你是否听过这样的话:“攻击者不会闯入网络,他们会登录??“实际上,两者都有.
当然,坏人仍然会利用在面向公众的设备上发现的漏洞. 然而,这几乎从来都不是访问受保护网络的最简单方法. 这是因为诸如FIDO2之类的安全实现, 多因素认证(MFA), 更长的密码要求, 云技术, 管理设备, 加密, 智能防火墙, 端点保护, 整体安全情报和实践也在不断发展. 结果是, 它需要一定程度的技术知识和厚颜无耻的坏人来执行这些漏洞利用.
进一步, 在许多情况下,当这些类型的漏洞被发现时,它们会被打补丁,因此只能在有限的时间内可用. 然而,社会工程无法真正修补. 这是一种技术含量低得多的获得初始访问权限的方法,因此提供了较低的进入门槛. 自然, 因为这个减少的障碍, 试图涉足这一领域的不良行为者的数量有所增加, 这反过来又增加了攻击次数.
现在,任何人都可以使用一些工具,使某些类型的社会工程攻击自动化或半自动化的成本效益更高.
根据Verizon的2023年数据泄露调查报告(DBIR), 网络钓鱼和借口仍然是社会工程的主要方法,超过50%的社会工程攻击使用借口. 在接受调查的人中, 84%的受访者表示,他们的公司至少经历过一次成功的网络钓鱼攻击,而超过一半的受访者表示, 54%, 面对过三次或更多次成功的袭击. 简单地搜索一下“2023社会工程黑客和破坏”,人们不需要看很远就能看到成功的社会工程攻击的例子. 在2023年,我们看到了米高梅被黑的影响.
《澳门赌场官方下载》, 引用VX-Underground, 报道称,勒索软件组织ALPHV利用语音网络钓鱼或“网络钓鱼”取得了巨大的效果,并造成了严重的破坏, 2023年的财务风险和潜在的持续声誉损害, 据报道,所有人都打了10分钟的电话.
美国联邦调查局网络犯罪投诉中心(IC3) 说明了社会工程攻击在网络钓鱼方面造成的损害, 包括变异, 及商业电邮入侵(BEC). 请注意报告的投诉数量与. 经济损失. 在五年期间,总共有1个,112,195人受到攻击,但经济损失10美元,335,924,697. 一些成功的社会工程攻击可能会造成巨大的损失. 这些数字不包括其他形式的社会工程,如浪漫或彩票骗局.
(注:IC3的统计数字代表收到的投诉. 很有可能这些数字在实际攻击和金钱损失方面都很低,因为许多人没有报告. 其他消息来源报告说,社会工程攻击有数亿次)。.
社会工程吸引人的另一个原因是其应用的多功能性. 要知道社会工程不仅仅局限于BEC、网络钓鱼、钓鱼、诈骗等等. 一个手机用户已经损失了17美元,由于一个成功的社会工程攻击,坏人只是假装是真正的顾客走进一家商店,并激活了一部新手机, 然后通过sim卡交换接管了她的短信MFA.
作为审计师, 你会想尽一切办法为你的客户提供最好的保证. 尽管社会工程可能是更大审计中的一个分支, 深入研究审计的这一部分可以增加更多的价值.
现在,让我们从一种实用的方法来看审计社会工程. 这是通过人员、流程和技术控制来实现的. 考虑到这一点, 这里有一些具体的活动,你应该能够获得证据或文件.
人
基于角色的培训——简单地检查是否通用, 一般的反社会工程或反网络钓鱼培训——在今天的环境中并不适用. 不法分子利用社交媒体等公开信息来研究他们的目标, 搜索引擎和澳门赌场官方下载网站. 应付账款可能会成为“老化报告”的目标,而IT支持人员可能会被要求为冒名顶替者重置密码. 人力资源工作人员可能会被网络钓鱼,更改直接存款信息,将不知情的员工的下一张支票存入欺诈账户, 或者招聘人员可能在不知情的情况下与一个糟糕的演员合作.
引导性问题(人):
- 您是否根据员工的角色为他们提供具体的社会工程培训?
- 哪些角色接受特定角色的培训? 人力资源| IT |应付账款|客服代表|行政助理就是例子.
- 以什么形式? 时事通讯,网络钓鱼模拟,网络研讨会,会议?
- 网络钓鱼模拟对所有部门都是一样的,还是针对不同部门定制的?
- 这些通讯、网络钓鱼模拟或其他培训多久进行一次?
流程
流程是人们在遇到可疑的社会工程攻击时应该知道如何执行或引用的过程.
指导性问题(过程):
- 员工是否知道如何举报可疑的网络钓鱼邮件?
- 如果在公司的地板上或门外发现了一个u盘,员工会怎么做? 组织中是否存在这方面的指导?
- 重置不同角色密码的过程是怎样的? IT Support Desk可以重置IT管理员的密码吗? 如果一位高管打电话要求重置他们的密码,该如何处理?
- IT管理员在执行管理任务时是否拥有单独的高级帐户? 他们的主要帐户, 就像对待其他员工一样, 不应该有管理员权限,以防止意外执行恶意文件.
- 安全团队如何分析网络钓鱼、诈骗或钓鱼? 在分段网络中? 一个沙箱? 虚拟机?
技术
技术控制将有助于防止社会工程攻击首先到达目标员工,或者试图阻止恶意行为发生. 例如, 员工打开恶意电子邮件附件, 或插入未知恶意u盘,但没有管理员权限, 攻击无法正常执行.
指导性问题(技术性):
- 端点保护是否到位,以减轻源资产在恶意文件执行时造成的损害?
- 网页过滤/内容是否到位,以阻止可疑或不良域名, 有人应该点击恶意URL吗? 如果点击了潜在的恶意链接,是否有警报系统?
- 最小权限:是否从那些不需要“管理员权限”的用户和计算机中删除了“管理员权限”,以防止某人从网络钓鱼中下载恶意文件并执行它?
- 公司是否有任何自动反垃圾邮件和隔离控制?
- 长相相似的域名呢? 公司购买它们是为了保护自己吗? 例如,一家名为yellowbankfirst的公司.Com可能有兴趣购买或保护 .商业 .信息. .tv .us .org .净等. 并可能考虑购买域名,如yel1com或yel0wbankfirst.Com甚至是yellowbankfirst.Com以阻止不良行为者购买域名并被用于社会工程攻击.
请记住,使用社会工程作为攻击方法的不良行为者将使用创造性策略. 他们不像我们那样受范围或规则的约束. 在定义作用域时, 考虑一下:审核员在执行社会工程审核时也必须具有创造性. 把你自己放在一个坏人的位置,想想你会做些什么来利用社会工程闯入这家公司.
作者简介: 瑞奇汉密尔顿CISA, CRISC, CCSK,精益六西格玛 is 在IT基础设施方面拥有丰富经验的资深信息安全分析师, 信息安全, 审核和过程改进. 他对网络安全心理学有着浓厚的兴趣, 尤其是社会工程,他喜欢指导那些想要进入这个行业的人. 你可以在Engage信息和网络安全澳门赌场官方下载或connect上找到他 和他在领英上聊天 http://www.linkedin.com/in/ricky-hamilton/
