在過去的幾年中，頻發(fā)的網(wǎng)絡(luò)安全事件時刻提醒并警示我們：對網(wǎng)絡(luò)安全來說，企業(yè)員工與技術(shù)一樣發(fā)揮著至關(guān)重要的作用。而很多企業(yè)往往會忽略人為因素，并沒有培訓(xùn)員工或讓其參與到安全策略定制或執(zhí)行中，幫助企業(yè)保護敏感信息。其實保護企業(yè)網(wǎng)絡(luò)安全，僅僅依靠投入大量資金部署單個安全硬件是不夠的，要防御種類繁多的安全威脅，必須是技術(shù)與員工教育雙管齊下。

現(xiàn)在，諸如社交工程一樣，利用員工進(jìn)行攻擊的黑客技術(shù)發(fā)展頗為迅速。在過去兩年，就有將近半數(shù)企業(yè)遭遇了25次或更多的攻擊，其中載有“魚叉式網(wǎng)路釣魚”（spear phishing）透過電子郵件和社交網(wǎng)絡(luò)傳播是最為普遍。每起安全事故帶來的損失約為25,000至100,000多美元。

Check Point北亞洲區(qū)地區(qū)總監(jiān)梁國賢表示:“造成此種趨勢主要有兩個因素。首先，對于大多數(shù)雇主來說，企業(yè)缺少適當(dāng)?shù)恼叻结樅蛦T工培訓(xùn)。其二，大量社交媒體平臺如雨后春筍般涌現(xiàn)，并且公開了大量個人最新或者其所在公司信息。黑客借此攫取信息創(chuàng)建員工個人資料，然后選定攻擊目標(biāo)并研究攻擊企業(yè)的切入點，從而提高了成功的可能性?！?BR>
一旦成功進(jìn)入，黑客便利用一系列工具，層層追溯，獲取公司高層甚至董事會成員的信息。利用這些信息，訪問企業(yè)商業(yè)敏感數(shù)據(jù)。但是，這些攻擊是如何發(fā)生的？黑客又是使用何種方法？

社交網(wǎng)絡(luò)監(jiān)控

與從“前門”直接攻入不同，社交工程攻擊則需更多技巧和計劃。監(jiān)控是了解潛在“目標(biāo)”的關(guān)鍵一步，可為黑客提供以下關(guān)鍵問題的答案：

§ 關(guān)鍵員工：誰是企業(yè)網(wǎng)絡(luò)安全的負(fù)責(zé)人？

§ 安全政策：企業(yè)已經(jīng)制定并執(zhí)行了哪些執(zhí)行安全政策？

§ 加密數(shù)據(jù)流：在非工作時間，對外SSL傳輸是否允許？

如今收集上述信息比過去容易很多。社交網(wǎng)絡(luò)和其他在線工具可以提供前所未有的信息來了解、窺探企業(yè)和員工的一切，黑客可迅速全面掌握攻擊目標(biāo)的情況。

§ 企業(yè)網(wǎng)站和招聘廣告中的信息可讓黑客更好地了解企業(yè)的安全狀況，從而幫助攻擊者完善其使用工具并發(fā)起攻擊，從而增加成功的可能性。

§ LinkedIn幫助黑客確定潛在攻擊目標(biāo)，新進(jìn)員工和供應(yīng)商最易成為下一個目標(biāo)。

§ Facebook and Twitter則因可提供個人喜好與興趣，成為黑客信息來源的金礦，幫助黑客開發(fā)出更多可行的攻擊。

§ Foursquare等手機服務(wù)網(wǎng)，如果用戶使用公開網(wǎng)絡(luò)登陸，就讓黑客很容易追蹤。

收集信息就這么簡單，而這些信息使攻擊者攻擊企業(yè)網(wǎng)絡(luò)準(zhǔn)備一切就緒。

現(xiàn)在的威脅

在企業(yè)中選出目標(biāo)之后，黑客滲透企業(yè)網(wǎng)絡(luò)最常利用的手段主要有以下幾點，了解這些將對提高員工意識和教育員工起到至關(guān)重要的作用。

§ 惡意附件可能是員工遇到的最常見攻擊載體之一，作為“魚叉式網(wǎng)路釣魚”的誘餌，一旦被打開，惡意軟件便自動裝載，典型的文件擴展名為微軟文檔和PDF。

§ 隱蔽強迫下載（drive-by downloads）經(jīng)常發(fā)生在訪問包含代碼的惡意網(wǎng)站或者偽造的網(wǎng)站時，它利用訪問者瀏覽器的安全漏洞，在其不知情的情況下安裝惡意軟件。

§ 零日攻擊(zero-day attacks)利用一個或多個未知漏洞進(jìn)行攻擊，例如Stuxnet就利用Windows的4個未知漏洞，提高了目標(biāo)設(shè)備或電腦無防御地被大范圍攻擊的可能性。

梁國賢表示，上述并非代表所有攻擊手段，但是整合這些和其它攻擊手段便可以擊破企業(yè)外部邊界，使攻擊者直擊業(yè)務(wù)核心。

層層追溯

攻擊的目的一般有三種：獲得經(jīng)濟獲益、競爭優(yōu)勢或報仇。在企業(yè)網(wǎng)絡(luò)中建立立足點之后，黑客就專注于接近預(yù)定目標(biāo)，通常情況下預(yù)定目標(biāo)是高級決策者。最常見方法就是從目標(biāo)電腦上取得一份文檔，透過遠(yuǎn)程訪問終端使其感染病毒，然后將郵件發(fā)送至目標(biāo)電腦并發(fā)出轉(zhuǎn)發(fā)指令。目標(biāo)電腦收到來源可靠的附件，文檔被打開后，就會被安裝病毒，建立后門程序。

不可修補的人為因素

企業(yè)員工在安全進(jìn)程中不可或缺，他們易被誤導(dǎo)或進(jìn)行錯誤操作而導(dǎo)致感染惡意軟件或無意識地造成數(shù)據(jù)丟失。其實，員工才應(yīng)該是第一道防線。然而目前，多數(shù)企業(yè)在安全防護中并未重視用戶的參與。

要實現(xiàn)在今天IT環(huán)境下所需的保護等級，企業(yè)不能僅僅將安全視為一系列不同技術(shù)的組合，而應(yīng)該是一個以用戶為核心的商業(yè)流程。不斷的培訓(xùn)和界定明確的安全政策是教育過程中的關(guān)鍵。

定期讓用戶參與，有助于幫助用戶提升安全意識，從而變得更加警惕。增加對“魚叉式網(wǎng)路釣魚”等威脅的了解，將幫助用戶預(yù)防威脅并在安全事故發(fā)生時能及時地補救。

梁國賢總結(jié)說，Check Point提倡的“3D 安全”方針就是要協(xié)助企業(yè)應(yīng)對此等挑戰(zhàn)，這個理念的要點是指出安全保護應(yīng)該是一個三維的立體商業(yè)流程，通過整合安全政策、人員以及到位的執(zhí)行力，為各個層面提供固若金湯的安全防護。憑著3D安全方針，企業(yè)能夠掌握及實施一個超越技術(shù)層次的安全藍(lán)圖，確保得到周全的信息安全。