网络现实安全之困,来自人的攻击

我是一个不善言辞的人,博客也只是随便写写画画之用,正好赶上修养期间,看到了这篇发表在网络安全新媒体上的文章,所以也就有了我这篇个人见解文。

企业安全意识培训调查:哪种网络钓鱼邮件具有接近100%的点击率?

看到下面有人留言, 这方面的资料不好找, 社会工程学钓鱼不好防御, 如何能在最小资源的情况下做到让整体人员的安全意识提升?其实也难怪他会有这方面资料不好找的感觉,但是在网络上,有关钓鱼和反钓鱼的信息有很多,那他为什么还会有这种感觉呢? 其实我认为,主要原因有几大方面, 1. 这类文章众多, 但基本都不全面,存在漏掉部分或者错误部分,让人难以分辨。 2. 大多分析都过于片面化,有价值的钓鱼攻击一些企业单位或是为了体现自身技术水平或是有其他原因,往往会忽略钓鱼攻击的前因后果,只注重附件/可执行文件, 不注重它的文本内容。 3. 钓鱼科普内容缺乏趣味性,没有考虑到整体受众群还有非技术人员,就造成了技术人员认为太低级不屑于认真看,非技术人员认为太技术应付草草了事。 4. 钓鱼培训后往往只注重领导汇报结果, 极少会有科普的后期验证。 5. 内部钓鱼培训不管是几步走原则,往往只会进行一次或者两三次,忽略了人的记忆是有限制和网络是一直在发展的问题。结合以上, 就造成了培训人员认为难以培训做几, 受众群则认为你这是在浪费我的时间, 最终结果是黑客攻击成功,培训人员因为办事不力被开除。

那么, 如何看待这个问题呢?

首先咱们从上面的这篇文章来看, 这篇文章的大概意思是,每年进行一次的反钓鱼培训并不能真正解决钓鱼攻击带来的问题,国外的几个国家是如何进行钓鱼培训的, 国外的一些个人和企业对钓鱼攻击的态度。大概可以这么理解,但是这样并不能让真正有需求的人去了解如何进行反钓鱼培训,最多只能让人知道,存在网络钓鱼攻击这个事物。

那么, 说到正题上, 如何正确进行这方面的培训呢? 我认为, 完全结合自身(企事业单位)进行的钓鱼培训的成果是0%,因为钓鱼攻击是”广义”上的攻击,主要偏向人, 结合大的整体就让这个天平偏向了”单位”。所以,大部分以这个出发点进行的培训大多并不能带来多好的结果。(以人为出发点的防御要结合人,以系统为出发点的防御要结合系统单位,两者应该分开。)

一: 在如何进行反钓鱼培训前, 应该要尊重一个事实, 那就是, 大多数重要系统由外到内的攻击成功要么是来自钓鱼攻击,要么是钓鱼攻击打头阵,而不是像电影里演的那样, 黑客经过千辛万苦, 历经九九八十一难, 最终进入了系统。 事实上越大的系统或者单位,攻击成功往往是越简单的手法。

二:了解如何防范钓鱼攻击前,不仅仅要让人了解黑客的攻击手法,在自身建立防御体系前,要更多的去了解外界的防御案例,做到知己知彼,百战不殆。

各大单位和企业都是怎么做的?

相对好的手法

1. 整合资产内容, 把内部系统整体划入内网,系统众多的提供单点登陆平台,但是考虑到有员工出差因素和分公司在外地,所以需要vpn拨入,VPN拨入要内外皆通,所以这就提供了一个攻击渠道。

相对防御手法: (省钱的), VPN拨入地址使用host保护, 有正确host才可以访问到VPN拨入地址, 但是有个问题,host文件不能丢失,一丢失部署就失败了,所以也要部署拨入IP的监控系统,一旦拨入IP异常,进行报警。 比如账户xiaoming的登入session id为 xiaoming_gxdfcsacjxk, 系统出现ip为日本+xiaoming_gxdfcsacjxk的拨入记录,就进行短信报警,该更改密码的更改密码,该提醒的提醒。但是存在一个问题,IP很容易通过VPN绕过, 所以只通过IP来判断也很难做到100%,这个地方要结合实际情况进行联动防御。 比如采用客户端形式, 绑定mac地址, 采用ip+session_id+mac 验证, 这样就靠谱的多, 但是如果遇到了极端情况,专业情工人员采用先期木马植入或者盗窃的手法偷到物理电脑,大部分的安全防御基本都会被攻破,所以这个地方还得再次考虑结合实际情况。不省钱的方法就是把存在验证的地方都换成硬件数字令牌。

2. 划定级别网, 一定级别的人员只有对应权限, 存在信息和存储的地方只给予最小区间, 比如美国国防部下属的陆军系统给普通士兵分配的存储空间就是200m。(他的做法就是数字证书+级别网+最小区间)

3. 密码定期过期制度。

此方法如果不结合联动防御机制就是废的, 因为黑客可以在你的过期区间范围内每隔一段时间偷一次你的密码, 甚至在你的文件里绑上木马,做到对电脑的长期控制, 这样你无论改多少次密码, 都是无效的, 所以说,实际的反钓鱼工作过程当中,还要结合到方方面面。

3. 多验证登陆机制。

采用此方法一定不能把涉及账户的api对外, 因为教训很多, 凡是同时存在API对外和账户保护的。 200%都可被破解。

4. 警告机制。

一人收到某某欺诈消息, 集体警告。 这个还是挺有效的, 不过单方面的警告也不能做到100%,只是在相对层面上减少受攻击人群,但是相对是不行的, 因为一人受攻击,集体受害者比比皆是。

5. 登陆验证保护机制。

设立监控体系, 凡是存在异常登陆账户即使没有登陆成功也要纳入记录,次数过多失败就进入lock, 及时进行警告或者第二天集体进行约见科普。

6. 奖惩机制。

大多数单位只会有惩罚机制, 我的建议是可以成功遏制住钓鱼攻击者发现源头的可以给予奖励, 问题源应该惩罚这是没错的。

….

三:了解完企业单位如何防御后,应该更正以下几点错的历史科普

1. 凡是https的网站都是安全的,可以放心输入账户密码。

事实上, 部署一个https的钓鱼成本并不会花费多少。

2. 只要是我认识的人, 发来的东西就可以放心点击,打开,运行。

偷了你认识的人的账号呢? 远控了你认识人的电脑/电话呢?

3. 看到是官网, 就一定是官网, 就可以放心输入账户密码,甚至https是正常的。

现有多种技术可以做到模仿的跟域名一样, 甚至不用模仿完全使用官方域名, 这点针对特种人群, 不进行讲解。

4. 看到是某某某官方发来的某某某, 就可以放心点击,打开,运行。

同上。

…..

四:再次需要了解的内容还有, 现在黑客的一些钓鱼攻击手法。(要结合实际案例)

这些手法都有什么特点? 如何见招拆招等等。 重要的一点是, 不能完全让受众群养成以后我看到这些某某某内容, 某某某开头的信息就要防范,应该要让他们学会如何发现异常信息。 比如黑客可以完全模仿一封正常的邮件, 没有任何看起来存在威胁的企图, 但事实上它就是一封钓鱼邮件, 这个时候, 如果没有经验的人,就会上当。

五:科普要有逻辑性,趣味性, 不是只讲解黑客如何攻击的就草草了事。

从防御到攻击者, 还是从攻击者到防御者, 要有逻辑性,不要让对方产生云里雾里困呆了的感觉。

六:要设立回访制度。

结尾可以提供问题咨询渠道, 答疑解惑是必然的。 不存在疑惑的讲解我认为是不成功的。

其实说到底, 网络安全还有很长的路要走, 因为它涉及的面太广了, 又因为结合到人, 就带来了更多的复杂面。 即使有人参考了我这篇文章, 带来的结果也无非是少几个人上当受骗而已。 即使到了无密码时代, 该上当的还是会上当, 因为无密码本身也是一种伪命题, 事实上它也存在验证流程, 有秘钥。 这就是反钓鱼培训要不停进行的另外一个原因, 技术也是在一直发展进步的,正面反面都是如此。 我的老师曾经跟我说过,也许有一天,我所教你们的知识就会变成错的了, 这篇文章然也。

此条目发表在security分类目录,贴了, , , 标签。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已用*标注