网络安全中的人力资源

社会工程，即为邪恶目的操纵人力资产，是一个复杂而困难的学科。实际上，这是“人类黑客”。在网络攻击中，人力资源往往是第一个受损的。威胁行为者在对其目标进行侦察后，使用所获得的信息获取凭据或其他信息，以允许访问受保护的系统和资源。攻击者通常很幸运，不费什么力气，甚至更少的风险就可以通过猜测获得用户凭据，尽管是以自动的方式。这个问题很难讨论;许多用户“自信”有能力保护自己的证书，所以没有采取适当的网络卫生措施。这导致了几起引人注目的违规事件(见下文的进一步阅读)。

操纵，社交挖掘

社会工程被定义为主要通过人类智能(humint)和开源智能(osint)来操纵人类资产。这些技术与情报机构从外国对手那里收集情报的技术是一样的。大约80%的网络攻击始于社会工程(SE)攻击。这些初始攻击有多种形式，最常见的是非常复杂和有效的网络钓鱼电子邮件。不用太冒险，这些攻击就能起作用并产生真正的效果;那些网络卫生不好的人很容易受到威胁，有时还会反复受到威胁。

另一个肥沃的领域是社交媒体;除了社交媒体固有的影响舆论和行为的能力外，已有证据表明，用户数据可以被挖掘并用于构建配置文件，为攻击者提供丰富的信息，可用于获取凭据或破坏资产。

认知偏见

认知和社会偏见在等式中扮演了重要角色。一种有趣的认知偏差，被称为邓宁-克鲁格效应(Dunning-Kruger Effect)，认为无能的人不知道自己无能，这导致了一种虚幻的、膨胀的自我形象，而这反过来又导致了一种可以轻易妥协的资产;这些资产通常不遵守指示或接受批评，这导致了大量的副作用。他们容易受到奉承或迎合嫉妒或偏见的影响，这种方法已经产生了巨大的效果;这些漏洞提供了一个非常肥沃的攻击面，尤其是在社交媒体上。社会偏见是一个真正的无底洞，有机会用这些倾向来妥协资产。值得注意的是，这些大规模操纵的技术都不是新的——它们已经被用来获得和保持权力很多年了，但现在，随着有价值的资产和关键的基础设施成为奖品，后果是可怕的。

攻击方法

社会工程攻击是最危险的威胁之一。威胁行为者使用社会工程来攻击他们找不到任何技术漏洞的系统。人们普遍认为，这些攻击可以被发现，但不能完全防止。有几种类型的攻击使用不同的方法。这些攻击遵循具有相似阶段的共同执行。最常见的模式包括四个阶段:

1. 侦察:信息收集(侦察)
2. 钩:与目标建立良好的关系
3. 利用:利用信息和/或关系
4. 退出:离开，几乎没有留下袭击的证据。

攻击阶段如图所示。攻击松散地遵循网络“杀伤链”的步骤(参见控制工程， 2019年6月:“了解网络攻击的生命周期”)。

社会工程攻击可以是基于人的，也可以是基于计算机的。基于人的攻击要求攻击者与受害者交互以获取信息，因此不能同时攻击多个受害者。基于计算机的攻击可以在很短的时间内攻击数千人。网络钓鱼邮件是计算机攻击的一个例子。

技术的，社会的，身体的

根据攻击的实施方式，攻击可以进一步分为三类:基于技术的、基于社会的和基于物理的攻击。基于技术的攻击通常通过在线场所进行，例如社交媒体或旨在收集信息的网站。基于社会的攻击通过与受害者的关系进行，并利用情绪和偏见。人身攻击包括“垃圾箱潜水”、“肩滑”或直接盗窃等行为。物理攻击通常与社会攻击相结合，以误导受害者，允许窃取凭证或访问安全区域。

最后，攻击可以定义为直接的或间接的。前一种定义要求攻击者与受害者有接触，通常需要身体接触，如眼神接触、交谈和出现在受害者的工作或家庭空间。直接攻击包括实际窃取文件或实施或长或短的“骗局”。直接攻击通常是电话。伪造的国税局电话是直接社会工程攻击的例子。间接攻击不需要攻击者与受害者接触。恶意软件、分布式拒绝服务(DDoS)、网络钓鱼、勒索软件和反向社会工程是间接攻击的一些例子。

五种常见的攻击类型

社会工程的手段和方法存在多种变体。所有这些都是基于人类的基本弱点;其中包括好奇、需求和贪婪，以及怨恨。熟练的攻击者已经做了研究，并根据目标受害者的弱点和弱点量身定制了攻击。以下是五种最常见的攻击类型:

1. 网络钓鱼:网络钓鱼是SE攻击中最常见的一种，它的名字来源于“电话钓鱼”的做法，其目的是操纵电话网络以获得刺激和免费电话。这些攻击会抛出一个钩子，看看谁或什么东西会咬人。虽然这个词仍然用于描述欺骗性的电话，但到目前为止，网络钓鱼的最大场所是电子邮件。据估计，超过80%的成功恶意软件插入发生在钓鱼电子邮件骗局中。网络钓鱼有几种形式:鱼叉式网络钓鱼——针对个人或设施的有针对性的攻击;捕鲸——对高价值受害者或“鲸鱼”进行非常有针对性的攻击;网络诈骗——利用电话进行攻击(语音和网络钓鱼);SMShishing——短信的使用。这样的例子不胜枚举。如果攻击者已经对预定目标进行了彻底的侦察，网络钓鱼就会非常有效，很难被发现和缓解。
2. 电话窃听丑闻:托词是一种创造虚假和令人信服的场景的艺术，使受害者信任攻击者，几乎愿意放弃他们的个人信息或访问凭证。攻击者使用开源情报(osint)，即在公共文件、互联网上，特别是社交媒体上信息丰富的信息中随时可用的信息。借口有许多形式;提供工作机会，提供陪伴或性服务，免费提供一些东西，只需少量费用——这些骗局历史悠久。最常见的借口是“419骗局”，之所以这么叫，是因为他们违反了尼日利亚刑法第419条。在这些骗局中，你有机会分享遗产，或彩票奖金，或其他一些无意义的东西，只要你能给骗子寄钱，帮助他们“把钱取出来”。虽然它起源于尼日利亚，但有许多变种和模仿者:当心廉价太阳镜骗局。
3. 引诱这些攻击利用了“需求和贪婪”的冲动，如果你点击网站上的链接，就会提供免费的东西。与“标题党”不同，“标题党”旨在提高网站点击率，诱饵攻击用于在受害者的计算机上安装恶意软件。例如，一些看似无辜的网站提供免费的财务规划电子表格供下载。当电子表格加载反向shell程序时，也会让攻击者访问所有受害者随后访问的内容。免费音乐、电影和色情作品都曾被用作恶意软件传播的载体。一种变体是使用咖啡店或停车场附近被感染的USB驱动器，没有经验的用户会出于好奇拿起并插入他们的机器;这是将Stuxnet蠕虫病毒安装到安全的伊朗核设施的方法，否则该设施是密封的。
4. 交换条件:类似于诱饵，这种攻击为受害者提供信息提供了好处。这在社交媒体上尤其有效。一种常见的攻击是假IT人员骗局，这是“假冒”的一个例子。这些攻击并不需要非常复杂，通常是在飞行中进行的，受害者是随机选择的。几年前在英国做的一项研究表明，人们在地铁里随机停下来，会为了一块巧克力、一支便宜的钢笔或其他小饰品(参考)而放弃他们的网络密码。
5. 追尾:这是一种非常常见的物理攻击，攻击者会伪装成另一名员工或快递员，通过“搭载”合法员工的访问权限来访问安全区域。一种常见的方法是让别人让攻击者进来，因为“他们忘记带身份证了”。这种方法用于进入安全区域，还要求攻击者使用借口，让可疑的员工相信他们的诚意和合法性。一种变体是让攻击者“借用”员工的身份证“一分钟”，这样他们就可以去他们的车里取回遗忘的东西或其他东西——导致身份证被复制或损坏。大多数人想要信任。攻击者知道这一点，并充分利用这一点。

五种预防技巧

五种预防技术可以降低人为错误造成网络安全风险的风险。

1. 减小攻击面。这需要通过攻击者的眼睛对设施的IT基础设施进行彻底的分析。关闭开放端口，保护防火墙。将访问关键系统的权限限制为尽可能少的人员。
2. 对关键员工进行彻底的背景调查吗．由于安全中最薄弱的环节是人的资产，合乎逻辑的下一步是尽可能地消除人的因素。这意味着，在可行的情况下，系统地消除人际交往。这听起来像是异端邪说，但我们面临的危机是由粗心大意和一些人未能理解威胁所带来的——事实上，许多人认为网络安全是一种寻找问题的解决方案。这种思维方式让一个熟练的社会工程师会心一笑。
3. 网络安全小组:虽然培训可减轻部分威胁，但建议确定主要员工并接受培训，以监测威胁和海滩，并担任网络安全主任，定期审核保安程序和审查其他员工的网络卫生。这些人必须有权关闭漏洞，并有能力补救违规员工的行为。由网络管理员、安全人员和高级员工组成的“攻击小组”可以迅速采取行动，发现并封锁漏洞，然后进行事后分析，确定漏洞是如何发生的。
4. 基于角色的访问:没有什么能阻止员工在便利贴上写密码，或者把网络安全视为无用的练习。这种心态很难处理，同时允许员工在工作过程中访问网络和资源。划分是处理这个问题的一种方法;基于角色的访问(RBAC)是一种有效的划分方法。要求正式的访问请求，然后在访问关键数据或系统时监视员工是另一种技术。多因素身份验证是有用的，但如果员工不把它当回事，对他们的手机或其他第二种身份验证方式漫不经心，那就没用了。
5. 密码:强制执行智能密码策略可以有效防止员工使用容易猜到的密码，如“1234567”或一直流行的“密码”。

正确的网络卫生，就像个人卫生一样，是可以教的，但我们都知道，并不总是能做到。

人力资源仍然是网络安全中最薄弱的因素。一家公司可以在自动化、培训、主动入侵检测、缓解和预防以及主动对抗措施上花费数百万美元——所有这些都被粗心或不称职的员工所挫败。尽可能去除人为因素可以降低网络安全风险。

丹尼尔·e·卡帕诺是高级项目经理，Gannett Fleming工程与建筑公司，而在控制工程编辑顾问委员会．由内容经理马克·霍斯克编辑，控制工程， CFE媒体与技术，mhoske@cfemedia.com．

关键词:网络安全，人类网络卫生，网络安全培训和技巧

社会工程可以操纵人类来破坏网络安全。

社交媒体认知偏见会削弱人类的防御能力

更低的攻击足迹，定期检查和内部网络安全团队会有所帮助。

考虑一下这个

最顽固的网络安全可以被一个削弱防御的人所挫败。

在线额外

进一步阅读人类网络安全

《欺骗的艺术》凯文·米特尼克著

《社会工程:人类黑客的艺术》，Christopher Hadnagy著

《社交网络的风险》，赛门铁克

邓宁-克鲁格效应

Sweet Deal泄露密码

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。