在互联网安全保护领域首屈一指的Check Point 软件技术有限公司最近公布一项调研报告,结果显示48%受访企业曾遭受社交工程攻击,在过去两年中受袭的次数达到25次或以上,每次社交工程攻击事件导致企业蒙受25,000美元至100,000美元以上的损失。Check Point 的这份题为《信息安全社交工程风险》的报告指出,网络钓鱼及社交网络工具是社交工程攻击最为普遍的来源。因此,该份报告建议企业应当执行结合技术与用户意识的安全策略,才能将攻击频率以及损失降到最低。
通常社交工程攻击的目标是拥有特殊知识或有权查看敏感信息的人士。如今黑客为了找到企业内部的脆弱环节,会利用各种技术和社交网络应用,来收集员工个人的私人以及职业信息。Check Point 的这份报告访问了全球850多名信息科技和安全专家,其中86%的受访企业认为社交工程是一个日益加剧的隐患,大部分的调查对象(51%)认为获取利益是攻击的主要动机,其次是获得竞争优势以及报复。
Check Point安全产品副总裁Oded Gonda表示:“接近50%的受访企业知道它们曾受到社交工程攻击,而且有不少攻击更不为人知,这显示社交工程攻击的影响不容忽视。”
社交工程攻击主要是利用个人的弱点,而Wed 2.0以及移动计算的流行也使获取个人信息变得更为容易,同时也为社交工程攻击创造了新的切入点。对企业安全政策不太熟悉的新员工(60%)和合约商(44%)被认为是最容易受到社交工程影响的群体,此外,助理、人力资源和信息科技部门员工也容易受到社交工程攻击。
Gonda表示:“人员是安全流程中的关键部分,他们可能会被犯罪份子误导犯错,从而导致恶意软件感染以及无意识的数据丢失。很多企业并没有对用户参与给予太多的关注。实际上,员工应当是第一道防线。提高用户安全意识的一个好方法是让他们参与安全流程,支持他们实时的去防止和补救安全事件。”
为达到现代信息技术环境所需的安全保护要求,安全需把相互独立的技术整合成一个有效的业务流程。凭借Check Point 3D安全方针,企业能够掌握及实施一个超越技术层次的安全蓝图,并通过让员工参与安全流程以达到教化的目的。Gonda表示:“虽然员工会犯错,导致企业内部违规或者带来威胁,但同样他们也可以在降低风险方面发挥巨大作用。”通过Check Point独一无二的UserCheck™技术,企业可在员工访问公司网络、数据以及应用程序时提醒和教育他们遵守企业政策,帮助企业把社交工程技术发生的频率、风险以及损失降到最低。
报告的调研结果摘要如下:
• 社交工程攻击的确带来危险:86%的信息技术及安全专家已经意识到社交工程所带来的各类风险。近48%的受访企业表示,在过去两年中曾遭受超过25次的社交工程攻击。
• 社交工程攻击带来严重经济损失:受访者估计每次安全事故会导致25,000美元至超过100,000美元不等的损失,这其中包括业务中断、客户流失、收入减少和品牌受损等。
• 最常见的社交工程攻击来源:网络钓鱼邮件(47%),其次是会暴露个人和职业信息的社交网络(39%)以及不安全的移动设备(12%)
• 获取利益是社交工程攻击的主要动机:获取利益被认为是社交工程攻击的最主要动机,其它动机依次是:获得专有信息(46%)、取得竞争优势(40%)以及报复(14%)。
• 新员工最易受到社交工程攻击影响:受访者们认为新员工是易受社交工程威胁的高危群体。其它依次为合约商(44%)、行政助理(38%)、人力资源人员(33%)、商业领袖(32%)和信息技术人员(23%)。无论员工在企业中担任何种职务,对其进行适当培训并培养其用户意识都是安全政策中的重要一环。
• 缺乏对预防社交工程危害的主动培训:针对社交工程攻击,只有19%的企业有这方面的培训或部署安全政策,而34%的企业没有任何计划。
《社交工程信息安全的风险》调研于2011年7月至8月期间进行,采访了850多名来自美国、加拿大、英国、德国、澳大利亚和新西兰的信息技术和安全专家。此次调研的受访代表来自不同规模组织,横跨多个行业包括金融、工业、国防、零售、医疗保健和教育机构。如需了解更多社交工程攻击或分享个人观点,请访问http://www.checkpoint.com/surveys/socialeng1509/socialeng.htm,便可获得完整的调研报告并参与在线调查。
Gonda总结道:“安全不仅是信息技术管理员的责任,也是每位员工职责中不可或缺的一部分。现在行业正面临着越来越复杂和具有针对性的威胁,用户的参与会使安全技术更智能、更有效。”