社会工程渗透测试只是防止员工落入网络犯罪分子陷阱的第一步。社会工程攻击不是会不会发生的问题,而是会发生的问题。员工最终会收到“紧急”电子邮件或电话,要求他们迅速将钱转至安全帐户、立即登录公司网络或安装远程访问木马。长期以来,社会工程攻击一直是网络犯罪分子确保高成功率的首选方法。但新冠肺炎疫情导致远程工作的增长,将社会工程技术转变为前所未有的无限创造力和繁荣的工具。在家办公时,员工没有企业安全解决方案提供的全面保护,只能依靠自己的直觉,这是网络安全团队最糟糕的噩梦。意识到灾难的规模,许多公司迅速开展了员工安全意识培训。为了评估问题的范围,Group-IB在一家物流公司进行了社会工程渗透测试项目。测试使用了与新冠肺炎疫情相关的钓鱼借口,可见员工对此类话题的“热情”丝毫未减。Group-IB从看似属于公司IT部门的虚假电子邮件地址发送精心制作的网络钓鱼电子邮件。超过一半(51%)的测试对象在虚假的VPN门户登录页面上提交了他们的登录凭据。?一些社会工程攻击比其他攻击更有效社会工程攻击测试项目还揭示了一些攻击技术比其他攻击更有效。在该公司2020年进行的100多次社会工程攻击测试中,语音电话(“语音网络钓鱼”)比嵌入虚假资源链接或可执行附件的网络钓鱼电子邮件更有效。语音网络钓鱼的成功率为37%,并且令人惊讶地上钩,因为受害者通常不希望收到此类电话。此外,攻击者可以调整脚本以匹配受害者行为的变化并利用他们的情绪。除了获取个人或机密信息外,语音网络钓鱼攻击还可用于获取对基础设施的访问权限。在最近的一个案例中,Group-IB的渗透测试人员设法说服23名员工以进行安全事件调查为借口在备份门户(网络钓鱼资源)上进行身份验证。语音钓鱼结合网络钓鱼(即链接到虚假资源并添加可执行附件)效率极高:2020年75%的社会工程攻击测试成功突破了测试对象保护。在钓鱼借口方面,效率最高的是奖金制度变更(成功率20.6%),其次是IT系统变更(17.8%),然后是公司重大事件公告(16.3%)。?做更多的测试并不一定能解决问题鉴于以上统计数据,您可能认为做更多的社会工程渗透测试将有助于提高员工对网络钓鱼的认识。但实际上并非如此,因为渗透测试如果不与其他措施一起实施是无效的。如果你决定试一试自己,你需要明智地去做。您可以参考以下案例。X公司不定期对自家员工进行社会工程攻击测试。但对基本网络安全概念的认识并没有提高:员工继续点击恶意链接并满足攻击者的要求。因此,该公司决定正式确定其测试计划,每年使用不同的网络钓鱼借口以相同的形式进行四次社会工程攻击。但结果与之前更随意的测试没有什么不同:员工仍然点击恶意URL,仍然与渗透测试人员沟通,仍然交出机密信息。此外,测试的有效性在很大程度上取决于网络钓鱼借口的相关性。虽然每次测试提高认识的效果都会有所提高,但在第三季度,基于COVID-19的网络钓鱼借口让员工完全忘记了他们接受过的所有培训、指导和建议。事实证明,除了测试之外,该公司根本没有开展任何其他安全意识活动。?网络安全培训中缺少什么该研究还发现,员工在发现社会工程攻击时不知道该怎么做。他们不仅需要知道如何识别攻击,还需要学习如何应对。公司应该培训员工在任何情况下都不要联系攻击者(或合法的渗透测试人员),而是要立即通知安全团队。不幸的是,用户(尤其是小公司的用户)通常没有意识到这一点。最重要的是,测试对自己的攻击不应该是一个简单的练习。是的,重要的是定期培训员工识别潜在的社会工程方法,对所有外部边界服务强制执行双因素身份验证,并使用有效的恶意软件引爆工具。但更重要的是,社会工程攻击的培训和测试应该旨在确保公司内部的有效沟通。需要教会员工如何及时有效地检测攻击并做出响应。他们需要清晰的说明和交互式指南(如wiki页面、视频等)。要有创意。大胆地将游戏元素融入学习体验中,以激发和最大限度地提高参与度。例如,在Group-IB最近的内部渗透测试期间,检测到并正确报告社会工程攻击的员工获得了成就徽章,可以兑换公司奖励。此外,在每次渗透测试后召开回顾会议以收集反馈也很重要。如果不讨论哪里出了问题以及如何改进,就无法吸取教训进行改进。将重点从例行演习和记住社会工程攻击检测说明转移到解释现代攻击的来源以及为什么每个员工都必须参与攻击检测。如果没有有意识和创造性的社会工程渗透测试方法,再多的培训也不会有效。
