攻击者通常使用各种技术来窃取数据,包括恶意软件、篡改硬件等。然而,旨在窃取企业知识产权的更严重的间谍攻击活动并没有那么简单,攻击者会物理地窃取硬件,以用于对业务部门的员工进行社会工程攻击。根据Verizon公司2013年数据泄露事故调查报告显示,95%的间谍攻击活动涉及网络钓鱼组件,该调查对发现的47000起数据安全事故进行了调查。
对企业来说,这些调查结果凸显出他们的网络安全薄弱环节:即使是部署了近乎无处不在的反垃圾邮件技术,鱼叉式钓鱼攻击仍然能够执行。安全服务供应商ThreatSim首席技术官Trevor Hawthorn表示,这将员工推到了第一线,因为每个用户都可能保护或者感染企业的网络。
“我们的用户做了很多应该做的事情来过滤钓鱼攻击,但他们仍然接收着大量网络钓鱼邮件,”他表示,“在这一点上,最终用户成为防御的最后一个环节。”
钓鱼攻击意识意味着企业需要定期测试员工,对没有通过测试的员工进行意识培训,并教授员工如何正确的对事件作出响应,例如报告网络钓鱼潜在活动。钓鱼攻击服务公司会定期向企业报告其员工在测试中的 ,并提供其他指标,例如其员工报告钓鱼电子邮件的速度。
然而,尽管提高用户安全意识是一个很好的目标,但一些安全专家质疑这是否会带来直接效果,帮助企业免受数据泄露事故。找出将会点击精心设计的钓鱼邮件的用户是一个数字游戏:最终,攻击者将会成功。反恶意软件供应商FireEye的高级全球威胁分析师Kenneth Geers表示:“社会工程的问题是,如果攻击者做足了功课,每个人都会点击。”
虽然目前的数据表明,紧靠提高技术或者意识的方法都有缺陷,这两种方法都能够减少风险。通过定期的网络钓鱼意识培训活动,企业可以将攻击的成功率降低到个位数的百分点。
另一个让人看到希望的趋势是:企业开始看到他们的员工在缺少安全意识的同事点击链接之前,就报告了钓鱼攻击活动。报告和点击时间之间的延长让企业的事件响应团队有更多的时间来缓解类似的攻击。这给了事件响应团队20分钟到30分钟的时间。
在技术方面,虚拟分析环境正在不断改善,能够更好地阻止潜在恶意文件,并保护系统免受攻击。因此,同时采用这两种方法能够加强防御,减少风险。“安全的最终目的并不是追求百分之零的风险,并不存在带来零风险的安全控制。你应该专注于最大的风险所在,并采用纵深防御措施,这样就能显著提高安全性。”