通常社交工程攻击的目标是拥有特殊知识或有权查看敏感信息的人士。如今黑客为了找到企业内部的脆弱环节,会利用各种技术和社交网络应用,来收集员工个人的私人以及职业信息。Check Point 的这份报告访问了全球850多名信息科技和安全专家,其中86%的受访企业认为社交工程是一个日益加剧的隐患,大部分的调查对象(51%)认为获取利益是攻击的主要动机,其次是获得竞争优势以及报复。
Check Point 的一份题为《信息安全社交工程风险》的报告指出,网络钓鱼及社交网络工具是社交工程攻击最为普遍的来源。因此,该份报告建议企业应当执行结合技术与用户意识的安全策略,才能将攻击频率以及损失降到最低。
Check Point安全产品副总裁Oded Gonda表示:“接近50%的受访企业知道它们曾受到社交工程攻击,而且有不少攻击更不为人知,这显示社交工程攻击的影响不容忽视。”
社交工程攻击主要是利用个人的弱点,而Wed 2.0以及移动计算的流行也使获取个人信息变得更为容易,同时也为社交工程攻击创造了新的切入点。对企业安全政策不太熟悉的新员工(60%)和合约商(44%)被认为是最容易受到社交工程影响的群体,此外,助理、人力资源和信息科技部门员工也容易受到社交工程攻击。
Gonda表示:“人员是安全流程中的关键部分,他们可能会被犯罪份子误导犯错,从而导致恶意软件感染以及无意识的数据丢失。很多企业并没有对用户参与给予太多的关注。实际上,员工应当是第一道防线。提高用户安全意识的一个好方法是让他们参与安全流程,支持他们实时的去防止和补救安全事件。”
为达到现代信息技术环境所需的安全保护要求,安全需把相互独立的技术整合成一个有效的业务流程。凭借Check Point 3D安全方针,企业能够掌握及实施一个超越技术层次的安全蓝图,并通过让员工参与安全流程以达到教化的目的。Gonda表示:“虽然员工会犯错,导致企业内部违规或者带来威胁,但同样他们也可以在降低风险方面发挥巨大作用。”通过Check Point独一无二的UserCheck?技术,企业可在员工访问公司网络、数据以及应用程序时提醒和教育他们遵守企业政策,帮助企业把社交工程技术发生的频率、风险以及损失降到最低。
