在员工安全意识培训中,设置强密码;防范钓鱼攻击是最重要的两部分。Verizon 发布的《2018年数据泄露调查报告》显示,钓鱼和社会工程学攻击造成的泄露占总体的93%。而前段时间,黑客轻易获取到26亿份账号密码并在暗网售卖,也引起了一阵恐慌。
强密码与验证
2003年,美国国家标准技术研究所(NIST)发布规定,规定强密码由大写字母、小写字母、数字和符号等组成,且每三个月(90天)左右需要更新一次。
但事实上,很多人并没有遵守这个规定,因为复杂的密码很难记;经常修改也很麻烦。而且,P@s$w0rd、1L0v3U*7等密码虽然符合大小写字母+数字+符号的组合模式,但也很容易被黑客破解。安全研究人员也认为这个标准并不够准确。最终,NIST修改了相关的标准,规定强密码至少包含64个字符。用户但可以根据自己的习惯,用不同的词组成一句短句口令。这样更安全也更好记。同时,只要不将密码混用,避免撞库,就不用频繁修改密码。
识别钓鱼攻击
就算是内部员工或熟人发的内容也要再三确认之后再点击;
但是,如果在企业内部发送钓鱼邮件进行测试,结果往往出人意料。很多员工都会不假思索地点开这些测试邮件。因为在实际工作环境中,员工往往很忙,会忽略这些问题。
因此,定期针对内部员工进行钓鱼测试很有必要。要让员工明确了解企业的真实处境、面临的实际问题,并让他们意识到钓鱼带来的危害。
识别鱼叉式钓鱼或社会工程学攻击
与普通的钓鱼攻击相比,鱼叉式钓鱼更有针对性、更具迷惑性,让人更难防范。鱼叉式钓鱼攻击可能很少传播恶意软件,而是利用不同的社会工程学攻击方法,来诱骗目标上当。攻击者可以从领英等网站了解目标的各类信息,包括公司背景、个人信息、个人关系图谱等,然后利用这些信息伪造一些需求,进而骗取目标的账号密码甚至直接获取金钱。
企业不论规模大小,都有可能遭遇这样的攻击。在对员工进行防范培训时,最好展示实际案例,让他们了解攻击者是利用受害者留在网络中的信息进行钓鱼的多种方式。了解到这些内容,员工会意识到他们的网上信息的确存在风险,进而提高警惕。
提高防范意识是做好企业员工安全的第一步。但由于如今安全边界不断模糊甚至消亡,很多企业盛行BYOD办公文化,导致企业网络充斥各种设备。这些设备接触过公共Wi-Fi;开通过蓝牙连接;接入过不同的USB设备,可能会给企业带来潜在风险。这种情况下,要促进企业内及时沟通、开放交流。让员工一旦出现设备丢失或者其他问题,要及时报告,及时止损。
Wi-Fi和蓝牙安全
在安全培训中,需要向员工展示黑客如何通过公共Wi-Fi获取用户通过网络传输的信息。他们可以利用这些信息进一步钓鱼,甚至可以直接获取账号密码进而窃取财务。同时,黑客还可以利用公共Wi-Fi发送恶意弹窗小心,安装恶意软件并感染设备。
蓝牙传输也不是百分百安全。此前曝出的蓝牙漏洞可被黑客利用,侵入企业网络并窃取数据。如果有一台设备被感染,很可能将恶意软件传播到办公室中的其他设备,如计算机、打印机等。尽管大多数设备都修复了相关漏洞,但难免有万一。
所以,提醒员工不使用公共WiFi,并在不必要的情况下关闭蓝牙是较好的选择。
避免使用U盘
U盘以其便携、存储量大的特点,成为很多人青睐的办公助手。但是,U盘很容易丢失,且大多数人都没有将U盘加密。这会导致大量信息泄露。有研究发现,有90%的员工使用U盘,但其中80%都没将U盘加密。而更严重的是,87%的受访员工承认他们丢失了用于工作的U盘,而且没有向公司汇报。
在某些情况下,如果丢失的U盘落入恶意分子之手,他们不仅会窃取U盘中存储的信息,还会在U盘中植入隐藏的恶意程序,再还到失主手中。而研究显示,48%的失主找回U盘后,会毫不犹豫地接入计算机,继续使用,进而导致恶意程序大规模传播。因此,在安全培训中,提醒员工在办公环境中不使用U盘,或者正确地使用U盘,也是保护企业安全的一种方法。
关于我们:
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
关注镌远科技,关注网络安全!
河北地址:河北镌远网络科技有限公司
河北省邯郸市丛台区中华北大街193号慧谷大厦14层
总部地址:北京冠程科技有限公司
北京市昌平区科技园区东区产业基地企业墅上区一号楼九单元四层
实训基地:河北省石家庄市电子信息学校冠程科技研究与实训中心
欢迎扫描关注我们,及时了解更多关于网络安全相关知识
