近期，紐約金融服務(wù)管理局發(fā)布了7月15日推特安全事件的調(diào)查報告，全面還原黑客攻擊的細節(jié)與全過程。毫無復(fù)雜技術(shù)的攻擊手段爆出推特平臺存在的驚人安全缺陷。

[[349102]]

1. 事件概要

2020年7月15日，一名17歲的黑客及其同伙入侵了推特(Twitter)網(wǎng)絡(luò)，控制了幾十個大V用戶推特賬戶的控制權(quán)。全世界圍觀了這次公開的網(wǎng)絡(luò)攻擊：幾個小時內(nèi)，黑客接管了多個政客、名人和企業(yè)家的推特賬戶，包括貝拉克·奧巴馬、金·卡戴珊·韋斯特、杰夫·貝佐斯和埃隆·馬斯克，以及紐約州金融服務(wù)管理局監(jiān)管的數(shù)家加密貨幣公司，在推特上發(fā)出 "讓你的比特幣翻倍 "的騙局。面對黑客入侵，推特似乎無能為力。

從貨幣價值上看，黑客竊取了價值超過11.8萬美元的比特幣。但更重要的是，安全事件暴露了全球社交媒體平臺的脆弱性——推特平臺的月活用戶總數(shù)超過3.3億，日活用戶超過1.86億，其中，美國用戶超過3600萬(20%)。簡而言之，推特在我們的溝通交流和新聞傳播方面扮演著核心角色。超過一半的美國成年人 "經(jīng)常 "或 "有時 "從社交媒體獲取新聞。

推特作為一家市值370億美元的上市科技公司，其網(wǎng)絡(luò)卻能被黑客輕松地侵入并獲得內(nèi)部工具的訪問權(quán)限，從而可以接管任何推特用戶的帳戶。

值得注意的是，攻擊推特的黑客并沒有采用網(wǎng)絡(luò)攻擊中經(jīng)常利用的高科技或復(fù)雜技術(shù)——沒有惡意軟件，沒有漏洞利用，也沒有放置后門。黑客使用的基本技巧更類似于傳統(tǒng)的詐騙藝術(shù)：打電話假裝是推特信息技術(shù)部門的人。黑客通過這種簡單的伎倆獲得了非同尋常的訪問權(quán)限，這凸顯了推特網(wǎng)絡(luò)安全方面的漏洞和潛在的破壞性后果。

推特入侵事件的影響遠遠超出了欺詐行為本身：社交媒體被用來操縱市場和干預(yù)選舉，只需使用一個被入侵的賬戶或一組假賬戶就可以了。若危險的"黑客 "獲得同樣的訪問權(quán)(有權(quán)控制任何推特用戶的賬戶)可能會造成更大的危害。

推特安全事件表明，我們需要部署強有力的網(wǎng)絡(luò)安全措施，遏制主要社交媒體平臺成為潛在的攻擊利器，但面對社交媒體帶來的新挑戰(zhàn)，監(jiān)管機構(gòu)顯然還沒有做好準備。

政策制定者關(guān)注大型社交媒體公司的反壟斷和內(nèi)容審核問題，對于具有系統(tǒng)重要性的大型社交媒體公司來說，網(wǎng)絡(luò)安全也應(yīng)當是必備的能力。

2. 推特平臺

從2006年7月起，推特開始運營www.twitter.com。作為社交網(wǎng)絡(luò)和微博網(wǎng)站，用戶可以通過電子郵件和文字向"粉絲"(即注冊接收博文的用戶)發(fā)送 "推文”——不超過280個字(之前是140個字)的簡短博文。推特用戶通過網(wǎng)站或移動應(yīng)用可以關(guān)注其他個人，商業(yè)、媒體、政府或非營利性實體。

推特負責維護內(nèi)部賬戶管理工具，以管理與推特用戶賬戶有關(guān)的各種問題。推特向獲得授權(quán)的員工發(fā)放用戶名和密碼，用于訪問內(nèi)部賬戶管理工具。7月15日發(fā)布在推特上的截圖顯示了黑客訪問的內(nèi)部工具 。

一些內(nèi)部工具含有所有推特用戶賬戶的非公開信息，包括賬戶相關(guān)的電子郵件、電話號碼以及用戶登錄位置的互聯(lián)網(wǎng)協(xié)議("IP")地址。根據(jù)用戶的請求，授權(quán)推特員工會使用內(nèi)部工具更新電子郵件地址，重置遺忘或過期密碼，啟用或禁用多因素身份認證("MFA")——這是一種額外的安全保護，需要依賴自動生成的號碼訪問賬戶。

推特員工還使用內(nèi)部工具，禁止或限制特定推文內(nèi)容或特定用戶賬號發(fā)布推文。這種限制可以是為了滿足某些國家當?shù)胤傻囊螅蛘呤菫榱藨徒淠切┻`反推特規(guī)則的用戶行為。

3. 還原入侵事件真相

攻擊者利用欺詐手段進入推特的網(wǎng)絡(luò)和內(nèi)部應(yīng)用。

2020年7月14日和15日，黑客攻擊了推特。安全事件分為三個階段：第一階段，通過社會工程學(xué)攻擊獲得推特網(wǎng)絡(luò)的訪問權(quán);第二階段，接管具備理想用戶名的賬戶，并出售這些賬戶的權(quán)限;第三階段，接管幾十個高知名度的推特賬戶，并試圖誘騙人們給黑客發(fā)送比特幣。

所有這一切都在大約24小時內(nèi)發(fā)生。

第一階段：通過社會工程學(xué)竊取證書

推特入侵事件始于2020年7月14日下午。當時，至少一名黑客致電了多個推特員工，自稱是推特 IT部門的服務(wù)人員。黑客聲稱致電來幫助解決推特的虛擬專用網(wǎng)絡(luò)遇到的問題。

自從切換為遠程工作后，虛擬專用網(wǎng)絡(luò)問題在推特員工中就很常見。隨后，黑客嘗試把該員工引導(dǎo)到釣魚網(wǎng)站，該網(wǎng)站看起來與合法的推特虛擬專用網(wǎng)絡(luò)網(wǎng)站一模一樣，域名也極其相似。員工在釣魚網(wǎng)站輸入他們的賬號密碼時，黑客會同時把這些信息輸入到真正的推特網(wǎng)站。這種假冒登錄產(chǎn)生了MFA(多因子驗證)通知，要求員工進行身份驗證，部分員工也進行了驗證。

在調(diào)查中，紐約州金融服務(wù)管理局沒有發(fā)現(xiàn)任何推特員工蓄意協(xié)助黑客的證據(jù)。相反，黑客利用員工的個人信息令其相信自己是正當且可信的。一些員工向推特內(nèi)部的欺詐監(jiān)控團隊報告了這些電話，但至少有一名員工相信了黑客的謊言。

第一個被黑客入侵賬戶的推特員工無權(quán)使用內(nèi)部工具來接管推特用戶賬戶。黑客只好利用這個最初的受害者賬戶來瀏覽推特的內(nèi)部網(wǎng)站，從而掌握更多推特信息系統(tǒng)的情報。黑客查看了推特的內(nèi)部網(wǎng)站，其中包含了如何訪問其他內(nèi)部應(yīng)用程序的信息。

7月15日，黑客將目標鎖定在能夠訪問內(nèi)部工具的推特員工身上。他們中的一些人屬于負責全球法律請求的響應(yīng)部門，例如法院命令或內(nèi)容刪除請求，以及負責制定和執(zhí)行關(guān)于防止濫用網(wǎng)絡(luò)行為的政策。

第二階段：盜取推特元老賬號

在獲得接管推特用戶賬號的能力后，黑客首先關(guān)注的是所謂的推特元老("original gangster“ OG)賬號，這些賬號名通常由單個單詞、字母或數(shù)字組成，屬于推特的早期用戶。作為讓后續(xù)用戶垂涎的網(wǎng)絡(luò)信譽標志，任何人只要成功劫持一個元老賬號，就能以數(shù)千美元的價格將它出售。

在2020年7月15日凌晨3點至10點左右，黑客通過在線聊天討論了接管和出售推特元老用戶名以換取比特幣的問題，推特證實了多個賬戶被攻破。

然而很快，黑客就開始以更多的公開手段來證明已經(jīng)成功滲透了推特的內(nèi)部系統(tǒng)。7月15日下午2點前，黑客劫持了更多推特元老賬號，并在推特上將部分賬號的內(nèi)部工具截圖發(fā)給了對應(yīng)賬號的粉絲。

第三階段：高調(diào)的比特幣騙局

經(jīng)過最初的滲透，黑客擴大了入侵推特的行動。

值得注意的是，在這一階段，黑客將攻擊目標鎖定在“大V”賬戶上，也就是推特定義的 "公共利益賬戶"，通常 "由音樂、演藝、時尚、政府、政治、宗教、新聞、媒體、體育、商業(yè)和其他關(guān)鍵利益領(lǐng)域的用戶維護"。

大V賬戶通過藍色的驗證徽章來區(qū)分，"讓人們知道公共利益賬戶是真實的。"作為網(wǎng)絡(luò)社交媒體平臺的精明用戶，黑客可能知道，大V賬戶的推文會讓他們的比特幣詐騙顯得更加正當。

黑客首先操縱了與知名加密貨幣公司和個人有關(guān)的推特賬戶。

下午2點16分左右，黑客劫持了加密貨幣交易商"@AngeloBTC "的賬戶，并在推特上發(fā)布了以下要求提供比特幣的公告 。

隨后，黑客通過"@AngeloBTC "賬戶向多名推特用戶發(fā)送了數(shù)條私信，其中包含比特幣錢包的支付鏈接。

黑客升級推特攻擊行動，改變了詐騙方案，直接轉(zhuǎn)發(fā)被攻陷加密貨幣公司的推文，包含支付請求。 下午3:18左右，黑客攻陷了加密貨幣交易所Binance的賬戶，并發(fā)送了包含比特幣詐騙地址鏈接的推文。

下午3點26分至4點12分左右，黑客劫持了10個與加密貨幣相關(guān)的賬戶(包括政府監(jiān)管的實體Coinbase、Gemini Trust Company和Square公司)并發(fā)送了不同版本的信息。

接下來，攻擊者孤注一擲，將目標鎖定在擁有數(shù)百萬粉絲的大V 推特賬戶上。下午4:17至6:05之間，黑客使用知名人士和著名公司的被入侵賬戶發(fā)送推文，如特斯拉公司的首席執(zhí)行官埃隆•馬斯克、微軟公司的聯(lián)合創(chuàng)始人比爾•蓋茨，說唱歌手和企業(yè)家坎耶•韋斯特(Kanye West)以及媒體人士，企業(yè)家金•卡戴珊•韋斯特，民主黨總統(tǒng)候選人小約瑟夫•拜登，伯克希爾-哈撒韋公司CEO沃倫•巴菲特，不敗職業(yè)拳擊手小弗洛伊德•梅威瑟，以及Uber公司、蘋果公司。黑客還利用一些被入侵賬戶多次重發(fā)相同的比特幣詐騙推文。

考慮到每個高知名度用戶賬戶的粉絲數(shù)量，這些詐騙推文覆蓋了全球數(shù)百萬潛在受害者。黑客通過推特入侵行動竊取了價值約11.8萬美元的比特幣。

4. 用戶的非公開信息被曝光

在推特入侵事件中，有130個推特用戶賬戶被盜。其中有45個賬戶被用于發(fā)送推文。

對于其中7個涉案的推特賬戶，黑客還通過推特的 "你的推特數(shù)據(jù)"(YTD)工具下載了賬戶信息，該工具提供了一個推特賬戶的詳細信息和活動摘要。YTD中的信息包括用戶的個人資料信息、推文、私信、媒體(包括圖片、視頻和附加在推文和私信上的GIF)、賬戶的粉絲列表、用戶關(guān)注的賬戶列表、用戶的通訊錄、推特推斷出的關(guān)于用戶的人口統(tǒng)計信息、用戶在推特上看到或參與的廣告信息等。用戶可以通過登錄賬戶、輸入賬戶密碼、然后提出申請，從而獲取YTD。

黑客利用內(nèi)部工具為7個賬戶申請YTD并下載了數(shù)據(jù)，另有52個賬戶的數(shù)據(jù)被申請但并沒有被下載。推特證實，它直接與所有被下載YTD的賬戶所有者取得了聯(lián)系。這7個賬戶都不是大V賬戶。

推特認為，在130個目標賬戶中，有多達36個賬戶的私信收件箱被黑客訪問，包括荷蘭一名民選官員的大V賬戶。在推特黑客事件發(fā)生后的一周內(nèi)，荷蘭政治家Geert Wilders向多個新聞來源證實，未經(jīng)授權(quán)的私信是從其推特賬戶發(fā)出的。據(jù)推特稱，沒有其他前任或現(xiàn)任民選官員賬戶的私信收件箱被訪問。

5. 推特的回應(yīng)

7月15日上午，幾名員工報告了可疑的登錄和電話，推特才首次意識遭到攻擊。下午3點18分左右，加密貨幣公司的賬戶被接管，推特的內(nèi)部事件響應(yīng)團隊還在調(diào)查這些可疑電話。他們緊急做出了回應(yīng)，但花了數(shù)小時才將黑客從系統(tǒng)中驅(qū)逐。

推特入侵事件在光天化日下發(fā)生，但推特并沒有公開報告任何實時進展。相反，在7月15日的大部分時間里，推特唯一的公開承認是刪除了揭示了其內(nèi)部工具截圖以及與騙局有關(guān)的推文。

下午5點45分左右，推特在發(fā)推稱，它 "意識到發(fā)生了影響推特賬戶的安全事件"，并正在 "采取措施進行修復(fù)" 。

不幸的是，推特在下午6點18分才向用戶證實了上述采取的措施：包括阻止許多大V賬戶發(fā)推特或更改密碼，并對事發(fā)前30天內(nèi)更改過密碼的賬戶進行鎖定。這直接導(dǎo)致多個公共機構(gòu)無法訪問自己的賬戶，例如，國家氣象局無法在推特上發(fā)布龍卷風(fēng)警報，連金融服務(wù)管理局的推特賬戶也有幾個小時無法使用。

在內(nèi)部，推特采取了疾風(fēng)驟雨般的措施，以阻止推特入侵事件帶來的破壞。為了防止黑客進一步滲透其系統(tǒng)或個人賬戶，它嚴格限制或撤銷了員工對其內(nèi)部系統(tǒng)的訪問權(quán)限，導(dǎo)致用戶維護請求的響應(yīng)時間過長。它還制定了激進的驗證流程：每位推特員工(從CEO杰克•多西開始)都必須在視頻會議監(jiān)督下手動更改賬號密碼。

晚上8點41分，即在官宣被入侵后大約三個小時，大多數(shù)賬戶可以恢復(fù)發(fā)推了。

6. 安全缺陷助推黑客成功

推特被黑事件警示我們：即使是初出茅廬的網(wǎng)絡(luò)犯罪分子也會造成難以估量的破壞。黑客的成功在很大程度上是源于推特內(nèi)部網(wǎng)絡(luò)安全協(xié)議的缺陷。

問題是從高層開始的。自2019年12月以來，即入侵事件發(fā)生前7個月，推特就沒有設(shè)立首席信息安全官("CISO")職位。缺乏強有力的組織領(lǐng)導(dǎo)及高層參與是網(wǎng)絡(luò)安全薄弱的常見根源。COVID-19大流行給IT和網(wǎng)絡(luò)安全帶來了一系列新的挑戰(zhàn)，2020年尤其需要強有力的領(lǐng)導(dǎo)。與許多機構(gòu)一樣， 推特在3月份因新冠疫情而轉(zhuǎn)到遠程辦公。這種轉(zhuǎn)變使推特更容易受到網(wǎng)絡(luò)攻擊，放大了現(xiàn)有的弱點。

黑客直接利用了推特向遠程辦公的轉(zhuǎn)變。2020年3月，全面推行遠程辦公的升溫給推特的技術(shù)基礎(chǔ)設(shè)施帶來了壓力，員工在連接虛擬專用網(wǎng)絡(luò)時經(jīng)常出現(xiàn)問題。黑客利用這些問題，假裝從推特的IT部門打來電話詢問虛擬專用網(wǎng)絡(luò)問題，然后勸說員工將自身憑證輸入到近似的假冒虛擬專用網(wǎng)絡(luò)登錄網(wǎng)站。黑客的說法更加可信，并最終成功了，因為推特的員工都使用虛擬專用網(wǎng)絡(luò)進行工作連接，經(jīng)常遇到需要IT部門協(xié)助的虛擬專用網(wǎng)絡(luò)問題，。

黑客依靠簡單策略侵入推特：社會工程。社會工程是指利用欺騙手段誘使個人泄露機密或個人信息，這些信息隨后用于欺詐。最著名的社會工程攻擊類型也許是網(wǎng)絡(luò)釣魚--使用欺騙性的電子郵件來誘騙收件人，例如，打開惡意附件或提供他們的用戶名和密碼。本次黑客使用的是 "電話釣魚"，即通過電話進行的社會工程。網(wǎng)絡(luò)釣魚和電話釣魚是黑客進入網(wǎng)絡(luò)最常用的方法之一。例如，在2020年1月至7月期間，向金融服務(wù)管理局提交的重大網(wǎng)絡(luò)安全事件通知中，約有三分之一涉及網(wǎng)絡(luò)釣魚或電話釣魚。

黑客依靠推特及其員工的基本信息使欺騙行為更加可信。黑客似乎進行了研究，以確定推特員工的基本職能和頭銜，這樣就可以更好地冒充推特的IT部門，電話釣魚中的對話本身也可以提供更多關(guān)于推特內(nèi)部運作的信息。掌握了這些個人信息，黑客成功地讓幾名推特員工相信自己來自推特的IT部門，并竊取他們的身份憑證。

2020年3月之后，推特沒有實施任何重大的補償性控制措施來減輕遠程辦公的高度風(fēng)險，而黑客正是利用了這一點。推特現(xiàn)在正在實施額外的安全控制措施以防止將來發(fā)生類似的攻擊，例如改進MFA、增加網(wǎng)絡(luò)安全意識培訓(xùn)，并于2020年9月底宣布聘請了一名新的CISO。

推特入侵事件的后果表明，推特和其他社交媒體公司應(yīng)當在遭遇網(wǎng)絡(luò)事件之前就未雨綢繆，實施強有力的控制措施，而不是事后亡羊補牢。

7. 事件凸顯社交媒體平臺的安全風(fēng)險

推特和其他大型社交媒體公司深受歡迎，提供了有價值的服務(wù)。通過推特，消費者可以收到來自朋友和熟人的最新近況、來自媒體機構(gòu)的突發(fā)新聞，以及來自政府當局的公共安全和緊急通知。在許多情況下，推文會邀請用戶點擊指向其他可能用來購買商品或服務(wù)的網(wǎng)站鏈接。

推特入侵事件凸顯了推特等社交媒體平臺的相關(guān)風(fēng)險。一個少年及其年輕同伙就可以輕松黑掉推特，并劫持了世界上最知名人士和組織的賬戶。本次的黑客團伙還局限于傳統(tǒng)的欺詐活動，如果是由資源充足的敵人發(fā)起這樣的入侵攻擊，就會通過操縱公眾對市場、選舉等的看法造成更大的破壞。

近年來，推特和其他社交媒體平臺被用來影響金融市場，并造成了破壞性的后果。例如，2013年，在黑客接管美聯(lián)社的推特賬號，并發(fā)推文謊稱白宮的兩起爆炸事件傷害了總統(tǒng)奧巴馬，導(dǎo)致標普500指數(shù)在幾分鐘內(nèi)損失了1365億美元的價值。金融犯罪分子利用社交媒體進行 "拉高出貨 "套路，通過虛假或誤導(dǎo)性的推文暫時抬高股票價格;當他們賣出股票并停止宣傳時，導(dǎo)致股價暴跌會傷害毫無戒心的投資者。多項研究表明，無論推文內(nèi)容是真是假，都會影響交易量和未來的市場活動。

社交媒體也可能擾亂選舉和公共機構(gòu)。2020年7月，國家情報局局長辦公室宣布，俄羅斯和伊朗等國利用社交媒體和傳統(tǒng)媒體的影響措施，干預(yù)民主進程。這與參議院最近的一份情報相符，該報告發(fā)現(xiàn)，俄羅斯在2016年大選期間發(fā)起網(wǎng)絡(luò)影響力行動，旨在破壞民眾對民主機構(gòu)的信心并挑起社會的不和諧。

之所以可能產(chǎn)生這種影響，很大程度上是源于美國人對社交媒體的依賴。2019年初，推特平均月活躍用戶超過3.3億人，到2020年中期，推特平均日活躍用戶超過1.86億人，其中近20%(3600萬)在美國，超過一半的美國成年人 "經(jīng)常 "或 "有時 "從社交媒體獲取新聞。2020年，社交媒體是美國人僅次于新聞應(yīng)用和網(wǎng)站的首要新聞來源之一，尤其是50歲以下的人群。與此同時，公眾對更廣泛的媒體生態(tài)系統(tǒng)的信任度也在下降：2019-2020年的一項調(diào)查發(fā)現(xiàn)，"公眾對國家兩極分化的媒體環(huán)境的信任度很低"，這為錯誤信息的滋生創(chuàng)造了可能。

鑒于社交媒體平臺在全球交流中的重要性以及以往的攻擊歷史，類似推特入侵的事件暴露了社交平臺對于選舉、金融市場以及國家安全穩(wěn)定性和完整性的風(fēng)險。

8. 網(wǎng)絡(luò)安全優(yōu)秀實踐減輕風(fēng)險

正如推特入侵事件所示，網(wǎng)絡(luò)安全缺陷會造成嚴重后果。下面的做法可以幫助保護消費者和相關(guān)行業(yè)免受類似的黑客攻擊，并將大大降低推特入侵事件發(fā)生的可能性。

1. 領(lǐng)導(dǎo)力

鑒于網(wǎng)絡(luò)安全的重要性，需要從高層開始定調(diào)。領(lǐng)導(dǎo)力至關(guān)重要，執(zhí)行層的領(lǐng)導(dǎo)應(yīng)當對網(wǎng)絡(luò)安全負責。金融服務(wù)管理局的網(wǎng)絡(luò)安全法規(guī)要求公司必須設(shè)立CISO，這是有充分理由的。CISO應(yīng)該有足夠的獨立性來推動網(wǎng)絡(luò)安全協(xié)議的改進。此外，對于獲得來自高級管理層和整個組織對網(wǎng)絡(luò)安全措施的認同方面，CISO發(fā)揮著重要作用。若不設(shè)立CISO，則會顯得高層領(lǐng)導(dǎo)并不重視網(wǎng)絡(luò)安全。

2. 訪問管理和身份驗證

推特的訪問管理和身份驗證未能阻止初出茅廬的黑客獲取強大的內(nèi)部工具。訪問控制是限制誰可以訪問或使用資源的安全技術(shù)或措施。根據(jù)最佳實踐，金融服務(wù)管理局的網(wǎng)絡(luò)安全法規(guī)要求每個用戶只能訪問其工作所需的系統(tǒng)和應(yīng)用程序。為適應(yīng)角色和職責的變化，應(yīng)當對訪問定期重新認證，。

推特確實有一些訪問控制措施，但還不足以阻止入侵事件的發(fā)生。推特限制了對內(nèi)部工具的訪問權(quán)限，但仍有超過1000名推特員工使用這些工具來履行工作職能和職責，如推特用戶賬戶維護和支持、內(nèi)容審查以及對違反推特規(guī)則的報告做出回應(yīng)。在入侵事件發(fā)生后，推特立即減少了可使用內(nèi)部工具的員工數(shù)量。

認證需求也應(yīng)根據(jù)風(fēng)險進行校正。例如，對于高風(fēng)險的應(yīng)用和功能(如推特的內(nèi)部工具)，認證要求應(yīng)當更加嚴格。對關(guān)鍵功能的訪問應(yīng)該要求MFA。對于高風(fēng)險功能的另一個可能的控制措施是，要求在完成操作之前必須由另一名員工進行認證或批準。如果攻擊者只攻破了一名員工的訪問權(quán)限，上述要求可以減少損失。

MFA至關(guān)重要，但并非所有的MFA方法都生而平等。推特使用了基于應(yīng)用的MFA，它向員工的智能手機發(fā)送認證請求。這是一種常見的MFA形式，但是可以被規(guī)避。在推特入侵事件中，黑客在登錄時通過說服推特員工進行基于應(yīng)用的MFA認證，從而繞過了MFA。最安全的MFA形式是物理安全密鑰，或者說是硬件MFA，即使用插入電腦的USB密鑰來認證用戶。這種類型的硬件MFA可以阻止黑客，推特現(xiàn)在正在實施它來代替基于應(yīng)用的MFA。

3. 員工教育和培訓(xùn)

黑客通過社會工程學(xué)攻擊愚弄推特員工從而獲得成功。這類攻擊可以針對組織中任何部門的員工，而第一道防線是確保所有員工意識到威脅，包括旨在利用遠程工作這種新常態(tài)的社會工程技術(shù)。例如，金融服務(wù)管理局的網(wǎng)絡(luò)安全法規(guī)要求所有員工進行定期的網(wǎng)絡(luò)安全意識培訓(xùn)。除了為培訓(xùn)設(shè)立指標，機構(gòu)還應(yīng)該定期進行網(wǎng)絡(luò)釣魚和電話釣魚演習(xí)，以測試應(yīng)對此類攻擊的應(yīng)對能力。

組織應(yīng)進一步建立統(tǒng)一的標準，用于信息溝通和對員工進行相關(guān)教育。例如，制定測試金融機構(gòu)安全和健全性監(jiān)管標準的聯(lián)邦金融機構(gòu)考試委員會，推薦在客戶上網(wǎng)獲取產(chǎn)品和服務(wù)時，開展網(wǎng)絡(luò)安全衛(wèi)生教育。

以下這些原則也適用于員工，特別是當其訪問雇主的虛擬專用網(wǎng)絡(luò)時或使用自己的設(shè)備而不是雇主發(fā)放的設(shè)備時。

• 以簡潔易懂的方式解釋公司將如何與員工進行聯(lián)系，來調(diào)查可疑的賬戶活動(例如，公司不會要求員工通過電話或電子郵件提供其登錄憑證)。
• 員工在使用機構(gòu)的遠程訪問服務(wù)時應(yīng)采取的建議措施和謹慎做法。
• 為減輕詐騙詭計帶來的風(fēng)險，技術(shù)和業(yè)務(wù)方面可行的建議措施。
• 提供當雇員發(fā)現(xiàn)可疑的賬戶活動時與機構(gòu)聯(lián)系的方法。

4. 安全監(jiān)控

除了確保正確的人在正確的時間有正確的訪問權(quán)之外，最佳實踐是始終記錄和監(jiān)測其使用情況。安全信息和事件管理(SIEM)系統(tǒng)不僅記錄使用情況，而且收集、匯總、分析和關(guān)聯(lián)來自離散系統(tǒng)和應(yīng)用程序的信息，并利用這些信息來識別異?；顒樱▋?nèi)部威脅和惡意行為者。

如果推特擁有強大的安全監(jiān)控程序，它就能近乎實時地檢測到異?；顒?，并迅速做出響應(yīng)(或根據(jù)風(fēng)險主動終止會話)。安全團隊應(yīng)該使用SIEM系統(tǒng)來監(jiān)控網(wǎng)絡(luò)活動，并對威脅警報進行跟蹤。

無論采用哪種日志管理方法，機構(gòu)都應(yīng)該制定流程來收集、匯總、分析和關(guān)聯(lián)安全信息。安全策略應(yīng)該定義安全和操作日志的保留期限。機構(gòu)維護事件日志以了解安全事件或網(wǎng)絡(luò)事件。監(jiān)測這些事件日志，發(fā)現(xiàn)是否存在異常，并將這些信息與其他信息源進行比較，可以增強機構(gòu)掌握趨勢、快速應(yīng)對威脅和改進報告的能力。