泄密就会放肆
收到一个新消息或者新邮件,点击里面的含有的网页链接,这个过程通常不用花费几秒钟事件。从心理学上来说,如果消息或邮件主题包含人类互动与归属感(社交邀请)、物质金融相关(银行账单、订单确认)、引发好奇或同情心(耸动新闻事件)会大大提高链接的点击率,这还只是针对一般性人群,那种看到链接就想点击的按钮狂魔就更不用说。
一个非法链接引诱员工在上班期间点击的比例能达到10%,这是什么概念呢:众多知名企业发布一个合法的、安全的广告链接的点击率能达到2%他们就很嗨森了。
一家名为法西奥的机械供应商,给很多企业提供机械装置,一般像这样明不经传的小企业应该没有什么黑客乐意关注——这家企业的网络安全管理者这么想着,然后他随意设置了一个极其简陋的密码系统。
不幸的是黑客看上了它所提供服务的某个大客户,在不费吹灰之力攻陷这个密码后,利用大客户对第三方供货商开放的内部网接近了储存敏感信息的核心系统,窃取了大量的机密信息,害的这个大客户的CIO、CEO先后离职,利润损失了数十亿英镑——这个客户就是零售巨头Target。
防护就是克制
在今天,信息泄密已经形成一个完整的产业链,所需的技术手法均很全面,他们可以放肆利用企业安全中的每个弱点分头尝试:企业安全防御程度、员工行为、第三方合作者……防护则是方方面面都需要周全的工作,从底层物理结构的设计、服务器关联第三方的安全阻断、内部网络安全等级、第三方提供商网络安全水平的评估和监管、公司内部人员管理条例、安全软件的正确使用……这些都不能各自为战,需要多个部门协同。因此,任重道远。