网络钓鱼能成功,很大责任在用户本身。
网络钓鱼没有得到安全界的足够重视。网络钓鱼不会登上媒体头条,安全人员不会拨冗专门调查网络钓鱼。诚然,席卷全球的高影响力恶意软件变种能够收获自己超酷的标志和朗朗上口的昵称,赢得安全界的重视。但最终,网络钓鱼攻击才是真正让大多数公司企业向网络黑手低头的源头,是绝大多数灾难性网络攻击的起点。
从渗透测试及社会工程师的经验看,大多数客户都将网络钓鱼活动处理视为一年只需要走一次的过场,少数高绩效企业会多加点儿计算机培训。大多数情况下,此类测试不过是美国联邦风险与授权管理计划(FedRAMP)之类年度合规测试中的一个必要部分。也就是说,企业实际上自上次审计之后就再没测试过自己的网络钓鱼防御措施。但数字说明一切:90%的数据泄露始于网络钓鱼。网络钓鱼是每家公司面临的可怕威胁,公司的网络安全策略却对之处理不足。
安全人员常会被问到:“网络钓鱼的可接受防护失败率设为多少比较合适?”(FedRAMP和其他认证也处理可接受失败率。)多年来,普遍看法和某些专业指南认为低于10%就不为过。但这种认知是误导性的,无论初衷多好,很多业界专家和咨询机构给出的实际上是类似的不当(也可以说是“过时”)指导。
InfosecIsland对部分财富500强企业和独资公司这3年来所承受的网络钓鱼攻击行动做了数据收集,有一个指标最为突出:62.5%的被侵入率。调查对象包括100多家自认为拥有“优异”网络钓鱼项目的公司——一年一次网络钓鱼防护活动,年复一年相对什么也没做。虽然网络钓鱼测试项目的质量千差万别,重要的事实是:一旦某员工点击网络钓鱼邮件链接(数据显示平均点击概率26.2%),该员工就有62.5%的概率去下载可致自身主机被攻击者控制的恶意软件,或者共享出自身账户的有效凭证。一定程度上防止网络钓鱼的安全措施不是没有,但数据指标已经很清晰了——即便攻击者没有入侵你的主机,活跃用户名/口令对也有一半以上的概率落入恶意黑客之手。
这些数据已给公司企业敲响警钟。再用“过时”的10%网络钓鱼链接点击容忍率,就有6%的数据泄露概率。以拥有5万员工的大企业为例。26.2%的点击率意味着1.31万次网络钓鱼链接点击。如果该公司落入“平均”中招率(62.5%),那就是8,187次被黑客侵入。即便该公司按“过时”建议秉持10%的“行业标准”钓鱼链接点击容忍率,那也是3,125次入侵。
公司企业应努力争取零点击。虽然看起来似乎难以达到,但人类向来会为接近目标而自满:10%的容忍率目标往往意味着12%,2%的容忍目标最后会变成5%,而在62.5%的点击后中招率面前,2%的容忍率目标依然会将企业网络暴露在不可接受的风险之中。假设不仅钓鲸活动是重大数据泄露的入口,而是每一次点击都有可能带来泄露风险,业界应大声呼吁“零容忍”。可接受风险的提法应就此终结。
生产生活中不可能剔除人的元素及其带来的风险。只要还有人参与其中,失误和问题就免不了。但通过设置更为雄心勃勃的目标并大力提升网络钓鱼测试项目效能来培训员工,为员工的每一次改善投以奖励,激励他们去做正确的事,展示“良好”行为的样貌,公司企业是可以设立并实现更激进的目标以更好地保护自身的。
虽然网络钓鱼如今不是最有趣最吸睛的网络新闻话题,但每家公司企业在考虑网络安全相关问题时不能回避网络钓鱼,应将其列为头等问题考量。对网络钓鱼的认知应切换到“零容忍”概念,若非如此,网络钓鱼的成功率仍会高到令人吃惊。是用户的容忍,放纵了企业网络门户洞开。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
【编辑推荐】
恶意软件的终极指南 密码窃取器变得更加复杂和危险
从物理到心理 从经济到声誉:网络攻击的57个负面影响
为什么检测网络攻击需耗时数个月
黑客无需网络钓鱼进入Email收件箱
Akamai:网络攻击的防御需要边缘技术来弥补