常见的网络安全意识误区
在进入网络安全意识月之际,我们应该为一系列常见的安全误区和错误观念做好准备,这些误区和错误观念往往出于良好的意图而被放大,但却产生了不良后果。 即使在经验丰富的专业人士中,这些话题也可能引起争议,因此我们将采取数据驱动的视角并针对最广泛的商业人群。
这种广度往往是引起分歧的根源。 每个企业都必须就风险和可接受的损失、适用的威胁模型和可能的威胁行为者以及其环境的独特之处进行自己的对话。 但共同点是数据、专业知识和客观性,而不是部落知识、不加理解的模仿、确认偏差和幸存者偏差。
我们将解决“三大问题”:点击电子邮件中的链接、使用公共 Wi-Fi 以及“电量劫持”或手机免费 USB 充电的危险。
#1 点击电子邮件中的链接
要点: 教导网络钓鱼和诈骗的明确指标,但“不要点击链接”等不切实际的建议是无益的,甚至是有害的。
“安全使用”意识非常有用,可以帮助员工在解决常见问题的同时更好地使用技术,但多年来要求人们改变“不要点击链接”等基本行为似乎并没有起作用。 Verizon 的2023 年数据泄露调查报告指出,74% 的所有泄露都涉及人为因素(而不仅仅是电子邮件),而 Cyentia Institute 的2022 年信息风险洞察研究将网络钓鱼列为 20 个行业中的 18 个行业的三大初始访问技术之一(在信息和其他服务中排名第 4)。
意外时有发生,即使是善意且受过培训的员工,一段时间后也会点击恶意链接。 这就是安全程序在多年劝诱用户以不同方式使用电子邮件之后仍然投资于电子邮件和设备安全的原因之一。 更令人担忧的是,在宝贵的安全意识培训中,这个话题所花的时间太多,由于缺乏实用性而失去了观众的注意力,造成了更大的危害。
企业必须比员工点击链接更具弹性。 员工可以提供帮助,尤其是对于真实情况报告(“看到什么,说什么”),但减轻这种风险是安全团队的责任。
#2 使用公共 Wi-Fi
要点: 即使在商业环境中使用公共 Wi-Fi 也是安全的。
人们始终认为,公共 Wi-Fi 不如家庭或办公室网络可靠或危险。 然而,尚无关于公共 Wi-Fi 大规模利用的报道,包括 2020 年至 2022 年远程办公人数的激增。 美国联邦贸易委员会 (FTC)在 2011 年就对公共 Wi-Fi 的使用发出了警告,但在 2023 年更新了其指导方针,以反映使其可以安全使用的技术发展。
相比之下,我们确实存在笔记本电脑和设备盗窃,就像公共场所的机会犯罪一样,通过投资存储加密、移动设备管理 (MDM) 和锁定策略更有可能减轻这种风险。 一个示例子群体是美国卫生与公众服务部民权办公室 (OCR)报告的不安全受保护健康信息泄露事件的存档列表,该列表影响了 500 人或更多人,显示自 2009 年以来发生了 4.6K+ 起笔记本电脑或其他便携式电子设备被盗或丢失事件,影响了 3.45 亿+人。
与此同时,本地网络流量继续呈现安全趋势:
- Google 的“网络 HTTPs 加密”透明度报告显示,Google 上 90% 以上的流量都是加密的,并且 Windows 和 Mac 等操作系统广泛采用加密流量。
- 让我们对 Mozilla 的 Firefox Telemetry 中Firefox 使用 HTTPS 加载的网页百分比进行加密统计,结果显示全球约 80% 的用户流量是加密的,美国和日本约 90% 的用户流量是加密的。
- Google 的“传输中的电子邮件加密”透明度报告显示,Google(Gmail)发送和接收的电子邮件中有 90% 以上都经过了加密。
- DNS 安全功能仍然面临采用方面的挑战,但对应用程序流量的强大加密支持以及 VPN 和业务管理流量等效物的普及在一定程度上缓解了这些挑战。 DNSSEC 的采用率较低(根据Verisign 的 DNSSEC 记分牌,约有 5% 的 .com 域名得到保护),但在 2020 年开始起飞并持续增长。 同样,操作系统和浏览器也支持 DNS over HTTPS(DoH)。
除非设备上具有面向网络的服务(这对于用户设备来说应该是一个极端例外),否则与任何其他 Wi-Fi 网络相比,公共 Wi-Fi 几乎不存在任何独特风险。 对于采用零信任方法的人来说,公共 Wi-Fi 是一个永不信任网络的绝佳例子——这意味着公共网络和私人网络都一样。
#3 “插电”或免费 USB 手机充电的危险
要点: 这种攻击已经在各种手机型号中得到证实,但尚无确认数据表明其被使用,并且用户缓解成本较低,因此在紧急情况下使用免费的 USB 充电器通常是安全的。
虽然有时你可能想要避免使用 USB 充电站,例如将手机留在无人看管的地方以防被盗,或者在安全会议上,这些攻击更有可能“演示”,但目前没有确凿的数据支持“充电劫持”行为的扩大。
- 美国联邦通信委员会(FCC)表示,他们尚未发现任何确认发生此类攻击的实例。
- 斯诺普斯对洛杉矶县地方检察官办公室于 2019 年发出的“果汁劫持”警告以及美国联邦通信委员会 (FCC) 和联邦调查局 (FBI) 于 2023 年发出的警告进行了事实核查,并未发现广泛使用的证据。 KrebsOnSecurity 在报道 FCC 和 FBI 2023 年的警告时提到了这一点。
对于那些担心这种风险的人来说,缓解风险对于雇主和雇员来说成本都很低:
- 使用电源插座转 USB 充电适配器和小型移动电池组,这些已经成为标准随身行李,特别是对于商务旅客而言。
- 如果手机在插入 USB 时询问您是否要“共享数据”或“信任这台计算机”或类似操作,请选择“仅充电”。
- 如果评估用户的风险明显较高,请考虑投资购买阻止或不携带数据的特殊充电器和电缆。
免费 USB 充电站的更大风险是设备无人看管,然后被人拿走。 再次强调,企业在设备管理和卫生执法方面的投资通常都是合理的缓解措施。
为什么提高对这些话题的认识是件坏事? 提高认识不是总是好事吗?
安全通常很少或根本不会受到同事的积极关注,并且公司强制要求的培训也不会激发人们的兴趣。 这些珍贵的时刻和第一印象是安全团队最昂贵的资源之一。
最好的情况是,任何花在不重要、不相关、不准确或不切实际的材料上的时间都是浪费。 最糟糕的情况是,安全团队失去了受众,无论他们的信息多么重要,下次都不会再受到关注。
宏观问题是为什么这样的神话和误解会持续存在。 正如文章开头所提到的,问题有一部分是人为的。
另一部分是结构性的,当这些误解被写入合规框架和商业协议时。 这样的处方很少能经得起时间的考验,尤其是那些没有随着技术的发展而更新的处方。 这使得安全程序执行的是过时或不真实的要求,这些要求被他们的团队拾起并带到了下一位雇主那里。 这种受感染的知识比恶意软件更糟糕。