最新調查 : 近半受訪企業曾受社交工程攻擊

社交網絡一直以來令企業又愛又狠，一方面社交網絡能夠令企業更容易發佈最新資訊，但同時由於對社交網絡的認知不足，往往當出現問題時根本難以應付。而最近公佈的一項調研報告顯示48%受訪企業曾遭受社交工程攻擊，在過去兩年中受襲的次數達到25次或以上，每次社交工程攻擊事件導致企業蒙受25,000美元至100,000美元以上的損失。

這份報告是由 Check Point 進行，報告指出網絡釣魚及社交網絡工具是社交工程攻擊最為普遍的來源。因此，該份報告建議企業應當執行結合技術與用戶意識的安全策略，才能將攻擊頻率以及損失降到最低。

通常社交工程攻擊的目標是擁有特殊知識或有權查看敏感信息的人士。如今黑客為了找到企業內部的脆弱環節，會利用各種技術和社交網絡應用，來收集員工個人的私人以及職業信息。Check Point 的這份報告訪問了全球850多名信息科技和安全專家，其中86%的受訪企業認為社交工程是一個日益加劇的隱患，大部分的調查對象（51%）認為獲取利益是攻擊的主要動機，其次是獲得競爭優勢以及報復。

社交工程攻擊主要是利用個人的弱點，而Wed 2.0以及移動計算的流行也使獲取個人信息變得更為容易，同時也為社交工程攻擊創造了新的切入點。對企業安全政策不太熟悉的新員工（60%）和合約商（44%）被認為是最容易受到社交工程影響的群體，此外，助理、人力資源和信息科技部門員工也容易受到社交工程攻擊。

報告的調研結果摘要如下：

1. 社交工程攻擊的確帶來危險：86%的信息技術及安全專家已經意識到社交工程所帶來的各類風險。近48%的受訪企業表示，在過去兩年中曾遭受超過25次的社交工程攻擊。

2. 社交工程攻擊帶來嚴重經濟損失：受訪者估計每次安全事故會導致25,000美元至超過100,000美元不等的損失，這其中包括業務中斷、客戶流失、收入減少和品牌受損等。

3. 最常見的社交工程攻擊來源：網絡釣魚郵件（47%），其次是會暴露個人和職業信息的社交網絡（39%）以及不安全的移動設備（12%）

4. 獲取利益是社交工程攻擊的主要動機：獲取利益被認為是社交工程攻擊的最主要動機，其它動機依次是：獲得專有信息（46%）、取得競爭優勢（40%）以及報復（14%）。

5. 新員工最易受到社交工程攻擊影響：受訪者們認為新員工是易受社交工程威脅的高危群體。其它依次為合約商（44%）、行政助理（38%）、人力資源人員（33%）、商業領袖（32%）和信息技術人員（23%）。無論員工在企業中擔任何種職務，對其進行適當培訓並培養其用戶意識都是安全政策中的重要一環。

6. 缺乏對預防社交工程危害的主動培訓：針對社交工程攻擊，只有19%的企業有這方面的培訓或部署安全政策，而34%的企業沒有任何計劃。

《社交工程信息安全的風險》調研於2011年7月至8月期間進行，採訪了850多名來自美國、加拿大、英國、德國、澳大利亞和新西蘭的信息技術和安全專家。此次調研的受訪代表來自不同規模組織，橫跨多個行業包括金融、工業、國防、零售、醫療保健和教育機構。