那些最易被黑客盯上的員工，你中槍了嗎？

當下，企業的安全戰略已從傳統的外部網路安全威脅防禦，逐漸延伸到內部威脅防禦。很多時候IT基礎設施被攻陷不是外部造成，而是內部使然，這些內部威脅要複雜得多且難以管理。據 Forrester 2017 年發布的一份報告：內部威脅從性質上可分為惡意、偶然或疏忽，並占所有數據泄露事件總合的39％。

大多數安全事件的根本原因可以追溯到人的不安全行為。在辦公室中哪些員工最脆弱、最有可能給企業帶來最大的網路安全風險？以下五個部門通常比其他部門更容易受到黑客攻擊，並淪為網路攻擊的受害者，或淪為黑客 「幫凶」 而不自知。

C級高管

據 iPass《2017 年移動安全報告》，移動設備在工作場所的廣泛使用導致移動網路安全風險增加。根據來自美國、英國、德國和法國的500位首席信息官和IT決策者的看法，C級高管在辦公室環境外工作時遭黑客攻擊的風險最高、帶來的網路安全威脅最大。

為什麼包括首席執行官在內的C級高管處於最大的黑客攻擊風險之中？C級高管通常具有更多特權，甚至無限制地訪問最敏感的公司數據，同時手握審批經費大權等，而他們經常出入公共場所，在旅行或外出時可能會連接不安全的網路，在不受控的網路環境下上網，例如在機場、酒店、咖啡館、會場、旅遊景點，甚至在客戶公司等，這使他們面臨更大的數據泄露風險。高管也少不了參加各種社交應酬活動，社交工程高手可能在杯酒之間從高管口中套出公司機密。

另外，公司高管們一般工作繁忙、工作壓力大，很可能在時間緊迫的情況下瞬間作出錯誤的決策。電子郵件一直是高層管理人員面臨的最為常見的一類攻擊來源。想像一下，高管收件箱中每天有100多封新郵件，他們通常不會停下來過多思考每封郵件來源的安全性，可能只是匆匆忙忙瞥一眼郵件主題和發件人。當CEO (或CEO助理) 看到一封來自首席信息官的 「緊急」 電子郵件，要求審批附件中的IT項目預算表時，很可能不加思索就點擊了附件，根本不會想到這可能會是一份偽裝的釣魚郵件。「鯨釣」 就是專門針對企業高管的一種網路釣魚形式。黑客們還通過冒充IT支持人員、銀行工作人員、監管機構人員、甚至政府官員等身份，誘騙高管泄露企業敏感信息。黑客往往很有耐心，潛伏很深，一旦成功突破，將擁有對企業IT信息系統的頂級訪問許可權，獲取公司最有價值的機密信息。黑客將目標鎖定C級高管可以獲得更大投資回報率，C級高管是黑客眼中理想的攻擊目標。

財務人員

2016年和2017年，有大量網路攻擊是針對財務人員和採購人員的，因為這些角色是直接與錢打交道的，是絕對誘人的攻擊目標。一名粗心大意的財務人員很可能會打開一個偽裝成發票的惡意文件，黑客通過繞過正常的應付賬款程序和安全控制措施，攻陷這些員工可以使他們獲利頗豐。商業電子郵件詐騙 BEC (Business Email Compromise) 青睞這些攻擊對象。所謂 BEC，首先攻擊者會通過帶有惡意鏈接或附件的社交工程郵件來入侵公司 CEO/CFO/財務人員的電子郵件帳戶，滲透合法郵箱後，黑客通過長期監看郵箱中的通訊內容，尤其是 CEO/CFO 的出差、旅遊、休假時間安排，以及公司的財務往來細節等。一旦CEO真的要出差、旅遊、休假，黑客則把握機會偽造CEO發送郵件給公司CFO或財務人員，告知需緊急處理某筆匯款，毫無戒心的財務人員通常不會質疑或違背上級的指令，很容易被騙打開受感染的附件文檔或鏈接，將大筆款項匯入不法分子的賬戶。此手法有別於另一類小額且薄利多銷的勒索病毒 (Ransomware) 犯罪行為。據美國聯邦調查局 (FBI) 發布的公告顯示，僅2017上半年商業電子郵件詐騙 (BEC) 已造成全球高達53億美元的經濟損失。

IT人員

一般人認為IT人員和開發人員擁有相對較高的安全意識和能力水平，但他們對黑客攻擊也沒有 「免疫力」，也容易出錯和鬆懈，甚至是IT安全專業人員。系統管理員、網路管理員、運維人員等擁有較高的系統許可權，黑客一旦獲取這些攻擊目標的管理員許可權，進而獲得超級用戶許可權就可以對伺服器做任何動作，諸如網路監聽、打掃痕迹等，包括發起破壞性攻擊。IT人員常常忽視處理安全威脅的最佳實踐，或過於自信。據 Vanson Bourne 的一份調查，IT人員實際上比一般員工更容易打開未知發件人的附件，從非官方應用商店下載應用，點擊社交媒體網站鏈接等等，儘管他們也更有可能知道這些都是危險行為。當然不少攻擊成功的案例是利用了系統軟體本身的漏洞，而造成軟體漏洞的主要原因在於編寫該軟體的開發人員安全意識淡薄，缺乏安全開發知識。

人力資源

人力資源部是網路釣魚攻擊的另一個常見目標，人力資源處理各種公司管理制度、員工的勞動合同、人事檔案、個人可識別信息(PII)，負責人員招聘與篩選等。人力資源部中招的典型情況是，精通社會工程學的黑客偽裝成求職者，通過郵件發送攜帶惡意代碼/鏈接的簡歷。 或利用來公司面試機會，連接或破解Wi-Fi，獲取公司重要信息。或在離開時故意落下一個含有惡意程序的USB設備。另外，很多重要公司信息也可能在面試的交流過程中泄露出去。許多網路犯罪分子認為人力資源部是相對容易拿下的目標，即使可能不是價值最高的。

銷售人員

銷售人員和市場人員可能比高管、人力資源更容易成為黑客攻擊的受害者。銷售人員/市場人員數量龐大，而往往安全意識相對較低，也是企業安全意識計劃容易忽略的一個目標群體。為了獲得和保持良好的客戶關係和抓住業務機會，再加上業績壓力，銷售人員在與合作夥伴/客戶溝通中很可能會放鬆警惕。精明的黑客通過冒充潛在客戶或銷售人員知道的現有客戶，只需通過一封郵件或一個電話就可以輕鬆獲得公司敏感數據、保密合同、付款信息、客戶名單、新產品信息/技術資料等。銷售人員也很可能毫無防備地點擊客戶/潛在客戶發來的郵件中的鏈接或附件。另外，銷售人員為方便拓展業務機會，經常會在網上發布個人信息或電子名片以便聯繫，這也給黑客有了可趁之機。

每個人皆可能是目標，沒有人可以倖免。

儘管上面提到的幾種類型的員工更頻繁地淪為重點攻擊目標，但不論是C級高管還是一線普通員工，每個人都可能成為黑客入侵企業信息系統的 「突破口」。不經意間點擊了郵件鏈接，為工作方便多個賬戶使用相同的密碼，繞過IT安全措施下載軟體/應用，哪怕是在社交媒體上分享看似無關緊要的個人信息或公司動態，都可能將公司數據和業務置於風險之中。無論組織類型與規模大小，無論投入多少資金於各種最新的、最好的軟硬體防禦措施 (利用電子郵件過濾器和端點防護有助於減少公司收件箱中的網路釣魚郵件)，僅靠技術不能完全保護企業安全，黑客總能設法找到突破口繞開這些障礙，利用內部人員漏洞發動攻擊，尤其是從那些不熟悉網路安全又每天處理高度敏感數據的員工入手。對於企業網路安全風險管理而言，加強員工的網路安全意識已經刻不容緩，亟需培養員工良好的安全行為習慣和批判性思維。員工應在日常工作、生活中保持合理的警惕和適度的懷疑，並對常見的黑客攻擊手段和安全漏洞有一定了解。

*****************************************

參考資料

1. https://www.forrester.com/report/Hunting+Insider+Threats/-/E-RES134865

2. https://www.ipass.com/research/ipass-mobile-security-report-2017/

3. https://hbr.org/2017/12/which-of-your-employees-are-most-likely-to-expose-your-company-to-a-cyberattackhttps://pages.observeit.com/rs/248-SYG-803/images/Forrester_Report_Best_Practices_Mitigating_Insider_Threats.pdf

https://hbr.org/insight-center/the-human-element-of-cybersecurity

*尊重原創！所有圖片均來源網路，版權歸原作者所有！ 歡迎拍磚、交流，轉載請聯繫並註明出處：超安全！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！