在過(guò)去的幾年中，頻發(fā)的網(wǎng)絡(luò)安全事件時(shí)刻提醒并警示我們：對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)，企業(yè)員工與技術(shù)一樣發(fā)揮著至關(guān)重要的作用。而很多企業(yè)往往會(huì)忽略人為因素，并沒(méi)有培訓(xùn)員工或讓其參與到安全策略定制或執(zhí)行中，幫助企業(yè)保護(hù)敏感信息。其實(shí)保護(hù)企業(yè)網(wǎng)絡(luò)安全，僅僅依靠投入大量資金部署單個(gè)安全硬件是不夠的，要防御種類繁多的安全威脅，必須是技術(shù)與員工教育雙管齊下。

現(xiàn)在，諸如社交工程一樣，利用員工進(jìn)行攻擊的黑客技術(shù)發(fā)展頗為迅速。在過(guò)去兩年，就有將近半數(shù)企業(yè)遭遇了25次或更多的攻擊，其中載有“魚(yú)叉式網(wǎng)路釣魚(yú)”（spear phishing）透過(guò)電子郵件和社交網(wǎng)絡(luò)傳播是最為普遍。每起安全事故帶來(lái)的損失約為25,000至100,000多美元。

Check Point北亞洲區(qū)地區(qū)總監(jiān)梁國(guó)賢表示:“造成此種趨勢(shì)主要有兩個(gè)因素。首先，對(duì)于大多數(shù)雇主來(lái)說(shuō)，企業(yè)缺少適當(dāng)?shù)恼叻结樅蛦T工培訓(xùn)。其二，大量社交媒體平臺(tái)如雨后春筍般涌現(xiàn)，并且公開(kāi)了大量個(gè)人最新或者其所在公司信息。黑客借此攫取信息創(chuàng)建員工個(gè)人資料，然后選定攻擊目標(biāo)并研究攻擊企業(yè)的切入點(diǎn)，從而提高了成功的可能性?！?BR>
一旦成功進(jìn)入，黑客便利用一系列工具，層層追溯，獲取公司高層甚至董事會(huì)成員的信息。利用這些信息，訪問(wèn)企業(yè)商業(yè)敏感數(shù)據(jù)。但是，這些攻擊是如何發(fā)生的？黑客又是使用何種方法？

社交網(wǎng)絡(luò)監(jiān)控

與從“前門”直接攻入不同，社交工程攻擊則需更多技巧和計(jì)劃。監(jiān)控是了解潛在“目標(biāo)”的關(guān)鍵一步，可為黑客提供以下關(guān)鍵問(wèn)題的答案：

§ 關(guān)鍵員工：誰(shuí)是企業(yè)網(wǎng)絡(luò)安全的負(fù)責(zé)人？

§ 安全政策：企業(yè)已經(jīng)制定并執(zhí)行了哪些執(zhí)行安全政策？

§ 加密數(shù)據(jù)流：在非工作時(shí)間，對(duì)外SSL傳輸是否允許？

如今收集上述信息比過(guò)去容易很多。社交網(wǎng)絡(luò)和其他在線工具可以提供前所未有的信息來(lái)了解、窺探企業(yè)和員工的一切，黑客可迅速全面掌握攻擊目標(biāo)的情況。

§ 企業(yè)網(wǎng)站和招聘廣告中的信息可讓黑客更好地了解企業(yè)的安全狀況，從而幫助攻擊者完善其使用工具并發(fā)起攻擊，從而增加成功的可能性。

§ LinkedIn幫助黑客確定潛在攻擊目標(biāo)，新進(jìn)員工和供應(yīng)商最易成為下一個(gè)目標(biāo)。

§ Facebook and Twitter則因可提供個(gè)人喜好與興趣，成為黑客信息來(lái)源的金礦，幫助黑客開(kāi)發(fā)出更多可行的攻擊。

§ Foursquare等手機(jī)服務(wù)網(wǎng)，如果用戶使用公開(kāi)網(wǎng)絡(luò)登陸，就讓黑客很容易追蹤。

收集信息就這么簡(jiǎn)單，而這些信息使攻擊者攻擊企業(yè)網(wǎng)絡(luò)準(zhǔn)備一切就緒。

現(xiàn)在的威脅

在企業(yè)中選出目標(biāo)之后，黑客滲透企業(yè)網(wǎng)絡(luò)最常利用的手段主要有以下幾點(diǎn)，了解這些將對(duì)提高員工意識(shí)和教育員工起到至關(guān)重要的作用。

§ 惡意附件可能是員工遇到的最常見(jiàn)攻擊載體之一，作為“魚(yú)叉式網(wǎng)路釣魚(yú)”的誘餌，一旦被打開(kāi)，惡意軟件便自動(dòng)裝載，典型的文件擴(kuò)展名為微軟文檔和PDF。

§ 隱蔽強(qiáng)迫下載（drive-by downloads）經(jīng)常發(fā)生在訪問(wèn)包含代碼的惡意網(wǎng)站或者偽造的網(wǎng)站時(shí)，它利用訪問(wèn)者瀏覽器的安全漏洞，在其不知情的情況下安裝惡意軟件。

§ 零日攻擊(zero-day attacks)利用一個(gè)或多個(gè)未知漏洞進(jìn)行攻擊，例如Stuxnet就利用Windows的4個(gè)未知漏洞，提高了目標(biāo)設(shè)備或電腦無(wú)防御地被大范圍攻擊的可能性。

梁國(guó)賢表示，上述并非代表所有攻擊手段，但是整合這些和其它攻擊手段便可以擊破企業(yè)外部邊界，使攻擊者直擊業(yè)務(wù)核心。

層層追溯

攻擊的目的一般有三種：獲得經(jīng)濟(jì)獲益、競(jìng)爭(zhēng)優(yōu)勢(shì)或報(bào)仇。在企業(yè)網(wǎng)絡(luò)中建立立足點(diǎn)之后，黑客就專注于接近預(yù)定目標(biāo)，通常情況下預(yù)定目標(biāo)是高級(jí)決策者。最常見(jiàn)方法就是從目標(biāo)電腦上取得一份文檔，透過(guò)遠(yuǎn)程訪問(wèn)終端使其感染病毒，然后將郵件發(fā)送至目標(biāo)電腦并發(fā)出轉(zhuǎn)發(fā)指令。目標(biāo)電腦收到來(lái)源可靠的附件，文檔被打開(kāi)后，就會(huì)被安裝病毒，建立后門程序。

不可修補(bǔ)的人為因素

企業(yè)員工在安全進(jìn)程中不可或缺，他們易被誤導(dǎo)或進(jìn)行錯(cuò)誤操作而導(dǎo)致感染惡意軟件或無(wú)意識(shí)地造成數(shù)據(jù)丟失。其實(shí)，員工才應(yīng)該是第一道防線。然而目前，多數(shù)企業(yè)在安全防護(hù)中并未重視用戶的參與。

要實(shí)現(xiàn)在今天IT環(huán)境下所需的保護(hù)等級(jí)，企業(yè)不能僅僅將安全視為一系列不同技術(shù)的組合，而應(yīng)該是一個(gè)以用戶為核心的商業(yè)流程。不斷的培訓(xùn)和界定明確的安全政策是教育過(guò)程中的關(guān)鍵。

定期讓用戶參與，有助于幫助用戶提升安全意識(shí)，從而變得更加警惕。增加對(duì)“魚(yú)叉式網(wǎng)路釣魚(yú)”等威脅的了解，將幫助用戶預(yù)防威脅并在安全事故發(fā)生時(shí)能及時(shí)地補(bǔ)救。

梁國(guó)賢總結(jié)說(shuō)，Check Point提倡的“3D 安全”方針就是要協(xié)助企業(yè)應(yīng)對(duì)此等挑戰(zhàn)，這個(gè)理念的要點(diǎn)是指出安全保護(hù)應(yīng)該是一個(gè)三維的立體商業(yè)流程，通過(guò)整合安全政策、人員以及到位的執(zhí)行力，為各個(gè)層面提供固若金湯的安全防護(hù)。憑著3D安全方針，企業(yè)能夠掌握及實(shí)施一個(gè)超越技術(shù)層次的安全藍(lán)圖，確保得到周全的信息安全。