我经常跟企业负责人说一个观点,技术层面的安全防护做得再好,如果人的安全意识跟不上,那漏洞始终存在。远程办公模式下,这个问题变得更加突出,因为员工离开公司集中办公的环境,失去了同事之间相互提醒和监督的优势,更容易成为社交工程攻击的目标。
去年我接触过一家制造企业的案例,他们在推行远程办公后不到三个月,就接连发生了几起信息安全事件。调查后发现,这些事件有一个共同特点,都是攻击者通过冒充公司内部人员,利用电话、邮件或者即时通讯工具,骗取员工透露系统登录信息或者帮忙转发文件。这就是典型的社交工程攻击。
社交工程攻击在远程办公环境下为什么特别难防?关键原因在于沟通方式被割裂了。在公司办公室里,你看到一个人走过来,你知道他是谁。但在远程环境下,你只能看到一个头像、一个名字、一串邮件地址。攻击者可以利用这些信息缺口,冒充你的同事、上级、客户甚至IT支持人员。很多时候员工在收到一条"我是王总,新手机号,加一下微信"的消息后,出于对领导的敬畏心理,可能不会去核实真伪。
具体来说,远程办公中常见的社交工程攻击有这样几种形式。第一种是钓鱼邮件,攻击者伪装成公司IT部门,通知员工更新系统密码,引导点击一个假的登录页面,输入的信息就被截获了。第二种是电话冒充,攻击者打电话给员工,自称是公司总部的安全人员,需要远程协助核查系统,要求员工提供远程控制权限。第三种是即时通讯欺诈,攻击者通过已经攻破的同事账号,在工作群里发消息要求紧急转账或者提供敏感文件。
针对这些攻击方式,企业应该从制度和培训两个层面来应对。制度层面,建议建立远程办公人员的身份核实流程。比如,任何人通过非面对面方式要求提供敏感信息或执行敏感操作时,接收方必须通过第二个独立渠道进行身份确认。什么意思呢,就是在微信上收到一个要求,打个电话回拨确认一下再执行。这条规则虽然会增加一点沟通成本,但能拦截绝大多数的冒充攻击。
培训层面,定期给远程办公员工做社交工程攻击的识别培训。最好的方式是模拟攻击测试,比如由安全团队定期发送模拟钓鱼邮件,看看哪些员工会上当,然后针对性地进行教育。不要只在入职培训的时候讲一次就不管了,远程办公环境下的安全意识需要持续强化。
另外,我想特别提醒一点,远程办公环境下员工的个人信息也成了攻击的突破口。攻击者可能会在社交媒体上收集员工的信息,比如最近去哪里旅游了、养了什么宠物、孩子的名字是什么,然后用这些信息在冒充攻击中增加可信度。企业应该在安全培训中加入个人信息保护的内容,提醒员工注意在社交平台上的信息发布,尤其是不要在工作相关的社交账号上暴露过多个人细节。
技术手段也可以辅助防范社交工程。比如在公司邮件系统上部署反钓鱼检测功能,自动识别可疑的发件地址和链接。再比如在内部通讯工具中加入外部联系人标识,当员工与公司通讯录之外的人交流时,系统给出醒目的提示。但这些技术手段只能作为辅助,不能替代人的判断力。
最后我想强调,社交工程攻击的成功率很大程度上取决于人的警惕性。每一条要求提供密码、转账、发送文件的非面对面请求,都应该先停下来想一想:这个请求是否合理?发件人的身份是否真的核实过?有没有其他方式可以确认一下?养成这样的思考习惯,大部分社交工程攻击都能被挡在门外。
