设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

隐藏的内部威胁:视觉黑客

2015-12-25 18:07| 发布者: 随便、先森。| 查看: 804| 评论: 0|来自: 360安全播报

摘要: 最近,一项 Ponemon 实验显示,如果一些技术并不高的白帽子冒充目标政府或者企业的临时工,那么他们也有百分之九十的可能性能够得到许多内部机密文件。实际上,内部威胁一直是一个安全问题。SANS 研究所调查了800名 ...


最近,一项 Ponemon 实验显示,如果一些技术并不高的白帽子冒充目标政府或者企业的临时工,那么他们也有百分之九十的可能性能够得到许多内部机密文件。

实际上,内部威胁一直是一个安全问题。SANS 研究所调查了800名 IT 人员,并且得到了一份问答表。74%的 IT 人员表示,如果公司遭到了网络攻击,他们首先会怀疑内部人员。而34%的人表示,这些黑客可能是一些经验丰富的人。

其中一种攻击方式十分简单,叫做视觉攻击。我举个例子,比如你打印了一份含有敏感信息的文档,或者电脑显示器上显示了敏感的信息(比如后台地址、服务器 IP 地址等等)。那么黑客就可以悄悄记下这些简单的信息,等到后面再逐步进行测试。这些黑客可能是清洁工、游客等任何人。

下面,我们就开始对这个理论进行实验。这个实验由 Ponemon 领导,由 3M 公司和 Visual Privacy Advisory 委员会进行赞助。我们派遣了部分白帽子到八家愿意测试的公司进行测试。根据测试,他们得到了80%的客户信息、登陆凭证、会计信息等等,而且在窃取的过程中,有70%的概率不会有人阻止他们观看这些信息。

解决方案:

1.      你的组织十分有一个可靠的视觉隐私政策?

2.      是否进行定期的用碎纸机清理一下纸质文件?

3.      是否能够保证电脑屏幕不被非相关人员看到,是否安装了显示屏过滤器?

4.      是否阻止员工在非机密空间粘贴自己的账号和密码?

5.      当员工离开电脑时,电脑是否已经休眠或者设置了加密访问?

6.      当有人查看员工的电脑时或者对电脑周围环境进行拍摄时,员工是否知道那个人是谁?

7.      你的组织是否有一个嫌疑人员举办政策?

当然,以上的建议并不代表全部,还有一些非隐私的地方。一个公司的管理者如果有了隐私政策,那么就能更好的管理公司的安全性。此外,视觉攻击和内部人员威胁应该加入公司安全培训的一个主题。

最具标准做法:

1.      整洁的办公桌面。要求员工在下班时清理办公桌上的文件。

2.      安全等级策略。对公司的信息进行从高到低的安全分类。

3.      打印机、复印件旁边应该随时准备碎纸机。

4.      电脑显示屏应该安装过滤器,这样如果他人斜视看电脑屏幕,他们只能看到一片漆黑。

内部威胁日益严重,但是也不能灌输给公司人员相互之间的不信任感。他们的所作所为,只是最大程度化的保障客户的信息安全。



*原文地址:DARKReading


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部