“思科被黑”凸显社会工程攻击的危险性

近日，API通信提供商Twilio和知名网络技术巨头思科（CISCO）先后遭遇黑客社会工程攻击并发生数据泄露，两家公司的员工成了黑客的突破口，这再次凸显了人员依然是当今网络安全最难以修补的“漏洞”。

人依然是最大漏洞

在8月初针对Twilio的攻击中，黑客实施了短信网络钓鱼诈骗，冒充Twilio的IT部门并警告员工他们的密码已过期或需要更改。

单击该链接的员工被带到看似Twilio登录页面的钓鱼站点，黑客在该页面中获取了Twilio员工的登录凭据，后来他们使用这些凭据访问公司的内部系统并查看了125位客户的数据。

而在本周四思科披露的数据泄露事件（发生于2022年5月24日）中，“阎罗王”勒索软件组织声称窃取了思科2.8GB数据。在这次攻击中，攻击者首先控制了一名员工的个人谷歌账户（用户将该账户的登录凭据同步到浏览器中）。

随后，攻击者冒充各种受信任组织对该员工进行了一系列语音网络钓鱼攻击和MFA疲劳攻击——大量发送MFA验证通知直至该员工（误操作或不小心）确认了其中一次验证请求，从而使攻击者能够访问VPN和关键内部系统。

Twilo和思科的数据泄露事件都表明，企业不能仅仅依靠员工来识别日益复杂的社会工程骗局，即便这些员工本身也是IT技术人员，即便目标企业自身也是（像思科这样的）网络安全技术巨头。

Forrester安全和风险高级分析师Allie Mellen表示：“这两次攻击表明，社会工程仍然是获取组织访问权限的最有效方法之一，并且任何组织都可能成为攻击目标。”

“最终，人类永远都是攻击的目标。如果用户收到一封来自看似可信来源的电子邮件或短信，其中又包含紧急信息，用户很可能会不仅安全审查就点击链接。”Mellen说道。

基于密码的安全性非常脆弱

攻击者倾向于使用网络钓鱼诈骗等社会工程攻击的主要原因之一是：这些工具易于使用且可有效收集登录凭据。

研究表明，19%的网络安全事件是被盗或泄露的凭据造成的，16%的安全事件是网络钓鱼造成的，这表明基于密码的安全性在很大程度上无法有效阻止威胁参与者。

同样，没有任何防病毒软件或“先进工具”可以防止员工犯错误并泄露敏感信息。

除了需要有针对性地强化安全意识培训等“人的因素”解决方案外，企业越来越需要重新思考数据访问控制。

因为数据统计显示，企业平均每年要遭遇700次社会工程尝试，即使是严格遵守安全最佳实践的员工也无法避免犯错。毕竟，攻击者只需误导员工一次即可成功获取他们的登录凭据。

同时，虽然类似FIDO联盟开发的无密码身份验证解决方案将有助于消除对凭据的依赖，但企业不应仅依赖这些措施和MFA来保护其IT环境。（编者：在思科的案例中，缺乏安全意识和警觉的员工被攻击者用社工手法绕过了MFA机制。）

重新思考数据访问控制

引入严格的数据访问控制，强制执行最小特权原则是降低社会工程威胁带来的风险水平的关键。如果员工只能访问完成日常职责所需的基本信息，就能将更少的数据置于风险之中，同时也意味着员工不再是黑客攻击中的显著目标。

数据隐私基础设施提供商Piiano的联合创始人兼首席执行官Gil Dabah指出：“网络钓鱼攻击正在上升。适当的访问控制可以将在凭据被盗时泄露的被盗数据量降至最低。”

“企业中的普通人员其实没有实际使用案例需要浏览大量原始客户数据：因此，高级数据访问控制可以限制数据暴露。”Dabah说。

在实际建议方面，Dabah表示，企业应尽可能遮蔽个人信息，实施数据库访问速率限制，并使用异常检测技术来监控用户访问是否存在恶意行为的迹象。

专注于数据访问控制不仅可以非常有效地减少攻击者可窃取的信息量，而且还可以减轻员工的一些压力。