修復「人為漏洞」

David Emm
Senior Regional Researcher, UK
Global Research & Analysis Team

當今的各種複雜威脅

當今的網絡威脅情況非常複雜。網絡罪犯利用各種不同的網絡威脅劫持用戶的計算機，藉機大 肆非法斂財。這些威脅包括多種類型的木馬、蠕蟲、病毒以及可以利用系統或應用程序漏洞的攻擊代碼。不僅如此，網絡罪犯還採用了多種複雜的惡意軟件編寫技 術，隱藏惡意軟件的活動痕跡，使得反病毒研究人員很難發現和分析這些惡意代碼。

如果僅從技術角度來看，很容易發現網絡犯罪所帶來的問題，而且有相應的解決方案。但我 們相信處理好網絡犯罪中人為因素的問題也是十分重要的。

安全鏈中最薄弱的一環：人

儘管當今惡意軟件所使用技術的複雜程度已經相當高，但網絡罪犯還是經常會利用人類本身 的弱點來加大惡意程序的傳播範圍。這不足為奇，因為人確實是安全系統中最薄弱的一環。以房屋防盜為例，假設你為了防盜，購買了世界上最好的防盜設備，但是 卻不進行安裝，那麼對於整個房屋來說則無法起到一點保護作用。互聯網安全所面臨的情況也是一樣的。網絡罪犯正在廣泛地利用社交網站，誘使計算機用戶進行一 些會破壞用戶在線安全的操作。

從釣魚詐騙手段的屢獲成功就能夠看出這一點。通過這種詐騙手段，網絡罪犯將用戶引誘到 假冒的網站，用戶會洩漏自己的各種隱私包括用戶名、密碼、個人身份識別密碼以及其它所有可能被網絡罪犯所利用的個人信息。最常見的釣魚詐騙通過發送垃圾郵 件實施，網絡罪犯會向數百萬個電子郵件地址發送大量垃圾郵件，希望收到的人會點擊垃圾郵件中的鏈接，從而落入詐騙圈套。目前，這種攻擊方式仍然在廣泛使用 中。

此外，在線詐騙者就像現實中的扒手一樣，會在人群密集處實施犯罪行為。所以，隨著 社交網站如Facebook、MySpace、LinkedIn、Twitter等的用戶數量急劇增多，網絡罪犯也開始加大對這些服務的攻擊力度，這不足 為奇。網絡罪犯會利用竊取到的Facebook賬號發送大量包含指向惡意程序的鏈接信息，或者通過Twitter發送包含鏈接的信息，並利用URL短服務 來隱藏鏈接的真實地址。網絡罪犯甚至只需要在社交網站上偽裝成受害用戶的朋友，聲稱自己受困異國，急需現金返回國內，即可騙取到錢財。其實上述詐騙手段並 非特別針對社交網絡，只是網絡罪犯將以往常用的詐騙手段重新換了平台，繼續實施。

此外，「恐嚇軟件」的增多也從另一方面顯示出了社會工程式詐騙的流行程度。此類詐 騙由網站的彈出式信息開始，通過提示信息來警告用戶計算機已被病毒感染，建議用戶下載一個免費的反病毒軟件清除感染。但是，當用戶下載並運行所謂的「反病 毒軟件」後，軟件會提示要清除計算機的感染，需要使用此軟件的「完整」版，即用戶必須付費註冊。通過這種詐騙手段，網絡罪犯可以獲得雙重收益：因為他們不 僅以所謂的感染詐騙到用戶錢財，還可以獲取到受害用戶的信用卡詳情。

基於社會工程學的攻擊還有一個特點，即攻擊方式多樣並且多變。高明的詐騙者從來不 會使用相同的伎倆。這使得人們很難識別這些伎倆，無法判斷這些信息是否安全。

當然，很多人並不是由於缺乏警惕性而成為網絡攻擊的受害者。因為網絡罪犯有時會利 用一些內容如音頻或視頻資料，或者最新的名人裸照等誘使計算機用戶點擊他們發送的鏈接。如果不是因為這些誘惑信息，相信人們不會理會這些惡意鏈接。通常， 人們的常識是如果某件事好得令人難以置信，那往往都是假的。但是，這種常識似乎在網絡上行不通，很多人都沒有意識到點擊某些鏈接會造成很大危害。

有時候，人們為了使生活更為輕鬆，往往不會太多注意和瞭解信息安全領域的各方面知 識。舉例來說，人們對於密碼的態度即如此。現在，越來越多的業務開始在網上進行，比如在線購物、網上銀行、賬單支付、人際交往等等。所以，一個用戶擁有 10個、20個甚至更多的在線賬號並不稀奇。但如果為每一個賬號都選擇不同的密碼，記憶（甚至區分）這些密碼將變得非常困難。所以，人們傾向於每一個賬號 都使用相同的密碼，或者以小孩的名字、配偶的名字或者地名等同用戶個人相關性很強的信息作為密碼，主要是便於記憶。此外，人們還經常使用循環密碼，例如使 用「myname1」、「myname2」、「myname3」這種連貫性的賬號密碼。使用上述密碼都會造成密碼被網絡罪犯猜出,或者通過破解其中一個密 碼，從而獲取其他密碼。但是，對於非技術人員或者普通大眾來說，他們對上述風險的認識還不夠。即使他們已經認識到這種潛在的風險，也想不出有效的解決辦 法，因為讓他們記住10個、20個或者更多密碼簡直不可能。

針對密碼問題，有一個解決方法。我們不必單獨記憶每個密碼，而可以對某個固定的內容實施 簡單的打亂公式。下面，我麼舉一個簡單的例子：首先，密碼可以採用該在線資源的名稱，比如「mybank」，然後根據下列公式將其打亂：。

1. 將第四個字母大寫

2. 將倒數第二個字母挪動到首位

3. 在第二個字母后添加一個數字

4. 在密碼末尾添加一個非字母特殊字符

這樣，得出的密碼即為「nm1ybAk;」。遵循以上四步，就可以為每個在線賬號 設置唯一的不同密碼。

應該採取的措施

當然，技術是所有惡意軟件防禦方案中的核心部分。但是，我們認為如果僅重視技術， 而忽略了安全問題中的人為因素，將是非常不明智的。在現實世界中，防盜報警器、窗鎖以及大門的門鏈能夠有效保護我們的財產不被竊。但是，如果有人將門打 開，讓陌生人進入房間，這些措施將不能保障我們的安全。

同樣地，如果企業安全策略不注重人為因素的話，其整體安全性也將大大降低。所 以，為了保證數字資源的安全，我們還需要尋找創新的方法來彌補人本身具有的「漏洞」。

這不僅是一個商業問題。很多在家裡使用互聯網的用戶也面臨同樣的難題。所以， 從社會的角度，我們應該想辦法提高人們對於在線活動相關風險的認識，找出有效的辦法最大程度地最小化這種風險。

向「在線安全常識」目標前進

對於網絡以外的風險，人們的認識似乎都非常到位。比如，我們有一套完整的 「常識」系統，用以教育孩子橫穿馬路時的潛在危險：我們教育孩子穿越馬路要走指定的人行橫道，如果沒有人行橫道，在穿過之前必須仔細觀察兩個方向，確保安 全。此外，我們還會通過電視節目、印刷品以及電台廣告向公眾普及安全常識，例如醉酒駕車或駕車不繫安全帶的安全隱患。

當然，我們教給孩子的這些「常識」或者政府關於醉酒駕車的警告都無 法完全保證我們的安全。但是，這些信息卻能夠幫助我們最大程度地減少風險。今天，人們已經普遍意識到醉酒駕車的危害。同40年前相比，現在由於醉酒駕車引 起的事故少了許多。

不幸的是，在網絡世界中並沒有類似的「常識」。對此，我們不應該感到奇 怪，因為相對於延續了幾代人的汽車駕駛或者橫穿馬路等行為，互聯網是一個嶄新的事物。目前，人們僅僅開始意識到互聯網可以方便我們的生活，並沒有意識到互 聯網潛在的危險。

我們所面臨的是一個進退兩難的情況。雖然孩子可以從父母那裡學習網絡世 界外的常識，但對於在線安全，今天的父母知識似乎還不夠，畢竟他們對互聯網這項「新」技術還不夠熟悉。相反地，孩子們可能更傾向於使用新技術，但他們對於 潛在的網絡 威脅卻知之甚少。

所以，我們非常有必要集思廣益，增強人們的在線安全常識。如果我們能夠 做到這一點，那麼今天的孩子在將來保護自己的孩子們的在線安全時，就可以做到更好。

員工教育的重要性

首先很重要的一點，即不能混淆員工教育和員工培訓。試圖將員工培訓成計算 機安全專家也是不現實的。所以，我們應該增強員工的安全意識，讓他們意識到潛在的在線威脅，並且告知他們保護自身安全的具體方法。

對於企業以及各種組織來說，員工教育應該成為建立有效安全策略的核心構 件。我們應該使用簡單、明確的語言告知員工可能面臨的威脅。員工需要瞭解組織內部所部屬的安全措施，以及這些安全措施為何以及如何影響他們執行自己的工作 職責。如果員工理解並且支持該安全策略，那麼這個安全策略的有效性將大大增加。另外，建立開放坦誠的企業文化同樣重要。應該鼓勵員工及時上報發現的可疑行 為，而不是讓他們害怕受懲罰而隱瞞不報。如果員工感覺害怕或者被愚弄，他們的合作積極性肯定會大打折扣。

安全包含多個方面，員工教育也不能僅僅就起草一個安全策略，讓所有員工簽字，然 後放任不管。有效的安全策略應該緊隨不斷變化的威脅形勢進行調整，定期對安全策略進行回顧和總結。此外，需要注意的是，人們接受信息的方式不同，有些人擅 於通過話語掌握知識，而有些人則對文本內容或演示內容敏感。所以，最好採用一系列多元的教育策略加強和鞏固傳遞給員工們的信息安全知識。這些教育策略包括 在員工引導課程上使用演示，在企業或組織內部張貼宣傳海報，舉辦安全知識測試，卡通漫畫宣傳，或者在員工登錄企業網絡時顯示「每日提示」等等。

同樣，值得注意的是，不應該將安全知識以及培訓視作是IT 部門的事，而應當看作是整個人力資源範疇，因為其涉及到員工的健康、安全以及適宜的行為準則等。有效的員工教育項目必須得到人力資源部門、培訓部門以及其 他相關部門的全力支持。

工作場所之外的安全

其實，工作和家庭生活之間也存在交集。在工作中使用計算機的用戶也經常利用計算機在家在線 購物、訪問網上銀行或者進行網上社交。對於同工作不相關的計算機使用常識也可以結合到員工的安全意識教育項目中去，例如指導員工如何保護自己的計算機以及 路由器安全等。通過這些項目，可以從整體提高員工對培訓項目的興趣和支持度。此外，還可以確保那些在家辦公的員工的計算機安全，避免他們洩漏企業資源，造 成不必要的風險。

當然，有些人在工作時並不使用計算機（或者已退休），但卻會在家裡使用計算機。所以，安 全知識的教育應該不僅侷限於工作場所，應該也擴展到我們日常生活中。

有一些公共資源網站會提供一些關於互聯網安全的建議。這些網站包括Get Safe Online, identitytheft.org.uk 以及 Bank Safe Online. 此外，大部門信息安全解決方案廠商都會向用戶提供關於在線安全的指南，例如卡巴斯基實驗室的Guide to stopping cybercrime. 上述這些資源都可以指導計算機用戶避免成為網絡犯罪的受害者。當然，要獲取上述資源，讀者必須處於在線的狀態。

我們認為，在線下將這些安全知識傳達給計算機用戶同樣重要。例如可以利用電視廣告， 這種廣告以往用於鼓勵人們開車要系安全帶，或者不要醉酒駕車等，現在則可以傳授人們計算機安全知識。考慮到此類廣告在過去取得了很好的效果，相信在宣傳對 抗網絡犯罪以及網絡安全方面也能夠獲得良好的效果。舉例來說，2005年，Capital One集團在英國投放了一系列廣告，廣告主角是著名的印象派喜劇演員Alistair McGowan. 這些廣告是為了推廣Capital One集團的身份盜竊援助服務，但廣告同時也突出一個重要的安全問題，即任何個人信息在丟棄前，一定要使用碎紙機粉碎。

未來前瞻

網絡犯罪已然存在，它是互聯網時代以及整個犯罪領域的共同產物。所以，我們認為想 要「贏得這場戰爭」是不現實的。我們能做的是找到合適的方法最大限度地降低其帶來的風險。

立 法以及執法部門會加強針對網絡犯罪的立法，加大處罰力度。而技術以及教育的目的是儘量減少網絡犯罪對社會的影響。今天，由於很多網絡攻擊都是針對人類自身 弱點而實施的，所以我們在想盡辦法增強計算機設備本身安全性的同時，還應當想辦法修補人為的各種漏洞。安全教育就好像做家務，你不可能一次將任務全部完 成。而是需要不斷的定期進行，從而保證我們擁有清潔、安全的環境。