面对黑客入侵，要有主动安全的新思维

     上世纪末，欧洲车商的市场竞争，Volvo沃尔沃因为发明了安全带，汽车钢板较厚，在定位上被视为是较为安全的汽车品牌，深受年长消费者喜欢。

      宝马（BMW）则以操控性强，对年轻人强调以“驾驶乐趣”来定位，可是渐渐的大家更注重汽车的安全性能，购买汽车优先考虑其安全性的诉求。

      此时宝马（BMW）提出一个市场上的创新概念叫作“主动安全”，特别强调其汽车性能的操控性及加速性，能够快速将车及人带离危险的场景，减少发生车祸的几率。由此可知，安全防护应是凌驾于一切功能之上的。

      不久前由Softnext守内安发布的“黑客最爱用的三种邮件入侵手法”，其实仔细看，这些漏洞及手法，都没有特别的新颖性，很多公司的信息网络系统之所以会被入侵，都是自身存在不健康的网络安全环境所致。

      自身的网络不健康，当被有心人士利用时，问题自然就发生了，就像亚健康的人更容易生病一样，定时的网络检查，教育及演练，对安全防范都是有效的，才能有备无患，亚健康的人也需要定时到医院体检，以提早发现健康的问题。

如何创造安全健康的网络环境？

一、漏洞修补，养成定期更新的好习惯。

     之前的文章里我们提到黑客最喜欢利用微软Office的OLE漏洞或方程式漏洞，除了微软之外，其它常用的软件也会出现漏洞，比如2018年被黑客广泛利用的Adobe Flash Player中的0-day零日漏洞（CVE-2018-4878）。

    该漏洞存在于Adobe Flash Player 28.0.0.161之前的版本中，能让攻击者通过网络或邮件传播包含恶意Flash内容的Office文档，获得系统控制权、执行任意代码。

     操作系统方面，除了Windows 7之外所有版本都受影响。

    据韩国计算机紧急响应团队披露，这个漏洞至少从2017年11月中旬就被发现了，而且韩国已有人利用此漏洞发起攻击，主要针对韩国与朝鲜合作的研究部门。

     虽然微软、Adobe即时发布了一个编号KB4074595的新补丁，专门用于修复Adobe Flash Player中的最新0-day零日漏洞。但是仍然有许多使用者因为没有养成定期更新的习惯，或是因为使用盗版软件而无法更新、或担心更新后有些功能无法使用…等理由而未更新，因此让黑客有机可乘。

二、开展社交工程演练

    除了利用技术侵入用户电脑之外，最厉害的黑客更擅长于利用人性的弱点，通过诱导、恐吓等方法达成入侵目的。

   Softnext守内安与ASRC研究中心2018年11月5日发布的一篇文章“Account was hacked！你收到恐吓信了吗？”，谈到ASRC研究中心陆续侦测到许多「恐吓」邮件，该类邮件主题会直接谈及收件者的帐号被入侵了，邮件的寄件人被伪冒成收件人的电子邮件地址。这样的做法除了可以突破设定不当的个人邮箱白名单外（例如：将自己的电子邮件位址加入白名单），另一个效果是让收件者误以为这封信是透过自己的邮件帐号发送的，迫使收件者相信自己的邮件帐号真的被入侵了！

恐吓邮件，利用收信人的害怕心理进行恐吓诈骗

     然后，攻击者要求收信人在一定的期间内付出比特币，而这些邮件的本身并没有夹带任何的恶意附件或攻击代码，纯粹是透过在心理上的恐吓，迫使收到此类邮件的受害者因害怕，而依照邮件的指示言听计从。

     因此，企业要加强员工的安全意识培训和建立社交防范战略体系来有效防范社交工程攻击，虽然很多企业已经意识到了社交工程演练的重要性，但却不知道如何下手，这里列出几个可以参考的方法：

    1.搜集、开发和维护多种不同的社交工程攻击案例，列出包括正确响应措施等多种可能的结果。

    2.使用简练的大白话教育员工如何防范社交工程攻击，比如告知员工时时想一想“自己是否有权提供信息？对方是否有限了解信息？”。

    3.建立社交工程攻击响应及经验分享系统，这是一项很创新也很易实施的战略措施，简单的方式是建立一个邮件列表，鼓励员工将可疑的或亲自遭遇的社交工程攻击经历和体验写下来，发给一个特定的邮件地址，比如security@company.com，通过这个邮件列表，其他员工可以在受到相同的社交工程攻击手法之前就做好应对准备。

    4.不定期实施模拟社交工程攻击测试，实际上现在的黑客攻击多数都会技术结合社交，所以在对内部信息系统进行技术层面的漏洞扫描和渗透测试之时，也应该强化对人员层面的社会工程学渗透攻击测试，测试也是模拟的演练，不造成实际的损失而获得宝贵的实践经验，更重要是在教育过程中提升了对社交工程攻击的应对能力。

    企业员工有了以上的健康认知，免疫力就增强了，造成安全事故的可能性就降低了。

    企业谈网络安全也一样，需要有主动安全的新思维从企业内部先健康起来，万一真的遇到网络攻击或是诈骗时，可以及时作适当的处置以减少损失。

    2018年，看到一些朋友因为公司中了勒索诈骗邮件，而忙得身心疲乏，有的因为处理邮件运行的问题，忙得几天都没得回家，所有从事信息安全的IT从业人员的工作压力都相当大，新的一年，期望大家更注意自身健康，先让自己健康起来，减少生病几率及增加抗压能力，才能承受的了信息安全事件产生突然而来的压力山大，公司要多做信息安全健康检查，以增强自身的免疫力，执行等保时，更容易落实及符合法规的要求。

本文来源：freebuf