软件安全专家Hugh Thompson指出,企业往往过于依赖安全技术,而忽视“人类防火墙”对安全的影响。在接受SearchSecurity.com采访时,Thompson解释说社会工程攻击让员工很难辨别合法邮件和那些诱骗用户透露敏感数据的邮件。
数据丢失防护、Web过滤和反恶意软件技术能够提高安全保护,但Thompson表示,企业应该致力于在企业内部营造一种安全意识的文化,这可以让员工成为安全保护的最后一道防线。
IT安全团队需要平衡风险缓解工作和员工工作效率,确保员工可以使用他们喜欢的工具来完成工作,同时保护敏感数据的安全。Thompson表示,从数据管理的角度来看,文件共享服务、网络邮件、社交网络和其他在线协作工具带来了有趣的挑战。
Thompson目前是网络安全厂商Blue Coat公司的首席安全战略师兼高级副总裁,他同时也是RSA大会程序委员会主席。他还是安全意识和安全编码培训公司People Security的首席安全战略师。
在数据泄露事故中,我们经常能够看到社会工程的身影。在某些情况下,攻击者甚至不需要利用软件漏洞,他们只需要诱骗员工透露其账户登录信息,就能入侵系统。这方面的用户教育很失败吗?
Hugh Thompson:这正是目前安全领域的关键问题,即安全的人员因素。如果你是一名试图入侵某企业系统的攻击者,你是愿意花几周时间甚至几个月的时间来寻找他们系统中的特定未知漏洞,还是尝试社会工程攻击?通过社交网站查找特定员工的信息,然后给这些员工打电话或者发送电子邮件。你当然会选择后者,因为它更加容易。
现在的问题是,大多数人每天在选择信任或者不信任某些事物时,并没有考虑到安全风险问题。而且这种信任/不信任的选择变得比以前更加复杂。在过去,我们很容易判断某个人是否在骗你。而现在,这些通过电子邮件或者网站的欺骗信息非常枯燥,就像我们每天必须处理的所有其他枯燥的东西一样,我们越来越难以分辨攻击信息和合法信息。我认为我们碰到这个信任危机问题是因为,即使是受过教育、具有安全意识且中度偏执的人,也更难判断好网站和不良网站或者合法邮件和不良邮件。我认为,教育仍然很重要,但企业还需要部署工具来帮助用户做出判断。
IT安全团队未能创造一种安全文化吗?在企业内发展一种安全意识的文化需要很长时间吗?
Thompson:在安全行业,这是个有争议的话题。我是一个乐观者,也是教育者,我的观念是对于安全问题,人们的防御能力是可以提高的。如果给他们提供合适的教育机会,即在合适时间进行合适培训,那么,随着时间的推移,他们面对攻击时,能够变得更灵活更具防御性。但如果你去跟一些首席安全官交谈,他们可能会告诉你他们糟糕的培训经历,随后他们放弃了,而只是保证合规工作。当发生这种情况时,这意味着你的企业已经走上一条危险的道路。
这条危险的道路是什么样的?
Thompson:不努力提高员工的安全防范意识的话,你将完全依赖于第三方工具或者加强环境中的安全控制。我认为现在这种人类防火墙变得越来越重要,这种防火墙意味着当你点击或安装从未见过的浏览器插件或事物时,你脑海中会出现的想法和安全意识。另外,你的企业和风险之间的安全控制非常重要,它们管理web,同时我也认为,你脑子里的安全意识也变得越来越重要,它们决定信任/不信任。
想一想像DLP这样的技术,这种技术非常善于解决特殊用途的问题,以及查找结构化数据以确定这些数据是否将被发送到不对的位置。但你可以假设有一些非常想得到这些数据(例如社会安全号码等)的攻击者,他们意识到某种DLP软件正在环境中运行。他们可能会创造某种高度定制化的社会工程攻击,发送纸质的邮件给受害者,要求他们填写表格中的信息,然后通过邮件寄回。这不仅不需要正面攻击DLP系统,甚至不需要接触这个技术。面对这种社会工程攻击的危害,我们有必要打造人类防火墙,这是我们在安全行业中最大的挑战之一。