網絡釣魚防范的未來是“零容忍”
責編:gltian |2019-01-21 11:02:31網絡釣魚能成功,很大責任在用戶本身。
網絡釣魚沒有得到安全界的足夠重視。網絡釣魚不會登上媒體頭條,安全人員不會撥冗專門調查網絡釣魚。誠然,席卷全球的高影響力惡意軟件變種能夠收獲自己超酷的標志和朗朗上口的昵稱,贏得安全界的重視。但最終,網絡釣魚攻擊才是真正讓大多數公司企業向網絡黑手低頭的源頭,是絕大多數災難性網絡攻擊的起點。
從滲透測試及社會工程師的經驗看,大多數客戶都將網絡釣魚活動處理視為一年只需要走一次的過場,少數高績效企業會多加點兒計算機培訓。大多數情況下,此類測試不過是美國聯邦風險與授權管理計劃(FedRAMP)之類年度合規測試中的一個必要部分。也就是說,企業實際上自上次審計之后就再沒測試過自己的網絡釣魚防御措施。但數字說明一切:90%的數據泄露始于網絡釣魚。網絡釣魚是每家公司面臨的可怕威脅,公司的網絡安全策略卻對之處理不足。
安全人員常會被問到:“網絡釣魚的可接受防護失敗率設為多少比較合適?”(FedRAMP和其他認證也處理可接受失敗率。)多年來,普遍看法和某些專業指南認為低于10%就不為過。但這種認知是誤導性的,無論初衷多好,很多業界專家和咨詢機構給出的實際上是類似的不當(也可以說是“過時”)指導。
InfosecIsland對部分財富500強企業和獨資公司這3年來所承受的網絡釣魚攻擊行動做了數據收集,有一個指標最為突出:62.5%的被侵入率。調查對象包括100多家自認為擁有“優異”網絡釣魚項目的公司——一年一次網絡釣魚防護活動,年復一年相對什么也沒做。雖然網絡釣魚測試項目的質量千差萬別,重要的事實是:一旦某員工點擊網絡釣魚郵件鏈接(數據顯示平均點擊概率26.2%),該員工就有62.5%的概率去下載可致自身主機被攻擊者控制的惡意軟件,或者共享出自身賬戶的有效憑證。一定程度上防止網絡釣魚的安全措施不是沒有,但數據指標已經很清晰了——即便攻擊者沒有入侵你的主機,活躍用戶名/口令對也有一半以上的概率落入惡意黑客之手。
這些數據已給公司企業敲響警鐘。再用“過時”的10%網絡釣魚鏈接點擊容忍率,就有6%的數據泄露概率。以擁有5萬員工的大企業為例。26.2%的點擊率意味著1.31萬次網絡釣魚鏈接點擊。如果該公司落入“平均”中招率(62.5%),那就是8,187次被黑客侵入。即便該公司按“過時”建議秉持10%的“行業標準”釣魚鏈接點擊容忍率,那也是3,125次入侵。
公司企業應努力爭取零點擊。雖然看起來似乎難以達到,但人類向來會為接近目標而自滿:10%的容忍率目標往往意味著12%,2%的容忍目標最后會變成5%,而在62.5%的點擊后中招率面前,2%的容忍率目標依然會將企業網絡暴露在不可接受的風險之中。假設不僅釣鯨活動是重大數據泄露的入口,而是每一次點擊都有可能帶來泄露風險,業界應大聲呼吁“零容忍”。可接受風險的提法應就此終結。
生產生活中不可能剔除人的元素及其帶來的風險。只要還有人參與其中,失誤和問題就免不了。但通過設置更為雄心勃勃的目標并大力提升網絡釣魚測試項目效能來培訓員工,為員工的每一次改善投以獎勵,激勵他們去做正確的事,展示“良好”行為的樣貌,公司企業是可以設立并實現更激進的目標以更好地保護自身的。
雖然網絡釣魚如今不是最有趣最吸睛的網絡新聞話題,但每家公司企業在考慮網絡安全相關問題時不能回避網絡釣魚,應將其列為頭等問題考量。對網絡釣魚的認知應切換到“零容忍”概念,若非如此,網絡釣魚的成功率仍會高到令人吃驚。是用戶的容忍,放縱了企業網絡門戶洞開。