“思科被黑”凸顯社會工程攻擊的危險性

近日，API通信提供商Twilio和知名網絡技術巨頭思科（CISCO）先后遭遇黑客社會工程攻擊并發生數據泄露，兩家公司的員工成了黑客的突破口，這再次凸顯了人員依然是當今網絡安全最難以修補的“漏洞”。

人依然是最大漏洞

在8月初針對Twilio的攻擊中，黑客實施了短信網絡釣魚詐騙，冒充Twilio的IT部門并警告員工他們的密碼已過期或需要更改。

單擊該鏈接的員工被帶到看似Twilio登錄頁面的釣魚站點，黑客在該頁面中獲取了Twilio員工的登錄憑據，后來他們使用這些憑據訪問公司的內部系統并查看了125位客戶的數據。

而在本周四思科披露的數據泄露事件（發生于2022年5月24日）中，“閻羅王”勒索軟件組織聲稱竊取了思科2.8GB數據。在這次攻擊中，攻擊者首先控制了一名員工的個人谷歌賬戶（用戶將該賬戶的登錄憑據同步到瀏覽器中）。

隨后，攻擊者冒充各種受信任組織對該員工進行了一系列語音網絡釣魚攻擊和MFA疲勞攻擊——大量發送MFA驗證通知直至該員工（誤操作或不小心）確認了其中一次驗證請求，從而使攻擊者能夠訪問VPN和關鍵內部系統。

Twilo和思科的數據泄露事件都表明，企業不能僅僅依靠員工來識別日益復雜的社會工程騙局，即便這些員工本身也是IT技術人員，即便目標企業自身也是（像思科這樣的）網絡安全技術巨頭。

Forrester安全和風險高級分析師Allie Mellen表示：“這兩次攻擊表明，社會工程仍然是獲取組織訪問權限的最有效方法之一，并且任何組織都可能成為攻擊目標。”

“最終，人類永遠都是攻擊的目標。如果用戶收到一封來自看似可信來源的電子郵件或短信，其中又包含緊急信息，用戶很可能會不僅安全審查就點擊鏈接。”Mellen說道。

基于密碼的安全性非常脆弱

攻擊者傾向于使用網絡釣魚詐騙等社會工程攻擊的主要原因之一是：這些工具易于使用且可有效收集登錄憑據。

研究表明，19%的網絡安全事件是被盜或泄露的憑據造成的，16%的安全事件是網絡釣魚造成的，這表明基于密碼的安全性在很大程度上無法有效阻止威脅參與者。

同樣，沒有任何防病毒軟件或“先進工具”可以防止員工犯錯誤并泄露敏感信息。

除了需要有針對性地強化安全意識培訓等“人的因素”解決方案外，企業越來越需要重新思考數據訪問控制。

因為數據統計顯示，企業平均每年要遭遇700次社會工程嘗試，即使是嚴格遵守安全最佳實踐的員工也無法避免犯錯。畢竟，攻擊者只需誤導員工一次即可成功獲取他們的登錄憑據。

同時，雖然類似FIDO聯盟開發的無密碼身份驗證解決方案將有助于消除對憑據的依賴，但企業不應僅依賴這些措施和MFA來保護其IT環境。（編者：在思科的案例中，缺乏安全意識和警覺的員工被攻擊者用社工手法繞過了MFA機制。）

重新思考數據訪問控制

引入嚴格的數據訪問控制，強制執行最小特權原則是降低社會工程威脅帶來的風險水平的關鍵。如果員工只能訪問完成日常職責所需的基本信息，就能將更少的數據置于風險之中，同時也意味著員工不再是黑客攻擊中的顯著目標。

數據隱私基礎設施提供商Piiano的聯合創始人兼首席執行官Gil Dabah指出：“網絡釣魚攻擊正在上升。適當的訪問控制可以將在憑據被盜時泄露的被盜數據量降至最低。”

“企業中的普通人員其實沒有實際使用案例需要瀏覽大量原始客戶數據：因此，高級數據訪問控制可以限制數據暴露。”Dabah說。

在實際建議方面，Dabah表示，企業應盡可能遮蔽個人信息，實施數據庫訪問速率限制，并使用異常檢測技術來監控用戶訪問是否存在惡意行為的跡象。

專注于數據訪問控制不僅可以非常有效地減少攻擊者可竊取的信息量，而且還可以減輕員工的一些壓力。