攻擊者通常使用各種技術來竊取數據,包括惡意軟件、篡改硬件等。然而,旨在竊取企業知識產權的更嚴重的間諜攻擊活動並沒有那麼簡單,攻擊者會物理地竊取硬件,以用於對業務部門的員工進行社會工程攻擊。根據Verizon公司2013年數據洩露事故調查報告顯示,95%的間諜攻擊活動涉及網絡釣魚組件,該調查對發現的47000起數據安全事故進行了調查。
對企業來說,這些調查結果凸顯出他們的
網絡安全薄弱環節:即使是部署了近乎無處不在的反垃圾郵件技術,魚叉式釣魚攻擊仍然能夠執行。安全服務供應商ThreatSim首席技術官Trevor Hawthorn表示,這將員工推到了第一線,因為每個用戶都可能保護或者感染企業的網絡。
“我們的用戶做了很多應該做的事情來過濾釣魚攻擊,但他們仍然接收著大量網絡釣魚郵件,”他表示,“在這一點上,最終用戶成為防御的最後一個環節。”
釣魚攻擊意識意味著企業需要定期測試員工,對沒有通過測試的員工進行意識培訓,並教授員工如何正確的對事件作出響應,例如報告網絡釣魚潛在活動。釣魚攻擊服務公司會定期向企業報告其員工在測試中的 ,並提供其他指標,例如其員工報告釣魚電子郵件的速度。
然而,盡管提高用戶安全意識是一個很好的目標,但一些安全專家質疑這是否會帶來直接效果,幫助企業免受數據洩露事故。找出將會點擊精心設計的釣魚郵件的用戶是一個數字游戲:最終,攻擊者將會成功。反惡意軟件供應商FireEye的高級全球威脅分析師Kenneth Geers表示:“社會工程的問題是,如果攻擊者做足了功課,每個人都會點擊。”
雖然目前的數據表明,緊靠提高技術或者意識的方法都有缺陷,這兩種方法都能夠減少風險。通過定期的網絡釣魚意識培訓活動,企業可以將攻擊的成功率降低到個位數的百分點。
另一個讓人看到希望的趨勢是:企業開始看到他們的員工在缺少安全意識的同事點擊鏈接之前,就報告了釣魚攻擊活動。報告和點擊時間之間的延長讓企業的事件響應團隊有更多的時間來緩解類似的攻擊。這給了事件響應團隊20分鐘到30分鐘的時間。
在技術方面,虛擬分析環境正在不斷改善,能夠更好地阻止潛在惡意文件,並保護系統免受攻擊。因此,同時采用這兩種方法能夠加強防御,減少風險。“安全的最終目的並不是追求百分之零的風險,並不存在帶來零風險的安全控制。你應該專注於最大的風險所在,並采用縱深防御措施,這樣就能顯著提高安全性。”