在這樣一個(gè)數(shù)據(jù)安全防御系統(tǒng)愈趨復(fù)雜的時(shí)代，攻守雙方同樣面臨著彼此不斷增長的壓力。本文試圖探討針對“人”進(jìn)行入侵的手段，而不是討論以往主要針對網(wǎng)絡(luò)入侵的技術(shù)方法。

針對人的入侵所采用的手段根本稱不上“sophisticated”(高端精密)的技術(shù)。但這些手段看起來簡單，卻通常比較隱秘，并難以被追蹤。因此，萬萬不能忽視這些低技術(shù)含量的攻擊手段帶來的威脅。

以下三種威脅，所有的IT專業(yè)人士都應(yīng)該有所警醒，并采取必要的措施予以應(yīng)對：

一、視覺入侵

視覺入侵，一種通過視覺手段捕獲敏感、機(jī)密和私有信息進(jìn)行非法使用的低技術(shù)含量入侵方法，對于企業(yè)來說，是一種不好對付的風(fēng)險(xiǎn)。畢竟，攻擊者通常只需要一丁點(diǎn)有價(jià)值的信息就可以造成大規(guī)模的數(shù)據(jù)泄露。

設(shè)定場景：第三方不良分子假扮成供應(yīng)商或建筑工人進(jìn)入辦公區(qū)，他獲得了大樓的通行權(quán)，基本上就可以在辦公區(qū)內(nèi)暢通無阻。對他來說，拍下雇員電腦屏幕上顯示的訪問入口和登錄信息是很容易的事。不良分子通過視覺入侵公司后，就有能力滲透到組織的網(wǎng)絡(luò)并發(fā)動(dòng)網(wǎng)絡(luò)攻擊了。

[[125430]]

解決方案：提升工作人員對于視覺隱私價(jià)值的認(rèn)識是打擊這一新興企業(yè)風(fēng)險(xiǎn)的必要措施。策略和規(guī)程中應(yīng)該對設(shè)備和物理文檔進(jìn)行視覺入侵有所應(yīng)對。員工意識和溝通程序與關(guān)于視覺入侵和其他低技術(shù)含量威脅的持續(xù)教育相結(jié)合，也是有幫助的。還有就是可以為員工配備視覺隱私過濾器這樣的工具。

二、內(nèi)部威脅

由雇員行為引起的數(shù)據(jù)丟失應(yīng)當(dāng)是當(dāng)今IT專業(yè)人士主要關(guān)注的問題。這樣的例子越來越多仿佛已經(jīng)司空見慣。最近發(fā)生在索尼影業(yè)數(shù)據(jù)泄露事件，是以和平衛(wèi)士自居的黑客，聲稱利用內(nèi)部人士獲得進(jìn)入公司的權(quán)限，破解了相關(guān)記錄，以拿到的公司數(shù)據(jù)進(jìn)行威脅以滿足他們的要求。

粗心的員工，特別是那些通過自帶設(shè)備或公司發(fā)放設(shè)備訪問公司網(wǎng)絡(luò)的人，可以很容易地造成公司數(shù)據(jù)或知識產(chǎn)權(quán)受損，甚至發(fā)生數(shù)據(jù)泄漏而不為人知。還有一些心懷不滿的員工，同樣也可以對公司的專屬信息構(gòu)成嚴(yán)重威脅。這些員工可能會(huì)受潛在經(jīng)濟(jì)利益的引誘或者心懷惡意。就像索尼影業(yè)事件中的黑客所要求的一樣，與黑客有著相似利益的員工也可能被說服加入他們的行動(dòng)并協(xié)助從內(nèi)部實(shí)施攻擊。

[[125431]]

解決方案：對于粗心的員工，缺乏意識和不夠勤勉在數(shù)據(jù)泄露中扮演著重要因素。IT專業(yè)人員通過確保公司策略和規(guī)程可以幫助降低風(fēng)險(xiǎn)，包括公司數(shù)據(jù)的職業(yè)行為語言，以及努力增加與這些員工的溝通。進(jìn)一步要確保手機(jī)或筆記本電腦等一旦落入不良分子之手的設(shè)備要擁有遠(yuǎn)程擦除功能。對于不滿的員工，要監(jiān)視其可疑行為，尤其是在差評后或試用期內(nèi)。

三、社會(huì)工程

社會(huì)工程入侵，是指不良分子通過利用人類心理而非使用高科技黑客技術(shù)獲取公司系統(tǒng)或數(shù)據(jù)訪問權(quán)限的一種手段。冒充可信供應(yīng)商或IT團(tuán)隊(duì)成員，打電話索要像密碼和電子郵件地址這樣的機(jī)密信息，聲稱用于修正服務(wù)器問題;或者冒充朋友發(fā)送電子郵件邀請員工點(diǎn)擊其中的鏈接，試圖通過“網(wǎng)絡(luò)釣魚”獲得公司網(wǎng)絡(luò)的訪問權(quán)限，就有可能發(fā)生社會(huì)工程入侵。

這些不良分子一旦得逞，就不難深入滲透進(jìn)公司的網(wǎng)絡(luò)和數(shù)據(jù)庫。今天的社會(huì)工程師都非常精明，常常在發(fā)起攻擊之前對公司進(jìn)行研究，熟悉公司的活動(dòng)和行話，以表現(xiàn)自信，讓社會(huì)工程受害人放松警惕繳械投降。

解決方案：提高意識對于打擊社會(huì)工程入侵至關(guān)重要。發(fā)起交流活動(dòng)強(qiáng)調(diào)現(xiàn)實(shí)生活中的例子，幫助員工認(rèn)識到社會(huì)工程入侵真實(shí)存在，并且形式多多樣。鼓勵(lì)員工向IT經(jīng)理報(bào)告可疑行為。

威脅的形式一直以來都在不斷地進(jìn)行進(jìn)化，隨著防火墻、反惡意軟件和其他高科技防御使得公司數(shù)據(jù)庫越來越難以從外部進(jìn)行穿透，黑客將通過對人力資源的入侵來獲取機(jī)密信息。IT專業(yè)人員和領(lǐng)導(dǎo)人士需要馬上行動(dòng)，在公司安全策略中采取相關(guān)防御措施，應(yīng)對這些低技術(shù)含量的威脅。

原文地址：http://www.aqniu.com/neo-points/6212.html