犯罪黑客的目标范围很广,从行政助理到他们所服务的高管们等等。正如网络安全公司Proofpoint所说,黑客的目标是“欺骗员工打开不安全的附件,或者点击可疑的网络链接。他们冒充你的首席执行官,命令你的财务部门汇款。他们欺骗你的客户,使其与误认为是你的网站分享登录凭证。”
大多数企业IT系统都能很好地抵御网络攻击,尽管并非无懈可击。但员工下班后使用的个人设备和网络工具可能不那么安全,有可能会绕过企业的安全防护措施。
IBM的X-Force Red资深白帽黑客部门的首席黑客专家Stephanie Carruthers介绍说,与此同时,越来越多的骗子瞄准特定的个人,比如首席财务官,因为这些高管们拥有访问敏感企业数据的高级权限。其他潜在目标通常是能够访问敏感信息的员工,例如,IT和网络安全、人力资源和法律部门的员工。
Carruthers说:“谁会成为目标,关键在于他们能接触到什么。”她补充说,这种目标定位越来越明显,因为简单地说,这样可以更有效。“以高风险员工为目标有助于犯罪分子直接瞄准他们想要得到的东西,而不必漫无目的的寻找。”
Sophos公司的首席研究科学家Chester Wisniewski指出,犯罪黑客可以从公共社交媒体账户或者其他网上资源收集有关某人及其单位的信息,这些信息提供了出于犯罪目的而冒充他人所需的开源情报(OSINT)。
同时,由于如此多的交流都是数字化的,因此很难发现冒名顶替者。Wisniewski补充道:“如果你认识的人打电话给你,你可以通过他们的声音对他们进行身份验证。但在网上要做到这一点并不总是那么容易。”
为了阻止针对员工的攻击,一些企业开始为高风险个人制订个人OPSEC计划,以更好地保护他们的工作和个人生活。这些计划超越了标准的企业安全协议、实践和工具,目的是提供个性化的网络安全培训和保护措施。
Carruthers说:“对企业来说,安全实在太难了,太多的企业只是为所有员工提供安全意识培训。下一步是为高风险员工制订OPSEC计划,我认为应该有更多的企业这样做。”
以下介绍为各级高风险工作人员制订最有效的个人OPSEC计划的10个技巧和最佳实践。
包括企业以及个人账户和设备
信息安全咨询公司TrustedSec治理、风险管理和合规部门的业务主管Alex Hamerstone指出:“通常情况下,OPSEC计划只关注工作账户,而不是高管或者员工经常使用的个人账户。有多种方法能够借助于个人账户而进入工作账户——无论是通过重复使用密码还是通过个人设备登录企业服务。”
Hamerstone补充道,现在,高管更容易成为目标,因为他们使用的设备比过去多得多,包括笔记本电脑、智能手机、平板电脑、智能手表和其他物联网(IoT)设备。他补充道:“联网汽车也是一个新兴领域,在未来几年会变得越来越重要。OPSEC计划必须考虑到这些方面,即加强实际使用的设备,限制设备可以存储或者访问的企业数据,想到哪些账户可能会被攻破,可能会被这些设备利用。”
此外,企业安全计划保障范围通常不会超出实际的办公楼范围。Hamerstone说:“但这是极大的疏忽,必须通过层层设防来加强高管的家庭网络。高管还应该在家中使用专用IP,该IP与家庭网络的其他部分相隔离。他们在家中存储或者访问的数据类型应受到限制、阻断或者使用强加密进行加固。”
让高风险员工参与计划
Hamerstone说,OPSEC计划成功的最大障碍往往在于要保护的人。他说:“对于这些高管们来说,在涉及到自己的个人行为时,他们通常会推翻OPSEC计划的建议,或者完全无视这些建议。”例如,Hamerstone回忆起一位首席执行官,给他的建议是,去国外出差时不要带上他的个人笔记本电脑——但他还是这么做了,而这可能会危及企业数据的安全。
Hamerstone建议给高管们提供具体的例子,或者公开的新闻故事,从而说明他们是怎样成为攻击目标的。此外,OPSEC计划应尽可能简单,方便高管们去遵循。他解释说:“这就像车上的安全气囊。设计和安装安全气囊涉及到工程师和制造商在幕后进行的大量工作。而用户甚至没有注意到这些。”
设立具体的社交媒体政策和程序
Hamerstone说,从LinkedIn、Twitter、Facebook和Instagram等社交媒体网站上可以得到高风险员工的信息,这些员工信息会被凑在一起,被用于各种社会工程攻击目的,成为外围攻击目标,还被用于跟踪物理位置,发现企业IT系统的弱点。
你可以采取以下几个步骤来更好地保护社交媒体上的高风险个人:
制订明确的、易于遵循的指南。说明哪些内容可以共享,哪些内容会把企业置于风险之中。例如,会计公司Wolf & Company的IT保障高级顾问Sean Goodwin解释说,对最近的新闻事件发表评论通常是安全的,而在运营中心内部进行自拍则是不安全的。他补充说:“你的政策要切合实际,因为几乎不可能做到完全禁止。另外,解释什么是边信道攻击,一些攻击者是怎样通过个人社交媒体账户进入公司账户的。”
私人账户要保密。Carruthers说,理想情况下,高层管理人员和其他高风险员工应保持他们个人社交媒体账户的私密性。此外,与高管链接的社交媒体账户也应该保持私密性。她解释说:“很多时候,尽管一个社交媒体账户是私密的,但仍然可以从他们的孩子、配偶或者朋友分享的图片和帖子中找到有关这位高管的信息。理想的做法是确保与管理层有联系的每个人都把自己的账户设为私密的。”
维护独立的公共社交媒体资料。Wisniewski建议,高层管理人员应该在Twitter、LinkedIn、Facebook和其他重要的社交媒体网络上开设公共账户。“重要的是,必须声明并使用这些账户,以防止犯罪分子在社交媒体上冒用您的身份。”他补充说,高层管理人员通常会让公司的营销部门管理并发布到他们的公共账户中。
经常性地进行“白手套”安全培训
Carruthers说:“高风险员工应该经常接受专门为他们提供的额外培训。从门卫到首席执行官,每个人都有不同的威胁模型,所以他们需要与自己的威胁模型相关的培训。”
Carruthers补充说,高风险员工特别应该接受移动安全风险培训。有些人认为他们的移动设备相当安全,尤其是与他们的计算机相比,因此他们在使用智能手机或者平板电脑时会放松警惕。她补充说:“当我向智能手机发送网络钓鱼信息(作为一个白帽黑客)时,我的成功率要比向桌面计算机发送网络钓鱼信息高得多。”然而,smishing(短信网络钓鱼)和vishing(语音网络钓鱼)等移动威胁越来越多了。
需要双重身份验证和密码管理器
Carruthers说,企业应要求所有高风险员工在他们的个人账户(比如Gmail或者Dropbox)以及他们所使用的公司账户上使用双重身份验证(2FA)。
此外,高风险员工应使用密码管理器应用程序(比如,1Password和Dashlane)进行个人登录和专业登录。Carruthers补充说:“我们看到的数据泄露事件太多了,这是因为攻击者获得了人们在多个账户上重复使用的密码。”
在回答安全问题时撒谎
通常,在建立账户和密码时,网站会要求用户回答三个或者更多的安全问题,例如,“你的第一只宠物叫什么名字?”。但考虑到可以从社交媒体上收集到很多个人信息,Carruthers建议高风险员工对这些安全问题给出错误的答案。一定要在安全的地方写下错误的答案,例如密码管理器应用程序中的备注区域。
要方便进行信息验证
Wisniewski说,每当Sophos的经理需要与员工共享信息时,他们首先把信息发布到安全的内部Sophos wiki上,然后通过电子邮件发送出去。这样,接收者就很容易验证来自经理们的信息是否合法。
建立明确的程序来验证请求
骗子们经常使用OSINT来冒充某个高管,然后向不知情的员工发送看似来自该高管的电子邮件。该电子邮件可能会提出各种各样的理由让员工把钱汇到与常用交易账户不同的账户中。
因此,你的OPSEC计划应该有一个简单的程序来验证这样的请求是否合法。Wisniewski说:“如果一个请求超过了一定的金额并且/或者涉及程序变更,你的OPSEC政策应要求员工通过口头和数字两种方式确认该请求是合法的。我们的目标不是让人们承受太多的安全步骤,而是让他们在真正需要的时候采取额外的措施。”
设立报告可疑活动的程序
通过语音网络钓鱼,犯罪黑客会冒充企业的IT或者其他部门员工,并给公司的员工逐个打电话,希望有人无意中给黑客提供用户名和密码。通常情况下,员工可能会感到电话中的某些事情很蹊跷,但他们会挂断电话,不再采取进一步的行动。Wisniewski说:“要有既定的程序,让员工知道向哪里报告可疑的事情,这样你就可以很快地把消息传达给公司里的其他人。”
定期测试高风险员工
Carruthers说,高风险员工应该经常接受安全方面的测试,特别是社会工程攻击。“向他们发送假的网络钓鱼电子邮件,看看他们是否向你的网络安全部门报告,或者他们是否点击电子邮件中嵌入的链接。看看他们是否会在电话上把密码告诉一个看似合法的陌生人。重点是帮助高风险员工了解针对他们的目标攻击是什么样子的,以及他们对这些攻击有多敏感。”
作者:James A. Martin是旧金山一名经验丰富的科技记者和博客写手,由于其在CIO.com上的技术生活直播博文而获得了2014年ASBPE国家金奖。James还是内容营销顾问。
编译:Charles
原文网址:https://www.csoonline.com/article/3429641/developing-personal-opsec-plans-10-tips-for-protecting-high-value-targets.html
