電影《Hackers》有這樣一幕：Dade(也叫Zero Cool)打電話給一家公司，并說服一個職員給他調(diào)制解調(diào)器數(shù)量，這里面的談話就是他主要的滲透工作，那名倒霉的員工自然會告訴他任何需要知道的機(jī)密信息。這就是一次普通的社工攻擊，當(dāng)毫無防范意識的員工，遇到了精心準(zhǔn)備、精心偽裝的黑客，人們大都會因為沒有應(yīng)對社會工程學(xué)攻擊的經(jīng)驗，從而泄露給攻擊者想要的任何的一切機(jī)密資料。

?

社會工程學(xué)攻擊手段

?

很多企業(yè)、公司在信息安全上投入大量的資金，最終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。你們可能永遠(yuǎn)都想象不到，對于黑客們來說，通過一個用戶名、一串?dāng)?shù)字、一串英文代碼，攻擊者就可以通過這么幾條的線索，通過社工攻擊手段，加以篩選、整理，就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況，以及你在網(wǎng)上留下的一切痕跡等個人信息全部掌握得一清二楚。常見社會工程學(xué)攻擊有以下幾種：

?

直接索取

直接向目標(biāo)人員索取所需信息。

冒充相關(guān)人員

? 冒充高管：假裝是部門的高級主管，要求工作人員提供所需信息；

? 冒充求助職員：假裝是需要幫助的職員，請求工作人員幫助解決網(wǎng)絡(luò)問題，借以獲得所需信息；

? 冒充技術(shù)人員：假裝是正在處理網(wǎng)絡(luò)問題的技術(shù)支持人員，要求獲得所需信息以解決問題。

網(wǎng)絡(luò)釣魚

最典型的網(wǎng)絡(luò)釣魚攻擊是將被害人引誘到一個通過精心設(shè)計的，與目標(biāo)網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取被害人重要信息（如公司賬號、密碼等），通常這個攻擊過程不會讓受害者警覺。

利用郵件

? 病毒植入：在欺騙性信件內(nèi)加入木馬或病毒；

? 群發(fā)誘導(dǎo)：欺騙接收者將郵件群發(fā)給所有同事、朋友。

?

相對于暴力密碼破解、軟件漏洞利用這樣的“硬核”網(wǎng)絡(luò)攻擊，利用人的恐懼、貪婪、懶惰等心理而發(fā)動的攻擊，顯然成本更低，更容易成功，也更難以防范。

?

社會工程學(xué)攻擊依然是網(wǎng)絡(luò)安全的主要威脅

?

SEC（美國證券交易委員會）披露的639起數(shù)據(jù)泄露事件中，網(wǎng)絡(luò)釣魚攻擊手段占比高達(dá)25%。

Verizon發(fā)布的DBIR2020中，依然把釣魚攻擊列為數(shù)據(jù)泄露的第一大威脅。

?

通過技術(shù)手段對抗社會工程學(xué)攻擊有局限

?

一方面攻、防處于不對等地位。于攻擊者，只需要找到一個無論多么微不足道的弱點，防御方看似堅固的防線可能瞬間潰敗；于防御方，花費巨額投入和人力資源用于技術(shù)研究，安全防護(hù)設(shè)備一套又一套的上馬，代碼審計一遍又一遍的回看。依然可能某一天因為貴司一位幾乎與技術(shù)沾不上邊的員工被社工突破，導(dǎo)致貴司安全防線全線奔潰。

?

另一方面安全防護(hù)產(chǎn)品存在短板。如政府、企業(yè)部署的防垃圾郵件系統(tǒng)、郵件安全網(wǎng)關(guān)等，利用殺軟、沙箱、人工智能引擎等手段對郵件內(nèi)容、郵件附件做檢查。利用加殼、加花、沙箱環(huán)境檢測等傳統(tǒng)手段有一定概率可以繞過檢測；更有甚者通過購買0Day漏洞的高成本方式來發(fā)動攻擊。

?

釣魚攻擊的攻擊成本低、隱蔽性搞、持續(xù)性強(qiáng)，攻擊者可以持續(xù)不斷、花樣翻新地對眾多被攻擊對象發(fā)起一波又一波魚叉攻擊，被攻擊者只要百密一疏，攻擊者就能得手。

?

保險轉(zhuǎn)嫁社會工程學(xué)犯罪經(jīng)濟(jì)損失

?

網(wǎng)絡(luò)安全風(fēng)險具有不可絕對消除性，分散風(fēng)險作為網(wǎng)絡(luò)風(fēng)險管理工具的重要性日益增強(qiáng)。網(wǎng)絡(luò)安全保險作為有效轉(zhuǎn)移網(wǎng)絡(luò)安全風(fēng)險的工具，能夠幫助政府、企事業(yè)單位建立全面的網(wǎng)絡(luò)安全風(fēng)險應(yīng)對方案。

?

通過投保網(wǎng)絡(luò)安全保險可覆蓋社會工程學(xué)犯罪損失風(fēng)險敞口。保險公司將就被保險人因遭受社會工程學(xué)犯罪行為直接導(dǎo)致的社會工程學(xué)損失向被保險人進(jìn)行補(bǔ)償。

?

社會工程學(xué)犯罪行為：是指被保險人善意地按照據(jù)稱為被保險人、客戶或供應(yīng)商發(fā)送的轉(zhuǎn)賬指令，并轉(zhuǎn)移了財產(chǎn)、貨幣或有價證券，但事后證明該轉(zhuǎn)賬指令是由冒名頂替者發(fā)送，且未經(jīng)被保險人、客戶或供應(yīng)商的知情或同意。

?

社會工程學(xué)損失：是指由社會工程學(xué)犯罪行為直接導(dǎo)致的被保險人的財產(chǎn)、貨幣或有價證券的直接經(jīng)濟(jì)損失。

?

解決方案

?

安恒信息聯(lián)合保險公司共同推出的網(wǎng)絡(luò)安全保險，在國內(nèi)首創(chuàng)安全服務(wù)+保險補(bǔ)償?shù)男滦途W(wǎng)絡(luò)安全服務(wù)模式。依托安恒信息業(yè)界領(lǐng)先的安全產(chǎn)品和強(qiáng)大的安全服務(wù)團(tuán)隊，通過對用戶信息系統(tǒng)事前風(fēng)險評估、事中應(yīng)急防護(hù)、事后恢復(fù)取證的全周期安全服務(wù)，有效降低網(wǎng)絡(luò)安全風(fēng)險，最后通過保險實現(xiàn)剩余風(fēng)險的有效轉(zhuǎn)移，為企業(yè)形成網(wǎng)絡(luò)安全風(fēng)險管理的閉環(huán)。

當(dāng)前，我們已經(jīng)與國內(nèi)主要保險公司開展網(wǎng)絡(luò)安全保險的合作。保險項目覆蓋互聯(lián)網(wǎng)、醫(yī)療、金融、能源、政府、廣電、外貿(mào)、外企、游戲、制造業(yè)等多個行業(yè)。保險責(zé)任涵蓋營業(yè)中斷損失、網(wǎng)絡(luò)勒索損失、數(shù)據(jù)泄露損失、法律費用等。