人為錯誤會導致網絡安全出現那些問題？

人為錯誤會導致網絡安全出現的問題如下：

• 網絡釣魚：網絡釣魚是社會工程攻擊中最常見的攻擊，它是從“電話釣魚”中得名的，“電話釣魚”的目的是操縱電話網絡。這些攻擊拋出吊鉤，看誰會上鉤。盡管該術語仍用于描述欺騙性電話，但迄今為止，最大的網絡釣魚場所是電子郵件。據估計，在成功插入惡意軟件的攻擊中，超過80％的都是通過網絡釣魚電子郵件詐騙進行的。網絡釣魚有幾種形式：魚叉式——對一個人或一個設施的針對性攻擊；捕鯨——對高價值受害者或“鯨魚”的針對性攻擊；電話釣魚——使用電話（語音和網絡釣魚）進行攻擊；短信釣魚——使用文本消息進行攻擊。令人擔心的是，如果攻擊者對預期目標進行了徹底的偵查，則網絡釣魚可能非常有效，并且難以檢測和緩解。

• 假托：假托（Pretexting）是創造虛假和令人信服的情境，使受害者信任攻擊者并幾乎愿意給出其個人信息或訪問憑據。攻擊者使用開放源代碼情報，即公開文件，無論是在互聯網上容易獲得的信息，還是在社交媒體中獲得的豐富信息。這些騙局讓您相信有機會分享遺產、中彩票或其它“天上掉餡餅”的說法，前提是您需要給騙子匯錢來幫助他們“把錢取出來”。

• 誘餌：如果您單擊網站上的鏈接是為了獲取一些免費的東西，那么你的貪心很可能會被一些人利用。這與旨在提高網站點擊率的“點擊誘餌”不同，誘餌攻擊會在受害者的計算機上安裝惡意軟件。例如，看起來無辜的網站提供免費的財務計劃電子表格供下載。當電子表格加載反向shell 程序時，攻擊者就可以訪問所有受害者。另外一種形式是使用被感染的USB 驅動器，這些驅動器被遺留在咖啡店或停車場周圍，沒有經驗的用戶出于好奇而拿起它們，然后插入他們的計算機。這也是將Stuxnet 蠕蟲病毒安裝到伊朗核設施中的方法，否則的話該設施被保護的密不通風，根本無法接近。

• 等價交換：類似于誘餌，此攻擊通過為受害者提供好處以換取信息。這在社交媒體中特別有效。一種常見的形式是冒充公司內部技術人員或者問卷調查人員，要求對方給出密碼等關鍵信息。這些攻擊不必非常復雜，并且通常是即時進行的，受害者是隨機選擇的。幾年前在英國進行的一項研究表明，人們在地鐵中隨意停下，會為換取一塊巧克力或一支廉價筆或其它小裝飾品而泄露他們的網絡密碼。

• 尾隨：尾隨是一種非常常見的物理攻擊，攻擊者冒充其他員工或送貨員，利用合法員工的訪問權限來訪問安全區域。一種常見的方法是要求某人帶攻擊者進入，因為他們“忘記帶通行證了”。此方法用于訪問安全區域，并且還要求攻擊者編個借口，說服起疑心的員工以獲得信任和合法性。一個攻擊的變種是，攻擊者謊稱借用員工的通行證“一分鐘”，以便他們可以去車上取回被遺忘的東西或其它事項，從而導致身份證被復制或損壞。大多數人都愿意信任別人，攻擊者知道這一點并充分利用。

可以降低導致網絡安全風險的人為錯誤的預防措施如下：

• 減少攻擊面：這就需要從攻擊者的角度對設施的IT 基礎架構進行徹底的分析。關閉打開的端口，并保護防火墻。將對關鍵系統的訪問限制在盡可能少的人員范圍內。

• 對關鍵人員進行全面的背景調查：人力資源是安全環節中最薄弱的，下一步最合乎邏輯的做法是盡可能消除潛在的人為因素。這意味著在可行的情況下，系統地消除人與人之間的互動。這聽起來有點奇怪，但我們面臨的危機有時就是由某些粗心的員工或未能理解攻擊的員工而引起的。實際上，許多人認為網絡安全是尋找問題的解決方案，這種思維使熟練的社會工程師面露微笑。

• 網絡安全團隊：建議加強對關鍵人員進行培訓以監控威脅和泄露，并設置網絡安全專員，由其定期審核安全程序并審查其他人員的網絡衛生狀況。這些人必須有權關閉漏洞，并且有能力及時糾正問題員工的行為。由網絡管理員、安全人員和高級員工組成的網絡安全“反擊團隊”可以迅速采取行動，以檢測并密封漏洞，然后進行事后檢查以確定漏洞是如何發生的。

• 基于角色的訪問：無法阻止員工在便箋上寫密碼或將網絡安全視為無用的行為。在允許員工在工作過程中訪問網絡和資源時，這種心態很難處理。基于角色的訪問是解決問題的一種有效方法。另一種技術是要求正式的訪問請求，然后在訪問關鍵數據或系統時監視員工。多因素身份驗證很有用，但如果員工沒有認真對待它，并且對電話或其他第二種身份驗證方法不注意，也是無濟于事。

• 智能密碼：強制執行智能密碼策略可以有效防止員工使用容易猜到的密碼，例如“1234567”或流行的“password”。培訓員工養成正確的網絡衛生習慣和網絡安全意識。很多企業可能在自動化系統、主動入侵者檢測、緩解和預防以及主動對策方面花費數百萬美元用于提升企業安全性，但這一切可能被粗心或無能的員工輕易破壞。盡可能消除人為因素可以有效降低網絡安全風險。