2023年初,美国网络安全和基础设施安全局(CISA)、美国国家安全局(NSA)以及多州信息共享与分析中心(MS-ISAC)发布了一份关于远程管理和远程访问软件恶意使用安全事故上升的联合公告。我们与 Splashtop 安全合规副总裁 Jerry Hsieh 就这些攻击以及远程访问用户如何保护自身和公司免受此类攻击进行了访谈。
网络犯罪分子如何恶意使用远程访问软件?
2022年6月,网络犯罪分子组织了一场针对政府工作人员的鱼叉式网络钓鱼活动。这场网络钓鱼活动主要流程如下:
使用陌生号码打电话冒充 IT 或技术支持,引导员工访问陌生网站
该陌生网站有下载和设置远程访问软件的相关说明
员工成功安装远程访问软件后,网络犯罪分子就能获得员工设备的访问权限
网络犯罪分子对远程访问软件的使用方法并不罕见。他们利用的是人性的弱点。
“人是网络安全中最薄弱的环节,”Splashtop 安全与合规副总裁 Jerry Hsieh 表示。
网络犯罪分子冒充值得信赖的同事,然后将目标瞄准缺乏网络安全教育的员工。利用这一漏洞,缺乏 网络安全教育的员工会按照网络犯罪分子的要求下载远程访问软件,然后犯罪分子就能从远程访问软件访问该名员工的设备。
网络安全面临的最大威胁往往与技术无关
Hsieh 称:“我经常收到员工转发的网络钓鱼邮件。”Hsieh 在网络安全领域工作了长达数十年,见过不少针对企业的创造性攻击。通过这几十年的工作经验,他发现所有创造性攻击的共同点在于利用人性的弱点。
Hsieh 说:“实习生或应届毕业生可能会在领英上发布有关新工作的帖子。网络安全犯罪分子可能会从实习生下手,将其视为安全漏洞,作为攻击目标以获取访问权限。”
缓解网络安全攻击
为了最大限度减少网络安全攻击,识别所有潜在漏洞很重要。关于社交网络欺诈,Hsieh 的建议如下:
"防止网络钓鱼攻击的最好办法就是对一切都抱有怀疑的态度,"Hsieh 说。 "如果有疑问,请询问你的安全团队"。
相比于暴力攻击,利用网络钓鱼以及其他社交网络欺诈手段更容易获取访问权限。可以通过以下几种方法加以防范:
采用强有力的安全培训实践
如果人是网络安全最薄弱的环节,那么我们能采取的最有效措施就是为员工提供合适的安全防范和教育。定期对员工进行网络安全最佳实践测试,同时为公司采用安全实践。
可以从常规的安全实践做起,例如强制执行多因素身份验证、采用单点登录工具或定期要求员工更改密码。尽管这样做无法阻止任何社交网络欺诈,但却能帮助员 工了解安全的重要性,深入思考数据安全的重要意义。
在对员工进行安全实践培训时,要重点介绍有关网络钓鱼和勒索软件的相关主题。随着生成式人工智能的兴起,与其相关的网络钓鱼诈骗越来越复杂,AI 换脸可以冒充员工本人,甚至可以模仿员工的沟通方式以及与其他同事的关系。确保员工收到的请求合法的一个简单方法是使用两个不同渠道验证通信,最好是亲自验证。
鼓励质疑,避免羞愧
制定放心举报可疑行为的安全观对于保护员工安全至关重要。要制定可疑行为举报流程,便于员工在遇到任何潜在的安全问题时进行举报,从而最大限度减少员工的强烈反对。
Hsieh 说:“大家都怕受惩罚,都有羞耻心,勒索软件正是利用了人们不想令自己难堪的这个习惯。”
羞耻心是员工决定是否报告网络安全问题的主要障碍。为避免这种情况,我们可以鼓励举报行为,而不要因潜在错误而惩罚员工。一个有效方法是向员工阐明举报政策,让员工清楚地知道,一旦账户发生网络安全事故,他们会受到什么影响。最好是能够完全避免让员工担责,因为安全事故发生并非员工本意,而是网络犯罪分子有意将员工当作攻击目标。
对数据源实施最小访问权限原则
另一种简单但常见的网络安全实践是最大限度地降低数据访问权限,有效防止重大数据泄露。试想,如果网络犯罪分子成功利用远程访问软件对实习生进行了网络钓鱼,他们可以访问哪些数据?
如果为所有员工设定相同的访问权限,则网络犯罪分子就能很容易攻击整个组织。而如果我们仅向需要的员工授予访问权限,那么一旦这名员工遭受网络攻击,犯罪分子有权访问的数据则仅限于该名员工的工作内容,而不是整个组织的重要数据。
不存在所谓的“最佳安全工具”
网络安全一直在不断适应和改变,这意味着网络犯罪分子绕过软件实施攻击的方式将会越来越复杂。
Hsieh 说:“世界上没有所谓最好的安全措施。只有不断增强的安全性。”
Hsieh 和 Splashtop 团队始终遵循这一原则以保持警觉,同时寻找不同方法以在日新月异的技术发展中保持警惕。如果您的团队正在设法改进网络安全流程,不妨考虑 Splashtop Secure Workspace。
Splashtop Secure Workspace 是一个安全访问平台,可便捷地保护对团队账户的访问、提供远程办公访问并简化登录流程。详细了解如何利用 Splashtop 保护工作场所。