我們知道許多透過惡意軟體或系統漏洞來竊取密碼的技術方法,而其中最難抵禦的方法之一就是讓使用者在不知情的狀況下主動披露自己的登入憑證。
是的,這就是網路釣魚。具體來說,網路釣魚就是誘騙使用者訪問假冒的釣魚網站並將自己的登入憑證輸入其中的一種技術手段。
我們經常會看到假冒的Gmail或Dropbox電子郵件,而且大多數使用者都有能力判斷這些郵件屬於傳統的釣魚郵件。
所以說,企業應該如何防範這種網路釣魚方式呢?
最好的防禦措施之一就是儘可能地實施雙因子身份認證。如果登入證書被盜用,攻擊者在利用這些證書之前還需要第二個認證因素。這種措施無法阻止攻擊者竊取登入憑證,但是能夠有效地阻止攻擊者成功利用這些獲取到的憑證。
另一個重要的防禦措施就是對使用者進行安全培訓。
對使用者進行培訓能夠加深使用者對網路釣魚技能的認知,以便識別釣魚行為。此外,還能使安全團隊從使用者行為(可能被技術人員認為是理所當然的行為)中學習到有價值的見解。
例如,使用者可能會習慣假設組織已經對電子郵件進行了過濾,以防止任何惡意郵件透過,但是這種假設是錯誤的。無論多麼高質量的電子郵件保護措施,都可能會無法避免地“放過”一些惡意電子郵件。
對於惡意網站也是如此。使用者可能會理所當然地認為有保護措施已經對惡意網站進行了過濾,但是即便是最好的網頁過濾工具也可能會漏過少數的惡意網站。
一旦使用者能夠了解到,任何安全工具無法完全保障百分百地阻止所有的惡意電子郵件或站點,他們才有可能形成一種高度的責任感,來幫助維護組織的網路安全。
此外,使用者能夠了解攻擊者可以輕鬆地建立一個釣魚網站也是非常重要的。
對攻擊者而言,建立一個包含登入表單、標題和組織logo的網站是一件非常簡單的事情。此外,攻擊者還可以輕鬆地克隆任何公開可用的網頁(甚至是您公司的網頁),並註冊一個類似的域名來迷惑使用者。
更重要的是,攻擊者還可以獲得免費的證書來顯示鎖定圖示,該圖示只意味著該網站的URL與證書相匹配,且其流量已被加密,但是這並不能保證使用者的安全。
使用者是安全等式成立的重要組成部分。因此,重視使用者培訓使其能夠做出正確和安全的選擇,樹立企業安全意識文化將幫助企業在安全態勢中獲取重大成功。
我們知道許多透過惡意軟體或系統漏洞來竊取密碼的技術方法,而其中最難抵禦的方法之一就是讓使用者在不知情的狀況下主動披露自己的登入憑證。
是的,這就是網路釣魚。具體來說,網路釣魚就是誘騙使用者訪問假冒的釣魚網站並將自己的登入憑證輸入其中的一種技術手段。
我們經常會看到假冒的Gmail或Dropbox電子郵件,而且大多數使用者都有能力判斷這些郵件屬於傳統的釣魚郵件。
所以說,企業應該如何防範這種網路釣魚方式呢?
最好的防禦措施之一就是儘可能地實施雙因子身份認證。如果登入證書被盜用,攻擊者在利用這些證書之前還需要第二個認證因素。這種措施無法阻止攻擊者竊取登入憑證,但是能夠有效地阻止攻擊者成功利用這些獲取到的憑證。
另一個重要的防禦措施就是對使用者進行安全培訓。
對使用者進行培訓能夠加深使用者對網路釣魚技能的認知,以便識別釣魚行為。此外,還能使安全團隊從使用者行為(可能被技術人員認為是理所當然的行為)中學習到有價值的見解。
例如,使用者可能會習慣假設組織已經對電子郵件進行了過濾,以防止任何惡意郵件透過,但是這種假設是錯誤的。無論多麼高質量的電子郵件保護措施,都可能會無法避免地“放過”一些惡意電子郵件。
對於惡意網站也是如此。使用者可能會理所當然地認為有保護措施已經對惡意網站進行了過濾,但是即便是最好的網頁過濾工具也可能會漏過少數的惡意網站。
一旦使用者能夠了解到,任何安全工具無法完全保障百分百地阻止所有的惡意電子郵件或站點,他們才有可能形成一種高度的責任感,來幫助維護組織的網路安全。
此外,使用者能夠了解攻擊者可以輕鬆地建立一個釣魚網站也是非常重要的。
對攻擊者而言,建立一個包含登入表單、標題和組織logo的網站是一件非常簡單的事情。此外,攻擊者還可以輕鬆地克隆任何公開可用的網頁(甚至是您公司的網頁),並註冊一個類似的域名來迷惑使用者。
更重要的是,攻擊者還可以獲得免費的證書來顯示鎖定圖示,該圖示只意味著該網站的URL與證書相匹配,且其流量已被加密,但是這並不能保證使用者的安全。
使用者是安全等式成立的重要組成部分。因此,重視使用者培訓使其能夠做出正確和安全的選擇,樹立企業安全意識文化將幫助企業在安全態勢中獲取重大成功。