您当前的位置:   首页 > 新闻中心
信息安全建议:防止人为错误
发布时间:2022-07-05 13:26:31   阅读次数:

image.png

每个人都想保证自己的安全,为此,人们花费了大量的财富。因此,在过去的几十年中,安全投资显着增加,并且发现了各种新技术和新技术来解决安全漏洞。然而,人为错误往往在其中被忽视。世上没有一个从未犯过错误的人;犯错是人性的基本组成部分——这就是人类成长和学习的方式。


攻击者可以使用许多高级漏洞来闯入系统。根据IBM 的一项研究,人为错误是 95% 的网络安全漏洞的主要原因。其中列出了数据丢失、错误传递和其他与人为相关的错误。因此,如果我们以某种方式消除这些错误,那么 10 次网络攻击中就有 9.5 次可能不会发生。


尽管如此,在许多情况下,攻击者的成功都涉及引发或利用人为错误,例如使用社会工程来猜测密码或类似的东西。


社会工程学

社会工程是一个与广泛的人类交互攻击相关的术语。它主要使用心理操纵来诱骗用户犯安全错误,例如通过将自己呈现为受信任的个人来隐藏自己的真实身份和动机。这是一种在攻击者中非常流行的技术,因为它通常比任何网络或软件更容易利用人。社会工程攻击的第一步是收集信息或对目标进行研究。目标可能是一个企业,因此在这种情况下,攻击者将收集有关组织结构、内部运营、员工等方面的信息。一种常见的策略是通过扫描他们的社交媒体资料或在线行为来关注具有初始访问权限的员工的行为模式。有各种类型的社会工程技术。一些最常见的类型是:

  1. 诱饵

    顾名思义,在这种类型的攻击中,攻击者利用了用户的贪婪或好奇心。假设攻击者将受恶意软件感染的外部设备留在一个无辜用户肯定会找到的地方。用户,或者在这种情况下,“目标”,将此设备插入他们的系统并无意中安装了恶意软件。

  2. 借口

    Pretexting 涉及攻击者通过一系列谎言或骗局获取信息,以访问目标(用户)的机密数据。伪装欺诈可能涉及攻击者假装需要财务或个人数据来验证用户是否经过身份验证。这样,攻击者将从用户那里获得数据。

  3. 恐吓软件

    该技术涉及用户相信他们的系统感染了恶意软件,攻击者为此提供了解决方案。实际上,这是一种利用提供解决方案来访问用户系统的技巧。

  4. 转移盗窃

    这涉及欺骗快递公司去错误的取货或送货地址并拦截交易。如果代理商对事情更加谨慎,他们可以谨慎地避免这种情况。

  5. 为某事做某事

    在这种类型的攻击中,攻击者假装向目标提供一些东西以换取一些信息。例如,攻击者可能会伪装成技术支持来呼叫目标(随机选择)。这样,攻击者可能会遇到一些需要帮助的真实用户,并让他们启动一些恶意软件或通过交互从他们那里收集信息。


网络安全中的人为错误意味着什么?

人为错误是指员工或用户造成、传播或允许安全漏洞的意外行为,例如电子邮件错误传递(电子邮件发送到错误的收件人或地址)或密码卫生不良(弱密码相对容易破解或猜测)。因此,这包含范围广泛的活动,从下载受病毒感染的应用程序到未能使用强密码。这些是人为错误难以解决的几个原因。由于使用了如此多的网站、工具和服务,员工和用户需要不同的用户名和密码,这使他们选择了捷径来让生活更轻松。这增加了网络犯罪活动和其他类型的安全漏洞的威胁。


为什么人为错误如此危险?

安全漏洞利用了最薄弱的环节,在许多情况下,这些环节是人类本身,而不是他们编写的任何代码。这些人为错误可以通过多种方式表现出来——从未能阻止网络钓鱼攻击(单击匿名来源的链接并将网络暴露给攻击者)到使用弱密码。它还会导致数据泄露。


如果不采取适当的技术安全措施(SSL 证书或良好的防火墙),网络犯罪分子可以设法猜测密码或使用社会工程让员工向犯罪分子控制的交易网站支付一些款项。


哪些因素会导致人为错误?

有几个因素会导致人为错误,但最常见的是这三个 -

  • 机会

    有机会时可能会发生错误。这个过程最初可能看起来很明显,但如果有更多选项可以解决问题,那么用户可能会犯错误。

  • 缺乏认识

    大多数人为错误是由于用户不知道正确的操作过程造成的。例如,不知道网络钓鱼风险的用户更容易遭受网络钓鱼攻击,而不知道公共 Wi-Fi 风险的用户将很快被劫持会话或凭据被盗。

  • 环境

    有许多环境因素导致人为错误。工作场所的物理环境会增加错误的数量。文化在这里也扮演着重要的角色。最终用户通常会知道正确的行动方案,但他们可能无法执行,因为可能有更简单的方法来做事或认为这不是必需的。始终将安全性置于后台的文化将导致更多错误。


人为错误的几个例子

人为错误可能会以无数种可能的方式危及安全性,但某些类型的错误比其他错误更突出。

  • 误送

    将某些信息发送给错误的收件人是对数据安全的普遍威胁。最严重的数据泄露事件之一是 NHS 的一项实践泄露了 800 多名访问过 HIV 诊所的患者的电子邮件地址(身份)。向 HIV 患者发送这些电子邮件的员工不小心将他们的电子邮件地址输入了“收件人”字段,而不是“密件抄送”字段。

  • 打补丁

    网络攻击者一直在寻找软件技术中的新漏洞。因此,当发现这些漏洞时,开发人员会解决它们并将补丁或更新发送给所有用户,然后网络犯罪分子才能发动攻击。这就是为什么必须尽早安装安全更新的原因。2017 年,WannaCry 勒索软件影响了全球许多计算机,损失了数百万美元。然而,这个被称为“EternalBlue”的漏洞在攻击前几个月就被微软修补了。

  • 密码问题

    这句话——“人和密码根本无法相处”,可能很有趣,但在一定程度上是有效的。国家网络安全中心 2019 年的报告显示了一个不幸的事实,123456 仍然是全球最受欢迎的密码,45% 的人在其他服务上重复使用其主要电子邮件帐户的密码。

  • 网络钓鱼攻击

    有时,攻击者可能会将外部驱动器(如 USB 驱动器)留在用户或目标可触及的范围内。出于好奇,用户或目标可以将此外部驱动器连接到他们的系统。通过这种方式,攻击者将能够进行成功的网络钓鱼攻击。因此,用户在执行此类操作之前需要小心并多次思考。


人为错误的类型

人为错误有很多机会和情况。尽管如此,人们仍然可以将它们大致分为两种不同的类型。它们的区别在于用户或相关人员是否具有执行正确操作的必要知识。

  1. 基于技能的错误

    这些包括在执行熟悉的任务和活动时出现的小错误,例如滑倒和失误。这些可能发生在员工或用户疲倦或注意力不集中、分心等时。在这里,最终用户知道正确的方法,但由于错误或疏忽而未能这样做。

  2. 基于决策的错误

    当用户做出错误决定时会出现这些错误,这可能发生在任何一种情况下——用户没有所需的知识,没有足够的信息,或者没有意识到他们正在从他们的行动中做出决定。


我们如何防止人为错误?

通过应用以下实践和解决方案,就有机会有效地防止安全漏洞:

  • 更新公司安全政策

    组织的安全策略应该清楚地概述如何处理关键数据(也包括密码),谁可以访问这些数据,以及对这些数据使用什么安全软件。

  • 使用最小权限原则

    保护数据访问的最直接方法是默认拒绝所有访问。使用零信任安全或网络来设计 IT 系统是一种非常安全的方法,在该方法中,出于安全目的对组织的用户和员工进行身份验证、授权或持续验证。但是,可以根据具体情况授予特权访问。这样,组织可以防止意外的数据泄露。

  • 提供定期培训和个人发展

    技术处于不断进步的状态,因此来自客户和客户的需求也在增加。培训和获得新技能的机会可以帮助员工保持最新状态。

  • 考虑云存储和文档管理

    使用云存储文档意味着定期备份文件,并且不止一个人可以访问。


结论

不过,人类不一定是最薄弱的环节。犯错的机会越少,接受测试的用户就越少;用户拥有的知识越多,他们犯错误的可能性就越小。统计数据显示,95% 的安全漏洞是由于人为错误造成的。尽管如此,它还表明,即使是解决人为错误的最小步骤最终也可能成为确保强大安全性的最大步骤。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609