電影《Hackers》有這樣一幕：Dade(也叫Zero Cool)打電話給一家公司，并說(shuō)服一個(gè)職員給他調(diào)制解調(diào)器數(shù)量，這里面的談話就是他主要的滲透工作，那名倒霉的員工自然會(huì)告訴他任何需要知道的機(jī)密信息。這就是一次普通的社工攻擊，當(dāng)毫無(wú)防范意識(shí)的員工，遇到了精心準(zhǔn)備、精心偽裝的黑客，人們大都會(huì)因?yàn)闆](méi)有應(yīng)對(duì)社會(huì)工程學(xué)攻擊的經(jīng)驗(yàn)，從而泄露給攻擊者想要的任何的一切機(jī)密資料。

?

社會(huì)工程學(xué)攻擊手段

?

很多企業(yè)、公司在信息安全上投入大量的資金，最終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。你們可能永遠(yuǎn)都想象不到，對(duì)于黑客們來(lái)說(shuō)，通過(guò)一個(gè)用戶名、一串?dāng)?shù)字、一串英文代碼，攻擊者就可以通過(guò)這么幾條的線索，通過(guò)社工攻擊手段，加以篩選、整理，就能把你的所有個(gè)人情況信息、家庭狀況、興趣愛(ài)好、婚姻狀況，以及你在網(wǎng)上留下的一切痕跡等個(gè)人信息全部掌握得一清二楚。常見(jiàn)社會(huì)工程學(xué)攻擊有以下幾種：

?

直接索取

直接向目標(biāo)人員索取所需信息。

冒充相關(guān)人員

? 冒充高管：假裝是部門(mén)的高級(jí)主管，要求工作人員提供所需信息；

? 冒充求助職員：假裝是需要幫助的職員，請(qǐng)求工作人員幫助解決網(wǎng)絡(luò)問(wèn)題，借以獲得所需信息；

? 冒充技術(shù)人員：假裝是正在處理網(wǎng)絡(luò)問(wèn)題的技術(shù)支持人員，要求獲得所需信息以解決問(wèn)題。

網(wǎng)絡(luò)釣魚(yú)

最典型的網(wǎng)絡(luò)釣魚(yú)攻擊是將被害人引誘到一個(gè)通過(guò)精心設(shè)計(jì)的，與目標(biāo)網(wǎng)站非常相似的釣魚(yú)網(wǎng)站上，并獲取被害人重要信息（如公司賬號(hào)、密碼等），通常這個(gè)攻擊過(guò)程不會(huì)讓受害者警覺(jué)。

利用郵件

? 病毒植入：在欺騙性信件內(nèi)加入木馬或病毒；

? 群發(fā)誘導(dǎo)：欺騙接收者將郵件群發(fā)給所有同事、朋友。

?

相對(duì)于暴力密碼破解、軟件漏洞利用這樣的“硬核”網(wǎng)絡(luò)攻擊，利用人的恐懼、貪婪、懶惰等心理而發(fā)動(dòng)的攻擊，顯然成本更低，更容易成功，也更難以防范。

?

社會(huì)工程學(xué)攻擊依然是網(wǎng)絡(luò)安全的主要威脅

?

SEC（美國(guó)證券交易委員會(huì)）披露的639起數(shù)據(jù)泄露事件中，網(wǎng)絡(luò)釣魚(yú)攻擊手段占比高達(dá)25%。

Verizon發(fā)布的DBIR2020中，依然把釣魚(yú)攻擊列為數(shù)據(jù)泄露的第一大威脅。

?

通過(guò)技術(shù)手段對(duì)抗社會(huì)工程學(xué)攻擊有局限

?

一方面攻、防處于不對(duì)等地位。于攻擊者，只需要找到一個(gè)無(wú)論多么微不足道的弱點(diǎn)，防御方看似堅(jiān)固的防線可能瞬間潰?。挥诜烙?，花費(fèi)巨額投入和人力資源用于技術(shù)研究，安全防護(hù)設(shè)備一套又一套的上馬，代碼審計(jì)一遍又一遍的回看。依然可能某一天因?yàn)橘F司一位幾乎與技術(shù)沾不上邊的員工被社工突破，導(dǎo)致貴司安全防線全線奔潰。

?

另一方面安全防護(hù)產(chǎn)品存在短板。如政府、企業(yè)部署的防垃圾郵件系統(tǒng)、郵件安全網(wǎng)關(guān)等，利用殺軟、沙箱、人工智能引擎等手段對(duì)郵件內(nèi)容、郵件附件做檢查。利用加殼、加花、沙箱環(huán)境檢測(cè)等傳統(tǒng)手段有一定概率可以繞過(guò)檢測(cè)；更有甚者通過(guò)購(gòu)買(mǎi)0Day漏洞的高成本方式來(lái)發(fā)動(dòng)攻擊。

?

釣魚(yú)攻擊的攻擊成本低、隱蔽性搞、持續(xù)性強(qiáng)，攻擊者可以持續(xù)不斷、花樣翻新地對(duì)眾多被攻擊對(duì)象發(fā)起一波又一波魚(yú)叉攻擊，被攻擊者只要百密一疏，攻擊者就能得手。

?

保險(xiǎn)轉(zhuǎn)嫁社會(huì)工程學(xué)犯罪經(jīng)濟(jì)損失

?

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有不可絕對(duì)消除性，分散風(fēng)險(xiǎn)作為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工具的重要性日益增強(qiáng)。網(wǎng)絡(luò)安全保險(xiǎn)作為有效轉(zhuǎn)移網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的工具，能夠幫助政府、企事業(yè)單位建立全面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)方案。

?

通過(guò)投保網(wǎng)絡(luò)安全保險(xiǎn)可覆蓋社會(huì)工程學(xué)犯罪損失風(fēng)險(xiǎn)敞口。保險(xiǎn)公司將就被保險(xiǎn)人因遭受社會(huì)工程學(xué)犯罪行為直接導(dǎo)致的社會(huì)工程學(xué)損失向被保險(xiǎn)人進(jìn)行補(bǔ)償。

?

社會(huì)工程學(xué)犯罪行為：是指被保險(xiǎn)人善意地按照據(jù)稱為被保險(xiǎn)人、客戶或供應(yīng)商發(fā)送的轉(zhuǎn)賬指令，并轉(zhuǎn)移了財(cái)產(chǎn)、貨幣或有價(jià)證券，但事后證明該轉(zhuǎn)賬指令是由冒名頂替者發(fā)送，且未經(jīng)被保險(xiǎn)人、客戶或供應(yīng)商的知情或同意。

?

社會(huì)工程學(xué)損失：是指由社會(huì)工程學(xué)犯罪行為直接導(dǎo)致的被保險(xiǎn)人的財(cái)產(chǎn)、貨幣或有價(jià)證券的直接經(jīng)濟(jì)損失。

?

解決方案

?

安恒信息聯(lián)合保險(xiǎn)公司共同推出的網(wǎng)絡(luò)安全保險(xiǎn)，在國(guó)內(nèi)首創(chuàng)安全服務(wù)+保險(xiǎn)補(bǔ)償?shù)男滦途W(wǎng)絡(luò)安全服務(wù)模式。依托安恒信息業(yè)界領(lǐng)先的安全產(chǎn)品和強(qiáng)大的安全服務(wù)團(tuán)隊(duì)，通過(guò)對(duì)用戶信息系統(tǒng)事前風(fēng)險(xiǎn)評(píng)估、事中應(yīng)急防護(hù)、事后恢復(fù)取證的全周期安全服務(wù)，有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，最后通過(guò)保險(xiǎn)實(shí)現(xiàn)剩余風(fēng)險(xiǎn)的有效轉(zhuǎn)移，為企業(yè)形成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的閉環(huán)。

當(dāng)前，我們已經(jīng)與國(guó)內(nèi)主要保險(xiǎn)公司開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)的合作。保險(xiǎn)項(xiàng)目覆蓋互聯(lián)網(wǎng)、醫(yī)療、金融、能源、政府、廣電、外貿(mào)、外企、游戲、制造業(yè)等多個(gè)行業(yè)。保險(xiǎn)責(zé)任涵蓋營(yíng)業(yè)中斷損失、網(wǎng)絡(luò)勒索損失、數(shù)據(jù)泄露損失、法律費(fèi)用等。