2021年的滲透測試怎么做
責編:gltian |2021-05-18 16:42:41
?社會工程滲透測試僅僅是防止員工落入網絡罪犯陷阱的一個步驟。
社會工程攻擊不是是否會發生的問題,而是一定會發生。員工終究會接到“緊急”電子郵件或電話,要求他們趕緊轉賬到安全賬戶、立即登錄企業網絡,或者安裝遠程訪問木馬。社會工程攻擊一直以來都是網絡罪犯確保高成功率的不二法門。但新冠肺炎疫情導致的遠程辦公增長,還是將社會工程技術轉變成了前所未有的充滿無限創造力和景氣度的工具。
在家辦公時,員工無法獲得公司安全解決方案提供的全方位防護,只能依賴自己的直覺,而這正是網絡安全團隊最糟的噩夢。意識到這場災難的規模后,很多公司迅速開展員工安全意識培訓。
為評估問題的范圍,Group-IB在一家物流公司開展了社會工程滲透測試項目。測試采用了新冠肺炎疫情相關的釣魚托辭,呈現了員工對此類話題絲毫不減的“熱情”。Group-IB將精心編制的網絡釣魚電子郵件通過貌似歸屬公司IT部門的虛假郵箱地址發送出去。超過半數(51%)的測試對象在虛假VPN門戶登錄頁面上提交了他們的登錄憑證。
??某些社會工程攻擊比其他攻擊更有效
社會工程攻擊測試項目還揭示出,某些攻擊技術比其他技術更加有效。2020年該公司開展的100多個社會工程攻擊測試項目中,語音電話(“語音網絡釣魚”)的有效程度優于內置虛假資源鏈接或可執行附件的網絡釣魚電子郵件。語音網絡釣魚的成功率為37%,因受害者通常不會預期接到此類電話而上鉤率驚人。此外,攻擊者可以調整腳本以匹配受害者行為的變化,并利用他們的情緒。
除了獲取個人或機密信息,語音網絡釣魚攻擊還可用于獲取基礎設施訪問權。近期的一個案例中,Group-IB的滲透測試員以進行安全事故調查為借口,成功說服23名員工在備份門戶(網絡釣魚資源)上進行身份驗證。
語音網絡釣魚結合網絡釣魚(即有通往虛假資源的鏈接,又添加了可執行附件)更是極致高效:2020年75%的社會工程攻擊測試成功突破測試對象防護。至于釣魚托辭,效率最高的是獎金制度的變化(成功率20.6%),IT系統的變化(17.8%)緊隨其后,然后是公司重要活動的公告(16.3%)。
??執行更多測試未必能解決問題
鑒于以上統計數據,你可能會覺得執行更多社會工程滲透測試有助于提高員工的網絡釣魚防范意識。但實際上并非如此,因為滲透測試如果不與其他措施一并實施是沒有效果的。如果你決定攻擊一下自己試試,那你需要做得明智些。
可以參考下面這個案例。X公司時不時對自己的員工開展社會工程攻擊測試。但對基本網絡安全概念的認知還是沒有改善:員工繼續點擊惡意鏈接和滿足攻擊者提出的要求。
于是,這家公司決定正式確立其測試計劃,要用不同的釣魚托辭以相同的形式每年執行四次社會工程攻擊測試。但結果與之前更為隨意的測試并沒有什么不同:員工仍然點擊惡意URL,仍然與滲透測試員溝通,仍然交出機密信息。
而且,測試的有效性很大程度上取決于釣魚托辭的相關性。盡管每次測試的安全意識提升效果都會增加一點點,但在第三季度,基于新冠肺炎疫情的釣魚托辭又讓員工完全忘記了之前收到的所有培訓、指南和建議。原來,該公司壓根兒沒有開展其他任何安全意識提升活動,僅僅只搞了測試。
? 網絡安全培訓缺失了什么
研究還發現,員工并不知道在發現社會工程攻擊后該怎么做。他們不僅需要知道如何識別攻擊,還需要學會怎樣應對攻擊。公司應該培訓員工在任何情況下都不要聯系攻擊者(或合法滲透測試員),而是立即通知安全團隊。但不幸的是,用戶(尤其是小公司里的用戶)往往意識不到這一點。
最重要的是,對自己展開攻擊測試不應該是簡單直白的實戰演習。沒錯,經常培訓員工識別各種潛在社會工程方法、對所有外部邊界服務實施強制雙因子身份驗證,還有采用有效惡意軟件引爆工具,這些都很重要。但更重要的是,培訓和社會工程攻擊測試應該旨在確保公司內部的有效溝通。需要教導員工如何檢測攻擊和及時有效地應對攻擊。他們需要明確的指示和交互式指南(如維基頁面、視頻等等)。
有創意一點。在學習體驗中大膽加入游戲元素,激發和最大化參與度。比如說,Group-IB最近的內部滲透測試中,檢測并恰當報告了社會工程攻擊的員工就收到了成就徽章,可以兌換公司獎勵。
此外,每次滲透測試后召開回顧會議收集反饋也很重要。不討論出了什么問題以及如何改進,就無法汲取教訓做出改善。
把注意力從常規演練和記憶社會工程攻擊檢測指令上移開,轉向解釋現代攻擊都來自何方,以及為什么每名員工都必須參與攻擊檢測。社會工程滲透測試如果缺乏有意識的創造性方法,那怎么培訓都不會有效果的。
來源:數世咨詢