信息化觀察網(wǎng)

犯罪黑客的目標范圍很廣，從行政助理到他們所服務的高管們等等。正如網(wǎng)絡安全公司Proofpoint所說，黑客的目標是“欺騙員工打開不安全的附件，或者點擊可疑的網(wǎng)絡鏈接。他們冒充你的首席執(zhí)行官，命令你的財務部門匯款。他們欺騙你的客戶，使其與誤認為是你的網(wǎng)站分享登錄憑證。”

大多數(shù)企業(yè)IT系統(tǒng)都能很好地抵御網(wǎng)絡攻擊，盡管并非無懈可擊。但員工下班后使用的個人設備和網(wǎng)絡工具可能不那么安全，有可能會繞過企業(yè)的安全防護措施。

IBM的X-Force Red資深白帽黑客部門的首席黑客專家Stephanie Carruthers介紹說，與此同時，越來越多的騙子瞄準特定的個人，比如首席財務官，因為這些高管們擁有訪問敏感企業(yè)數(shù)據(jù)的高級權限。其他潛在目標通常是能夠訪問敏感信息的員工，例如，IT和網(wǎng)絡安全、人力資源和法律部門的員工。

Carruthers說：“誰會成為目標，關鍵在于他們能接觸到什么。”她補充說，這種目標定位越來越明顯，因為簡單地說，這樣可以更有效。“以高風險員工為目標有助于犯罪分子直接瞄準他們想要得到的東西，而不必漫無目的的尋找。”

Sophos公司的首席研究科學家Chester Wisniewski指出，犯罪黑客可以從公共社交媒體賬戶或者其他網(wǎng)上資源收集有關某人及其單位的信息，這些信息提供了出于犯罪目的而冒充他人所需的開源情報（OSINT）。

同時，由于如此多的交流都是數(shù)字化的，因此很難發(fā)現(xiàn)冒名頂替者。Wisniewski補充道：“如果你認識的人打電話給你，你可以通過他們的聲音對他們進行身份驗證。但在網(wǎng)上要做到這一點并不總是那么容易。”

為了阻止針對員工的攻擊，一些企業(yè)開始為高風險個人制訂個人OPSEC計劃，以更好地保護他們的工作和個人生活。這些計劃超越了標準的企業(yè)安全協(xié)議、實踐和工具，目的是提供個性化的網(wǎng)絡安全培訓和保護措施。

Carruthers說：“對企業(yè)來說，安全實在太難了，太多的企業(yè)只是為所有員工提供安全意識培訓。下一步是為高風險員工制訂OPSEC計劃，我認為應該有更多的企業(yè)這樣做。”

以下介紹為各級高風險工作人員制訂最有效的個人OPSEC計劃的10個技巧和最佳實踐。

包括企業(yè)以及個人賬戶和設備

信息安全咨詢公司TrustedSec治理、風險管理和合規(guī)部門的業(yè)務主管Alex Hamerstone指出：“通常情況下，OPSEC計劃只關注工作賬戶，而不是高管或者員工經(jīng)常使用的個人賬戶。有多種方法能夠借助于個人賬戶而進入工作賬戶——無論是通過重復使用密碼還是通過個人設備登錄企業(yè)服務。”

Hamerstone補充道，現(xiàn)在，高管更容易成為目標，因為他們使用的設備比過去多得多，包括筆記本電腦、智能手機、平板電腦、智能手表和其他物聯(lián)網(wǎng)（IoT）設備。他補充道：“聯(lián)網(wǎng)汽車也是一個新興領域，在未來幾年會變得越來越重要。OPSEC計劃必須考慮到這些方面，即加強實際使用的設備，限制設備可以存儲或者訪問的企業(yè)數(shù)據(jù)，想到哪些賬戶可能會被攻破，可能會被這些設備利用。”

此外，企業(yè)安全計劃保障范圍通常不會超出實際的辦公樓范圍。Hamerstone說：“但這是極大的疏忽，必須通過層層設防來加強高管的家庭網(wǎng)絡。高管還應該在家中使用專用IP，該IP與家庭網(wǎng)絡的其他部分相隔離。他們在家中存儲或者訪問的數(shù)據(jù)類型應受到限制、阻斷或者使用強加密進行加固。”

讓高風險員工參與計劃

Hamerstone說，OPSEC計劃成功的最大障礙往往在于要保護的人。他說：“對于這些高管們來說，在涉及到自己的個人行為時，他們通常會推翻OPSEC計劃的建議，或者完全無視這些建議。”例如，Hamerstone回憶起一位首席執(zhí)行官，給他的建議是，去國外出差時不要帶上他的個人筆記本電腦——但他還是這么做了，而這可能會危及企業(yè)數(shù)據(jù)的安全。

Hamerstone建議給高管們提供具體的例子，或者公開的新聞故事，從而說明他們是怎樣成為攻擊目標的。此外，OPSEC計劃應盡可能簡單，方便高管們去遵循。他解釋說：“這就像車上的安全氣囊。設計和安裝安全氣囊涉及到工程師和制造商在幕后進行的大量工作。而用戶甚至沒有注意到這些。”

設立具體的社交媒體政策和程序

Hamerstone說，從LinkedIn、Twitter、Facebook和Instagram等社交媒體網(wǎng)站上可以得到高風險員工的信息，這些員工信息會被湊在一起，被用于各種社會工程攻擊目的，成為外圍攻擊目標，還被用于跟蹤物理位置，發(fā)現(xiàn)企業(yè)IT系統(tǒng)的弱點。

你可以采取以下幾個步驟來更好地保護社交媒體上的高風險個人：

制訂明確的、易于遵循的指南。說明哪些內容可以共享，哪些內容會把企業(yè)置于風險之中。例如，會計公司W(wǎng)olf & Company的IT保障高級顧問Sean Goodwin解釋說，對最近的新聞事件發(fā)表評論通常是安全的，而在運營中心內部進行自拍則是不安全的。他補充說：“你的政策要切合實際，因為幾乎不可能做到完全禁止。另外，解釋什么是邊信道攻擊，一些攻擊者是怎樣通過個人社交媒體賬戶進入公司賬戶的。”

私人賬戶要保密。Carruthers說，理想情況下，高層管理人員和其他高風險員工應保持他們個人社交媒體賬戶的私密性。此外，與高管鏈接的社交媒體賬戶也應該保持私密性。她解釋說：“很多時候，盡管一個社交媒體賬戶是私密的，但仍然可以從他們的孩子、配偶或者朋友分享的圖片和帖子中找到有關這位高管的信息。理想的做法是確保與管理層有聯(lián)系的每個人都把自己的賬戶設為私密的。”

維護獨立的公共社交媒體資料。Wisniewski建議，高層管理人員應該在Twitter、LinkedIn、Facebook和其他重要的社交媒體網(wǎng)絡上開設公共賬戶。“重要的是，必須聲明并使用這些賬戶，以防止犯罪分子在社交媒體上冒用您的身份。”他補充說，高層管理人員通常會讓公司的營銷部門管理并發(fā)布到他們的公共賬戶中。

經(jīng)常性地進行“白手套”安全培訓

Carruthers說：“高風險員工應該經(jīng)常接受專門為他們提供的額外培訓。從門衛(wèi)到首席執(zhí)行官，每個人都有不同的威脅模型，所以他們需要與自己的威脅模型相關的培訓。”

Carruthers補充說，高風險員工特別應該接受移動安全風險培訓。有些人認為他們的移動設備相當安全，尤其是與他們的計算機相比，因此他們在使用智能手機或者平板電腦時會放松警惕。她補充說：“當我向智能手機發(fā)送網(wǎng)絡釣魚信息（作為一個白帽黑客）時，我的成功率要比向桌面計算機發(fā)送網(wǎng)絡釣魚信息高得多。”然而，smishing（短信網(wǎng)絡釣魚）和vishing（語音網(wǎng)絡釣魚）等移動威脅越來越多了。

需要雙重身份驗證和密碼管理器

Carruthers說，企業(yè)應要求所有高風險員工在他們的個人賬戶（比如Gmail或者Dropbox）以及他們所使用的公司賬戶上使用雙重身份驗證（2FA）。

此外，高風險員工應使用密碼管理器應用程序（比如，1Password和Dashlane）進行個人登錄和專業(yè)登錄。Carruthers補充說：“我們看到的數(shù)據(jù)泄露事件太多了，這是因為攻擊者獲得了人們在多個賬戶上重復使用的密碼。”

在回答安全問題時撒謊

通常，在建立賬戶和密碼時，網(wǎng)站會要求用戶回答三個或者更多的安全問題，例如，“你的第一只寵物叫什么名字？”。但考慮到可以從社交媒體上收集到很多個人信息，Carruthers建議高風險員工對這些安全問題給出錯誤的答案。一定要在安全的地方寫下錯誤的答案，例如密碼管理器應用程序中的備注區(qū)域。

要方便進行信息驗證

Wisniewski說，每當Sophos的經(jīng)理需要與員工共享信息時，他們首先把信息發(fā)布到安全的內部Sophos wiki上，然后通過電子郵件發(fā)送出去。這樣，接收者就很容易驗證來自經(jīng)理們的信息是否合法。

建立明確的程序來驗證請求

騙子們經(jīng)常使用OSINT來冒充某個高管，然后向不知情的員工發(fā)送看似來自該高管的電子郵件。該電子郵件可能會提出各種各樣的理由讓員工把錢匯到與常用交易賬戶不同的賬戶中。

因此，你的OPSEC計劃應該有一個簡單的程序來驗證這樣的請求是否合法。Wisniewski說：“如果一個請求超過了一定的金額并且/或者涉及程序變更，你的OPSEC政策應要求員工通過口頭和數(shù)字兩種方式確認該請求是合法的。我們的目標不是讓人們承受太多的安全步驟，而是讓他們在真正需要的時候采取額外的措施。”

設立報告可疑活動的程序

通過語音網(wǎng)絡釣魚，犯罪黑客會冒充企業(yè)的IT或者其他部門員工，并給公司的員工逐個打電話，希望有人無意中給黑客提供用戶名和密碼。通常情況下，員工可能會感到電話中的某些事情很蹊蹺，但他們會掛斷電話，不再采取進一步的行動。Wisniewski說：“要有既定的程序，讓員工知道向哪里報告可疑的事情，這樣你就可以很快地把消息傳達給公司里的其他人。”

定期測試高風險員工

Carruthers說，高風險員工應該經(jīng)常接受安全方面的測試，特別是社會工程攻擊。“向他們發(fā)送假的網(wǎng)絡釣魚電子郵件，看看他們是否向你的網(wǎng)絡安全部門報告，或者他們是否點擊電子郵件中嵌入的鏈接?？纯此麄兪欠駮陔娫捝习衙艽a告訴一個看似合法的陌生人。重點是幫助高風險員工了解針對他們的目標攻擊是什么樣子的，以及他們對這些攻擊有多敏感。”

作者：James A. Martin是舊金山一名經(jīng)驗豐富的科技記者和博客寫手，由于其在CIO.com上的技術生活直播博文而獲得了2014年ASBPE國家金獎。James還是內容營銷顧問。

編譯：Charles

原文網(wǎng)址：https://www.csoonline.com/article/3429641/developing-personal-opsec-plans-10-tips-for-protecting-high-value-targets.html