网络安全防护中的重大缺失!缺少了对人的防护
现在每一个厂商都在说自己的产品或系统有多好,至少不会比别人差。可是早在多年以前,就有统计数据显示,至少有40%的比例是从人这边入手的,这里面就牵扯到一门学说《社会工程学》,有人定义为人肉搜索,有人定义为信息窃取,冠冕堂皇点说,社会工程学是通过对社会人的心里弱点、习惯弱点的分析,通过手段达到目的的过程。
很多网络安全事件的爆发就是利用了人性弱点切入的,我们从两个实例中就可以看到社会工程学的可怕:
臭名昭著的XCODE Ghost事件
2015年9月14日,CNCERT发布了一个安全公告,警告非官方的若干版本的Xcode程序包(苹果系统的软件开发包)被做了恶意的修改被并故意大范围散发诱导使用,经由这个Xcode开发包编译的苹果系统程序会被植入恶意代码。已知有数百个应用程序受影响,包括微信 (6.2.5),滴滴出行(4.0.0),滴滴打车(3.9.7),联通手机营业厅(3.2),高德地图(7.3.8.2037),铁路12306(2.1),同花顺(9.26.03 - 9.26.01)等知名App。这些被特洛伊化的应用会连接外部的控制服务器,导致信息泄露甚至被远程控制。
这么多著名公司都中招了!这是为什么???
就是XCODE Ghost制造者洞悉了社会工程学,了解了人性的两大弱点:
- 习惯性思维
- 人之初,性本懒。
所有人都有这样的弱点,我们在这里不评价人性。
还记得我们用了那么多年的第三方**的windows安装包和Office安装包吗?到底有多少人用,我们不得而知,占便宜占久了之后,觉得这种下载包没啥问题,形成了习惯性的思维。
中国大陆访问Mac App Store有连接困难,而且正版免费的XCODE包非常大,部分开发者选择了国内第三方渠道下载(如某云盘),把今天的开发,编译,打包,测试一条龙的活干完了可能都到晚上9点了,照这么慢的下载速度,今天12点都完不了!所以…中招了。
如此的自然,随风潜入夜,润物细无声!
CTB-Locker 勒索病毒
想必大家对这个屏幕还会有一点印象:
这个就是当时著名的CTB-Locker 勒索病毒,当时的这波黑客通过精准分析锁定了一大批500强公司的高管,这些高管的共性特征是有钱,不懂网络安全概念(不懂网安技术很正常,但是很多高管不具有网络安全概念,认为有IT部门伺候着就安全了),然后他们分析了这些公司的客户或活跃的供应商与这家公司的往来信息,伪造成客户或供应商的口吻,很正式的发送Email邀请函,附加诸如PDF附件,然后高管们一点,就中招了。
由于这些高管电脑中的文件非常重要,在规定时间里面不付钱的话,文件就会被破坏掉,而且这事情让外界知道了,不知道股价要下跌多少。不得已,只能把这个钱交了。据说这是个诚信组织,交了钱就解锁,赚够钱之后,一不做二不休,源代码直接开源,包括加解密。
这同样也是利用了习惯性思维导致警惕性降低的弱点。因为人不可能时时刻刻对自己熟悉的,信任的对象保持警惕。
总结
网络安全防护的提升是人与系统的有效结合,单纯的说安全产品功能如何强大是片面的,如同我们上面的两个例子,中招的公司实力不可谓不强,规模不可谓不大,流程不可谓不完善,为啥还出这些事?就是缺少了对人的安全意识的普及,训练和强化。