根據 Gartner 的預測,到 2024 年全球對於安全和風險管理的用戶支出將達到 2150 億美元,較 2023 年增加了近 15%。這項投資的增長有其原因,單單看看勒索軟體攻擊就足以佐證,根據 Corvus Insurance 最近的研究,2023 年勒索軟體攻擊較 2022 年增加了 68%,創下單年 4,496 起的新紀錄。
雖然企業投資各種新穎科技來強化網路邊界,對抗日益精密的攻擊手法,像是終端偵測與回應、安全存取服務邊緣、身分與存取管理等,但同時也忽視了一些網路犯罪分子可乘之機的關鍵漏洞,其中之一就是 IT 助理服務。
助理服務的確已成為網路犯罪分子的側門入口。要瞭解這個疏忽有多嚴重,不妨看看去年 9 月拉斯維加斯一家頂級度假村的遭遇。當時有駭客利用 Linkedln 取得一名員工的資訊,然後做了一些社交工程學手段,成功駭入 IT 助理服務端重設了該員工的帳號,接著就是一連串的不幸事件,最終演變成一起徹底的勒索軟體攻擊。影響簡直是災難性的:客房電子鑰匙失效、信用卡終端關閉、老虎機當機等等。
在這場攻防戰中,企業為了抵禦日益精密的攻擊所投注的龐大資金,和這次事件形成了強烈對比,因為攻擊者取得進入點的管道其實是一個使用者帳號,而其手法則是再簡單不過的社交工程學。儘管如此,這種方式還是讓駭客在短時間內就可跳過數個步驟。
最近我常聽到這種說法:「攻擊者並不侵入,他們是直接登入的。」上述的那家度假村並非個例,許多其他公司都曾透過助理服務受到駭客入侵,因此開始投資安全的多重驗證機制(MFA),要求員工提供多種類型的驗證資訊。MFA 固然是好的第一步,但單憑它是不夠的。
許多企業漏掉了重要一環,就是沒有投資驗證使用者身分的程序,導致當駭客掌握了某些關鍵個人資訊,能通過這類驗證程序時,他們就能說服助理人員重設帳戶密碼或 MFA 機制,然後就輕易取得一大堆特權資訊的存取權。
要徹底杜絕這類側門漏洞並防範入侵,助理人員應該採取多步驟驗證的程序,藉由要求使用者提供不只一種驗證資訊,降低駭客有機會接管帳號的風險。關鍵在於要向使用者詢問在 Linkedln 或其他社交媒體平台無法取得的訊息,而不是再使用過度使用的安全性問題,像是母姓名、成長街道或高中校名等相對可見的資訊。
另一項可行的程序是增加可視化的驗證環節,像是透過視訊電話,由員工的主管或同事上線進行身分確認;企業也可進一步投資運用人臉辨識科技,並結合其他背景資訊來驗證身分。
最後一組可考慮的驗證要素是位置、網路和時間等資訊,以確認使用者的身分。
培訓助理人員意識
有必要培訓助理人員瞭解駭客最新的手法。例如駭客常常製造出一種假的緊急狀況,期盼對方為了立即處理或獲得存取權,就會省略關鍵的驗證程序,而直接給予他們所要求的資訊。尤其當駭客冒充公司的高階主管時,這種手段更是屢試不爽。因此,所有助理人員都應接受相關訓練,學會識破這類伎倆並做出適當因應。
受過良好訓練的助理人員,在詢問一連串的個人問題時也應該能夠洞察其他蛛絲馬跡。比如有時候助理可能會發現對方在回答一些基本的問題時,反應異常緩慢,這就很可能表示對方不是自己宣稱的那個人。
限制個資過度外洩
除了助理服務端外,公司的安全團隊也應該教育所有員工,自律不要在社交媒體平台上過度分享個人資訊。正如我們自身的經驗,很多網站在你忘記密碼時,都會問類似的驗證問題,比如你成長的街道、第一所就讀學校、高中校名、母親的娘家姓氏等等。同時我們也都知道,很多人都無意間在社交媒體上分享了這些資訊,導致任何人都可以取得答案。因此公司應該與員工密切合作,確保他們在網路上分享的訊息,與公司使用的驗證問題無關。
在這個日益精密的網路攻防大戰中,利用助理服務端的手法儘管簡單,卻暴露了漏洞,很可能成為其他駭客的新興目標。因此企業必須立即採取行動,透過投資額外的解決方案以及加強人員訓練,堵住助理服務這扇側門,確保不會將企業的大門鑰匙交給不該得到的人。
幸運的是,只要投資相關的解決方案並落實對助理人員和一般員工的教育訓練,就能有效防堵助理服務這個入侵路徑。
詳情請看:
