文盲的员工对公司是危险的。 他们会打碎柴火,必须乘火车将其运走。 这对任何行业和职位以及信息安全都是如此,它在整个范围内都适用:单击附件或从家中带来的受感染的闪存驱动器-就是说,勒索软件勒索软件进入了公司的网络,工作瘫痪了,IT部门搜索了要还原的最新备份被病毒加密的计算机磁盘,Finder会计算停机时间损失。此外,根据众所周知的邓宁-克鲁格效应,文盲的员工仍然充满信心,认为他们做得正确,或者至少做得不好。 而这正是经常导致灾难性后果的原因。
实际上,如果员工至少不具备信息安全的基本知识,几乎所有保护系统都将无用。 这些员工成为您公司计算机系统中的主要漏洞。
了解这种情况后,网络犯罪分子越来越多地将受害者公司用作攻击的脆弱性。 使用人员文盲比在公司网络中发现漏洞要容易得多。 由于甚至一名员工都缺乏信息安全知识,因此组织冒着损失金钱,数据和声誉,获得法律索赔或丢失设备的风险。
趋势科技专家讨论了员工面临的攻击类型:破坏设备,网络钓鱼和恶意纪念品。
设备妥协
使用自己的小工具和笔记本电脑(自带设备,BYOD)在公司工作是一种流行的趋势,在初创企业中尤其流行。 这种过程的组织似乎是双赢原则的体现:公司不必花钱购买和维护工作场所,而员工则可以自己选择和配置笔记本电脑。 如果他想在家工作,则不必复制工作文件,并且已经配置了对公司系统的访问权限。 该设备的购买成本被更长的睡眠时间或什至在家呆在远程工作的能力所抵消。
从信息安全的角度来看,使用一种设备来解决工作和家庭任务会带来严重的风险,尤其是在员工不太勤于学习信息安全基础知识的情况下。
忙碌了一天之后,我想分心。 下载电影和音乐,搜索游戏或盗版程序可能会导致有害的东西进入计算机。 然后,当连接到公司网络时,所有公司数据都会受到威胁。
如果您遇到一家咖啡馆,并通过公共Wi-Fi连接到公司网络以完成一杯咖啡的报告,则凭据可以被截取并用于窃取机密信息。 而且笔记本电脑或平板电脑可能会被盗或从家中带到办公室。 与笔记本电脑一起,笔记本电脑上包含的数据也会泄漏。
许多面孔网络钓鱼
以固定计算机形式组织工作流的传统方式部分消除了BYOD的典型风险,但是在这种情况下,信息素养不足的水平对于组织也可能是致命的。 所有员工都使用电子邮件,这意味着他们可能是网络钓鱼的受害者-欺诈性电子邮件伪装成来自交付服务,承包商,技术支持或管理部门的电子邮件。
使用网络钓鱼,网络罪犯可以迫使受害者启动附在信件上的恶意软件,输入其凭据以进入网络,甚至使用欺诈者的细节而不是真实的交易对手进行付款。
鱼叉式网络钓鱼是一种特殊的危险,网络犯罪分子首先收集有关组织,组织结构,员工和工作流程的数据,然后准备根据组织标准起草的包含真实姓名和职位的信件。 识别这些字母比较困难,因此这种邮件的有效性更高。
仿冒电子邮件可能不包含任何恶意附件,并且在涉及诸如破坏商务信函(Business Email Compromise,BEC)之类的仿冒网络钓鱼时,看上去完全无害。 在这种情况下,欺诈者开始代表另一组织与该公司的一位负责人进行通信,并逐渐说服他有必要将资金转入其帐户。 尽管描述的场景具有奇妙的性质,但攻击者还是通过这种方式在2018年春季
从法国电影公司Pathé的荷兰分支机构中诱骗了1900万欧元 。
惊喜设备
攻击者不会停滞不前。 我们将目睹针对天真的用户的新型攻击形式,并且并非所有攻击都将通过Internet分发。 一个例子是通过免费闪存驱动器的攻击。 在合作伙伴活动,演讲,会议上,以及作为礼物,员工通常会收到带有工作资料的闪存驱动器。 一位不了解信息安全基础知识的员工可能会在到达办公室后立即将USB闪存驱动器插入计算机中-并可能会收到恶意的惊喜。 有时,活动的组织者甚至不知道USB闪存盘上记录广告材料的计算机是否感染了某些东西。
此技术还可用于故意感染受害者的计算机。 2016年,在伊利诺伊大学进行了一项实验,在校园内散布了300个“带电”闪存驱动器,以检查将有多少人使用它们以及将在多长时间后使用。 实验结果令研究人员感到惊讶:第
一个闪存驱动器在6分钟后连接到计算机 ,只有48%的发现闪存驱动器的人找到了闪存驱动器,并且所有人都打开了至少一个文件。
真实攻击的大规模示例之一(
DarkVishnya ),当时银行安全人员没有注意到连接到网络的隐藏设备。 为了发动攻击,攻击者以信使或访客的名义进入银行办公室,然后将装扮成USB闪存驱动器的Bash Bunny微型计算机,廉价的上网本或配备3G / LTE调制解调器的基于Raspberry Pi的单板计算机悄悄连接到银行的本地网络。 该设备将自己伪装成难以检测的环境。 此外,攻击者远程连接到他们的设备,扫描银行的网络中的漏洞,将其渗透并偷钱。 结果,东欧的几家银行遭受了损失,DarkVishnya攻击造成的损失达数千万美元。
丢失闪存驱动器的攻击具有令人印象深刻的性能,显示了人们对安全性的轻狂程度,以及在这种情况下教育用户正确行为的重要性。
怎么办呢?
尽管市场上有大量的软件和硬件保护,还是值得分配部分预算来应对针对员工的攻击。 以下是最重要的建议:
-
训练。 所有员工必须了解,对信息安全原则的无知并不能免除责任,因此,有兴趣提高他们对此事的认识。 在公司方面,组织和举办信息安全培训研讨会的费用应被视为降低风险和防止损害的投资。
-
火车。 理论知识很快被更流行的信息挤出了记忆。 加强实践技能将有助于训练攻击。 在他们的帮助下,您可以识别尚未学习该信息的员工,并对其进行再培训。
-
实施“见某事,说一句话”政策。 面对网络威胁,员工可能对此保持沉默直到最后一刻,因为担心被解雇或试图独立消除它。 同时,及时通知事件有助于防止恶意软件在整个公司网络中传播。 基于此,以这样一种方式建立服务规则很重要:报告攻击的员工会感激之情,信息安全服务可以修复并开始消除威胁。
结论
任何计算机系统都是易受攻击的,并且其中最薄弱的一环通常是一个人。 每个业务负责人的任务是将与攻击员工相关的信息安全领域的风险降至最低。 在解决此问题时,培训,培训和适当处理网络事件的组织将有所帮助。 理想情况下,对网络安全有基本了解应该成为公司理念的一部分。