僅網(wǎng)絡(luò)釣魚詐騙就已經(jīng)存在了近 30 年，攻擊者不斷尋找新方法來誘使受害者點(diǎn)擊鏈接、下載文件或提供敏感信息。商業(yè)電子郵件泄露 （BEC） 攻擊通過讓攻擊者獲得對合法電子郵件賬戶的訪問權(quán)限并冒充其所有者發(fā)送郵件的方式來達(dá)到惡意目的，攻擊者認(rèn)為受害者不會質(zhì)疑來自可信來源的電子郵件，事實(shí)上，他們所認(rèn)為的并沒有錯，相比之下，BEC攻擊的成功率的確更高。

　　不過電子郵件并不是攻擊者用來進(jìn)行社會工程攻擊的唯一有效手段，隨著數(shù)字化轉(zhuǎn)型的持續(xù)推進(jìn)，當(dāng)前企業(yè)對于數(shù)字應(yīng)用的依賴也越來越重，無論是VPN、云服務(wù)、各類通信工具還是其他各種在線服務(wù)等等，在實(shí)際場景中，這些數(shù)字應(yīng)用、服務(wù)彼此之間并非是割裂的，而是相關(guān)聯(lián)的，因而任何一個環(huán)節(jié)出現(xiàn)了問題，其他環(huán)節(jié)也難以保全。因此，攻擊者一旦對其中某一個應(yīng)用或服務(wù)的攻擊得手，勢必會威脅到其他應(yīng)用或服務(wù)，因此，組織也不能只關(guān)注網(wǎng)絡(luò)釣魚和BEC攻擊，尤其是在商業(yè)應(yīng)用程序入侵（BAC）呈現(xiàn)出上升趨勢時。

　　單純依靠單點(diǎn)登錄

　　無法克制人為因素所導(dǎo)致的風(fēng)險

　　組織進(jìn)行數(shù)字化轉(zhuǎn)型，廣泛使用數(shù)字應(yīng)用并不是純粹為了跟上數(shù)字化時代的腳步，而是它們真的可以為組織提供更方便、更易用且更高效的好處。在遠(yuǎn)程辦公或混合辦公流行的當(dāng)前，員工需要在不同的地方使用不同的設(shè)備去訪問關(guān)鍵的資源和系統(tǒng)，好的數(shù)字應(yīng)用無疑可以簡化工作流程，令員工更輕松地完成工作。不過，這也帶來了另一個問題——如何有效地監(jiān)管。對于組織而言，任意一個內(nèi)部獨(dú)立的部門在工作中會涉及到的應(yīng)用程序都不會太少，有時候可能會達(dá)到數(shù)十個甚至上百個，與之對應(yīng)的則是身份驗(yàn)證也成為了一個問題，但與此同時，IT或安全部門往往都很難做到對于所有的應(yīng)用程序都是可見的，而且去要求每一個員工為每一個應(yīng)用程序去設(shè)立一個單獨(dú)且具備足夠復(fù)雜性的密碼組合也并不是太現(xiàn)實(shí)，雖然密碼管理器是一個很好的解決方案，但在實(shí)操層面難度依然很高。

　　因此，很多組織通過單點(diǎn)登錄（SSO）解決方案來簡化身份驗(yàn)證流程，此類解決方案允許員工登錄到授權(quán)的賬戶一次，以訪問所有連接的應(yīng)用程序和服務(wù)。不過，由于單點(diǎn)登錄服務(wù)可以讓用戶輕松地訪問數(shù)十個甚至更多的業(yè)務(wù)應(yīng)用程序，因此從攻擊者的角度看，以其作為攻擊目標(biāo)的價值會更高，雖然單點(diǎn)登錄解決方案提供商都會在產(chǎn)品中就賦予安全特性和功能，但在實(shí)際應(yīng)用過程中，因人為錯誤造成的風(fēng)險仍然難以根治。

　　MFA無法阻擋所有社工攻擊

　　許多應(yīng)用程序都提供了多因素身份驗(yàn)證（MFA）的功能，包括大多數(shù)單點(diǎn)登錄解決方案也是如此，這在較大程度上提高了攻擊者入侵賬戶的難度。不可否認(rèn)，MFA 對用戶來說確實(shí)增加了一些麻煩，他們可能必須每天多次使用它來登錄賬戶——這會令用戶煩躁，進(jìn)而導(dǎo)致不耐煩，有時甚至是粗心大意。

　　一些 MFA 解決方案要求用戶輸入代碼或顯示他們的指紋，當(dāng)然也有部分只是增加了一個無聊的問題——“確定是你本人登錄嗎？”從某種角度看，讓用戶越輕松，攻擊者也越開心。當(dāng)然，MFA固然增加了攻擊者的攻擊難度，但對于那些已經(jīng)獲取一組用戶憑證的攻擊者而言，他們一定還會繼續(xù)嘗試破解另一組，嘗試多次登錄，通過向用戶的手機(jī)發(fā)送MFA身份驗(yàn)證請求的垃圾郵件，可以增加受害者的告警疲勞，正是這種“不耐煩”的心態(tài)是攻擊者樂于看到并利用的——許多受害者在收到大量請求后，往往會認(rèn)為是信息系統(tǒng)在試圖訪問該賬戶，或是直接單擊“確定”只是為了阻止大量通知。

　　因此，BAC在很多時候要比BEC更容易實(shí)現(xiàn)，攻擊者只需要不斷“騷擾”目標(biāo)用戶，誘導(dǎo)他們做出錯誤的決定即可。通過鎖定用戶的身份和SSO提供商，攻擊者可以潛在訪問數(shù)十個不同的應(yīng)用程序，包括人力資源等，進(jìn)而可以進(jìn)行與員工工資、報銷等相關(guān)的金融欺詐，最終實(shí)現(xiàn)將資金轉(zhuǎn)入自己賬戶的目的。

　　這類攻擊活動很容易被忽視——這就是為什么有一個可以識別可疑行為的檢測工具是很重要的。此外，組織在使用MFA時應(yīng)優(yōu)先使用防釣魚的FIDO（Fast IDentity Online線上快速身份驗(yàn)證）安全密鑰。如果MFA的FIDO-only因素不現(xiàn)實(shí)，那么次優(yōu)選擇是禁用電子郵件、短信、語音和基于時間的一次性密碼（TOTP），以支持推送通知，然后配置MFA或身份提供者策略，以限制對受管理設(shè)備的訪問，相當(dāng)于一個附加的安全層。

　　社會工程仍在進(jìn)化

　　做好防范需文化與工具兩者結(jié)合

　　最近我們關(guān)注到的一些研究表明，51%的安全事件中使用了BEC或BAC策略。相比之下，雖然BAC不像BEC那么出名，但成功的BAC可以允許攻擊者訪問幾乎所有與該賬戶相關(guān)的商業(yè)和個人應(yīng)用程序。由此可見，對于當(dāng)前的攻擊者來說，社會工程仍然是一個高回報的工具，更值得警惕的是，它還在與對抗它的安全技術(shù)一起進(jìn)化。

　　● 在防范手段中，“文化”層面主要是在相關(guān)制度建設(shè)以及員工相關(guān)安全意識的培養(yǎng)上，建立制度可以保證員工較為積極地參與防范活動，并且在發(fā)現(xiàn)活動后，可以通過報告機(jī)制將信息傳達(dá)給相關(guān)責(zé)任人，可以在盡可能短的時間內(nèi)降低甚至消除攻擊事件的不良影響，并促進(jìn)全體員工和安全團(tuán)隊之間達(dá)成良好的合作。對員工除了意識培養(yǎng)之外，還需要通過演練的方式來讓員工以接近實(shí)戰(zhàn)的方式去感受真正的攻擊行為是怎樣的，相比于單純的灌輸，演練無疑將會進(jìn)一步鞏固員工的安全意識。

　　● 同時，在工具方面，也應(yīng)該考慮選擇專業(yè)的技術(shù)和團(tuán)隊，比如零信任，該理念在今年廣泛的落地于辦公場景，以持安科技的零信任安全平臺為例，該平臺會對任何接入信息系統(tǒng)的訪問進(jìn)行持續(xù)動態(tài)驗(yàn)證，以身份為中心的訪問控制，遵循最小權(quán)限原則，可以在有效保障企業(yè)業(yè)務(wù)與核心數(shù)據(jù)安全的同時，簡化工作流程，提高員工辦公效率。具體而言，從用戶登錄終端到業(yè)務(wù)訪問，期間終端行為、應(yīng)用訪問行為、登錄認(rèn)證、零信任策略執(zhí)行等過程，均有包含身份和設(shè)備信息的詳盡日志，對用戶行為的安全分析溯源可以基于精準(zhǔn)的身份而非傳統(tǒng)檢查IP的方式。通過一套統(tǒng)一的控制臺對所有終端、WEB 應(yīng)用、四層應(yīng)用進(jìn)行集中管控，解決傳統(tǒng)方案多個管理后臺，多臺設(shè)備部署，配置維護(hù)復(fù)雜，人員權(quán)限混亂的問題。同時幫助企業(yè)梳理內(nèi)網(wǎng)應(yīng)用，避免漏網(wǎng)之魚。

　　同時，該平臺以無侵入、無感方式接入業(yè)務(wù)系統(tǒng)，支持和企業(yè)已有的 IAM、SSO、SOC 等系統(tǒng)融合，無需改變用戶習(xí)慣，不需業(yè)務(wù)的重復(fù)接入和建設(shè)，最大程度減少人員的學(xué)習(xí)與操作成本，近乎以零門檻的方式實(shí)現(xiàn)隨時隨地?zé)o差別辦公，提升組織效率。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<