好奇心导致的信息安全代价

Sammi888

“李宗瑞影片，赶快下载呦！”~~~政府机构以这样的主题编写的测试邮件，导致 996 名员工因为好奇并点击而“中招”，所有点击了链接的员工必须分批次参加一个两小时的信息安全课程。
如果你是 IT 部门的主管，你是否知道公司里哪些员工最容易打开色情类邮件附件？哪些部门是信息安全的雷区？
根据趋势科技以前针对国内某家员工数超过 300 人的企业所做的调查显示，防毒意识最差的部门是：业务部；而最可能打开危险邮件的员工是：工读生等临时雇员。



这意味着，帮助公司缔造业绩的部门，却同时有可能是企业网络运作杀手。跑腿的工读生，可能因为午休时间打开了朋友转发的色情邮件或网站链接，而让公司数字资产暴露在危险中。
这样说并不是要让 IT 部门在看完本文后把业务部的所有计算机搜查一遍，或者解雇所有工读生，而是要指出一个现象：在这个调查之前，该公司 IT 部门普遍不知道企业内部的安全杀手潜伏在哪个部门，也不知该如何隔离那些总是打开网络钓鱼页面，或不小心点击色情内容的高危人群。这是目前很多企业都会遇到的安全管理难题，尤其是网络使用自由度高的公司，IT 部门在不干涉员工上网的前提下，又要有效执行安全守则，确实比较困难。
最明显的例子是，员工打开色情邮件或链接容易引狼入室。此类邮件充分利用了员工的好奇心，一个邮件主题或者一个附件文件名，就能让用户点击鼠标进行传播，我们称之为社会工程学陷阱。
趋势科技拦截过很多以色情为饵的病毒。它们既不是散发大量邮件的蠕虫，也没有通过僵尸网络发送垃圾邮件，而是纯粹由用户主动转发木马程序。究其原因，其实就是一传十，十传百的道理，恶意内容就这样像滚雪球一样，影响范围越来越大。虽然属于手工散播，但只要想想这封电子邮件所传送的目标群体数量，加上每个群体的成员数量，最终的影响范围绝不容小觑。
信息安全从“IT 部门的事”到“全公司的事”
好的风险管理能成功教育员工为信息安全负责，计算机中毒时不但不应该冲动地拿起电话开骂 IT 部门，反而需要为自己违反公司安全政策，影响公司网络安全而自责，让安全意识的转变从“千错万错都是 IT 部门的错”到“安全政策，不再只是 IT 部门的事”。
有个真实案例，某公司过去网络中断时，员工总是大声抗议，但是请大家合作，遵守信息安全守则时，却总是得不到明显的成效，一直到他们举行了一次防毒演习为止。
在演习中，首先该公司以“看似”某部门最高领导 Dave 的名义发出“软件 Beta 版抢先试用，拿大奖”测试信，结果高达 98％ 的员工打开了附件，结果得到如下信息：“哈哈，上当了！！你的安全警觉性待加强。”而事实上该部门最高领导的正确名字是 David，并不是 Dave。凡是阅读并打开附件的收件人都会留下纪录，借着测试活动结果，以统计数据说服当事人或高层主管，企业潜在的人为因素对整体网络安全的影响。
误点信件比你想象的严重！APT 攻击全球戒备
今天我们就来分享APT 高级持续性渗透攻击和社会工程学陷阱邮件与入侵的模拟案例，让大家看看一时的好奇心可能付出的代价不只是个人计算机中毒，还有可能导致数据丢失，付出昂贵成本。
什么是 APT？简单说就是针对特定组织所作的复杂且多方位的网络攻击。
这两年让很多组织机构闻之色变的高级持续性渗透攻击（APT）的特点之一就是【假冒邮件】：针对被锁定对象发送几可乱真的社会工程学诈骗邮件，例如冒充领导来信，取得在计算机中植入恶意软件的第一个机会。
以往黑客发动的 APT 攻击虽然以政府机构为主要目标，但从 2010 年开始，越来越多的企业也成为黑客锁定窃取信息情报的受害者，2011 年几个世界性的组织在目标攻击下沦陷，付出了高昂的成本。RSA 和 Sony 是 2011 年最大的两个 APT 攻击受害者。几个世界性的组织在目标攻击下沦陷，付出了昂贵的成本，他们丢失了数百万客户的数据，光是完成修复就花费了巨资。
趋势科技身为全球云端安全的领导厂商，在年度云端信息安全盛会“CloudSec 2012”中，介绍了如何对新出现的 APT 威胁做出响应，并保护企业的重要机密信息。以下是趋势可技技术研发部技术经理翁世豪在会议中分享的：面对 APT，企业应当采取的纵深防御防御策略。
这里有几个邮件样本
1. 攻击者首先收集电子邮件清单，然后寄给组织内部的特定对象，这个看起来像是 Excel 文档的附件，打开后只有一个空白文件，难道是发错文件了吗？



其实看到这个界面时，病毒已经在后台运行了，因为该文件是经过特殊设计的，内部插入了一个 Flash 文件，即使用户已经更新了所有的补丁还是无法阻挡该攻击，因为这是零时差漏洞攻击。
2. 这个文章看了让你多活十年（这类搏感情的邮件，误点率很高）



3. 伪装成普通文件的可执行文件（RTLO 手法）
“企划rcs.doc”，这个文件看起来像是普通文档，但实际上这个文件的真正名称是“企划cod.scr”，黑客在这个屏幕保护程序中插入了句柄，让它的名称按照从后到前的顺序显示，点击后可以正常运行。






面对层出不穷的 APT 攻击事件，我们每个人都听说过没有万灵丹，需要做好长期抗战的准备...但难到企业真的就只能眼睁睁地看着黑客胡作非为？趋势科技通过完整的纵深防御架构以及回馈式防护机制，可以为客户提供最佳的 APT 防御解决方案。
下载本简报文件：
http://www.trendmicro.com.tw/micro/cloudsec/event/slides/C4.pdf
查看更多 CloudSec 2012精彩议程：
http://www.trendmicro.com.tw/micro/cloudsec/event/agenda.html
【如何避免 APT 高级持续性渗透攻击？】
趋势科技建议用户应当：
        养成良好的计算机使用习惯，避免打开来路不明的邮件附件文件
        安装有信誉的信息安全软件，并定期进行系统更新与扫毒
另一方面，为预防员工成为黑客攻击企业内部的跳板，建议企业也应当：
        建立早期预警系统，监控可疑访问与计算机
        构建多层次的信息安全防御机制，达到纵深防御的效果
        对企业内部敏感数据建立监控与访问控制策略
        企业内部应定期执行社交工程攻击演练
趋势科技PC-cillin 2012采用最新云计算安全技术，能随时搜集最新威胁信息，随时协助计算机于最新最佳状态，防范病毒与恶意软件。30 天免费试用版，即刻免费下载。
此内容来自爱趋势博客http://www.blog.iqushi.com

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro

雨过烟芸

学习了

心跳回忆

官人
来趋势区这么长时间第一次见

jgfhy

心跳回忆 发表于 2012-9-21 14:50
官人
来趋势区这么长时间第一次见

第一次见官人，给个红包

心跳回忆

jgfhy 发表于 2012-9-21 15:11
第一次见官人，给个红包

版主不能跨区评分的

卡不卡卡

心跳回忆 发表于 2012-9-21 15:12
版主不能跨区评分的

原以为可以纵横卡饭

UDady

第一次发现有趋势官人

magicface

反对钓鱼执法。

magicface

官方的人？趋势2013杀毒时重启，黑屏，调UAC的毛病什么时候改？

magicface

卡不卡卡 发表于 2012-9-21 15:33
原以为可以纵横卡饭

那种叫超级版主