压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

你是否聽過這樣一句話：“攻擊者不是入侵網(wǎng)絡，而是登錄網(wǎng)絡？”但實際上，他們兩者都會。

誠然，攻擊者仍然會利用在面向公眾的設備上發(fā)現(xiàn)的漏洞，但是這種技術(shù)方法并不是獲得受保護網(wǎng)絡訪問權(quán)限的最簡單方法。得益于快速在線身份驗證第二版(FIDO2–Fast IDentity Online2)、多因素身份驗證(MFA)、更長的密碼要求、云技術(shù)、托管設備、加密、更智能的防火墻、端點保護和全局安全情報實踐等安全實施手段的發(fā)展，攻擊者需要一定的專業(yè)技術(shù)能力和膽量才能利用這些漏洞。

此外，在許多情況下，當這些類型的漏洞被發(fā)現(xiàn)時，它們會被打上補丁，因此只能在有限的時間內(nèi)被利用。但是，社會工程學卻無法真正打補丁。它是一種技術(shù)含量更低的獲取初始訪問權(quán)限的方法，因此提供了更低的進入門檻。當然，由于門檻降低，嘗試這種方法的攻擊者數(shù)量也隨之增加，這反過來又增加了攻擊的數(shù)量。

現(xiàn)在，任何人都可以利用一些工具，使某些類型的社會工程學攻擊自動化或半自動化，從而更具成本效益。

根據(jù)Verizon的《2023年數(shù)據(jù)泄露調(diào)查報告（DBIR）》，網(wǎng)絡釣魚和假托（Pretexting）仍然是社會工程學的主要方法，超過50%的社會工程學攻擊使用了假托。在受訪者中，84%的人表示他們的公司至少經(jīng)歷過一次成功的網(wǎng)絡釣魚攻擊，而超過一半（54%）的公司面臨過三次或三次以上的成功攻擊。只要搜索一下《2023年社會工程學黑客攻擊和漏洞》，就能看到成功的社會工程學攻擊案例。2023年，我們在MGM黑客攻擊事件中看到了這一現(xiàn)象的影響。

《福布斯》援引惡意軟件技術(shù)論文網(wǎng)站VX-Underground報道稱，勒索軟件集團ALPPV在2023年利用語音網(wǎng)絡釣魚（Vishing）取得了巨大的效果，并造成了嚴重中斷、財務風險和潛在的持續(xù)聲譽損害，據(jù)報道，所有這些都發(fā)生在一個只需10分鐘的電話中。

美國聯(lián)邦調(diào)查局（FBI）互聯(lián)網(wǎng)犯罪投訴中心（IC3）公布了社會工程學攻擊在網(wǎng)絡釣魚（包括變種）和商業(yè)電子郵件泄露（BEC）方面造成的損害。請注意報告的投訴數(shù)量與經(jīng)濟損失之間的對比。在這五年期間，共收到1,112,195次攻擊，但經(jīng)濟損失達10,335,924,697美元。幾次成功的社會工程學攻擊就會造成巨大的損失。這些數(shù)字還不包括其他形式的社交工程學，如殺豬盤或彩票詐騙。

（請注意，互聯(lián)網(wǎng)犯罪投訴中心的統(tǒng)計數(shù)據(jù)代表收到的投訴。對實際攻擊和金錢損失而言，這些數(shù)字很可能非常低，因為許多人沒有報告。其他消息來源稱，社會工程學攻擊的數(shù)量高達數(shù)億起）。

社會工程學具有吸引力的另一個原因是其應用的多樣性。要知道，社會工程并不僅限于商業(yè)電子郵件泄露、網(wǎng)絡釣魚、語音網(wǎng)絡釣魚、短信詐騙等等。在一次成功的社會工程學攻擊中，攻擊者假扮用戶走進一家商店，激活了一部新手機，然后通過更換SIM卡接管了用戶基于短信的MFA，從而導致手機用戶損失了17,000美元。

作為一名審計師，你肯定希望盡一切可能為客戶提供最好的保證。盡管社會工程學很可能是大型審計中的一個部分，但深入研究這部分審計內(nèi)容將為您帶來更多價值。

現(xiàn)在，讓我們從實用的角度來審視社會工程學審計。這需要從人員、流程和技術(shù)控制的角度來考慮。下列活動能幫助你應獲得證據(jù)或文件。

崗位培訓——檢查通用的、一般的反社會工程學或反網(wǎng)絡釣魚培訓——已經(jīng)不適用于當今的環(huán)境了。攻擊者會利用社交媒體、搜索引擎和企業(yè)網(wǎng)站等公開信息來研究他們的目標。應付賬款會計（AP）可能會成為“賬齡報告”的誘騙目標，而IT支持人員可能會被要求為冒名者重置密碼。人力資源部門的員工可能會被釣魚網(wǎng)站誘騙更改直接存款信息，從而將不知情的員工的下一張支票存入欺詐賬戶，招聘人員也可能在不知情的情況下與攻擊者合作。

問題提示：

1.你是否根據(jù)員工的崗位為他們提供特定的社會工程學的培訓？

2.哪些角色接受了針對其特定角色的培訓？例如，人力資源、IT、應付賬款會計、客戶服務代表、行政助理。

3.以什么形式？通訊、網(wǎng)絡釣魚模擬、網(wǎng)絡研討會、還是面對面會議？

4.網(wǎng)絡釣魚模擬對所有人都是一樣的，還是針對不同部門進行定制的？

5.這些通訊、網(wǎng)絡釣魚模擬或其他培訓多久舉行一次？

流程

流程是人們在遇到疑似社會工程學攻擊時應該知道如何操作或參考的程序。

問題提示：

1.員工是否知道如何報告可疑的網(wǎng)絡釣魚電子郵件嗎？

2.如果在公司地板上或門外發(fā)現(xiàn)一個U盤，員工會采取什么行動？組織中對此是否有相關(guān)指導？

3.為不同崗位重置密碼的流程是什么？IT支持服務臺能否重置IT管理員的密碼？如果有高管打電話要求重新設置密碼，該如何處理？

4.IT管理員在執(zhí)行管理任務時，是否擁有獨立的高級賬戶？與其他員工一樣，他們的主賬戶不應具有管理權(quán)限，以防止意外執(zhí)行惡意文件。

5.安全團隊如何分析網(wǎng)絡釣魚、短信詐騙或語音網(wǎng)絡釣魚？在分段網(wǎng)絡上？沙箱？虛擬機？

技術(shù)

技術(shù)控制有助于防止社會工程學攻擊從一開始就接觸到目標員工，或在接觸到目標員工后試圖阻止惡意行為的發(fā)生。例如，員工打開惡意電子郵件附件或插入未知的惡意USB存儲盤，但沒有管理員權(quán)限，攻擊就無法正常執(zhí)行。

問題提示：

1.端點保護是否到位，以減輕惡意文件執(zhí)行時對源資產(chǎn)造成的損害？

2.如果有人點擊惡意網(wǎng)址，是否有網(wǎng)絡過濾/內(nèi)容攔截可疑或不良域名？如果點擊了潛在的惡意鏈接，是否有警報系統(tǒng)？

3.最小特權(quán)：是否刪除了用戶和計算機中的“管理員權(quán)限”，以防止有人用特權(quán)從網(wǎng)絡釣魚中下載惡意文件并執(zhí)行？

4.公司是否有任何自動反垃圾郵件和隔離控制的措施？

5.相似域名的情況如何？公司購買這些域名是為了保護自己嗎？例如，一家名為yellowbankfirst.com的公司可能有興趣購買或保護 .biz .info .tv .us .org .net等后綴，并可能考慮購買yel1com或yell0wbankfirst.com，甚至yellowbarnkfirst.com等域名，以防止攻擊者購買這些域名并用于社會工程學攻擊。

請記住，那些利用社會工程學作為攻擊手段的攻擊者會使用創(chuàng)造性的戰(zhàn)術(shù)策略。他們不像我們一樣受審計范圍或規(guī)則的約束。在確定審計范圍時，請考慮這一點：審計師在執(zhí)行社會工程學審計時也必須具有創(chuàng)造性。設身處地想想，如果你想利用社會工程學入侵這家公司，會怎么做。

來源：安全牛