品安科技
Advantechline
 

傳奇駭客談網路安全:人為因素是最大弱點

企業內部人員稍有不慎,就會連上遭入侵的無線網路,引發大規模的憑證竊取。法新社

傳奇駭客Kevin Mitnick曾經是美國聯邦調查局(FBI)通緝犯,1995年終於落網,出獄後漂白成功,成為安全顧問,最近在CHIME和HIMSS聯合舉辦的資訊主管論壇(CIO Forum),給予醫療產業技術長寶貴的建議。

根據Healthcare IT News報導,1980~1990年代Mitnick曾經駭進Sun Microsystems、諾基亞(Nokia)和摩托羅拉(Motorola)等大企業網路,入獄5年,如今改邪歸正變身安全顧問,以自身經歷暢談人為失誤如何為網路犯罪製造良機。

Mitnick指出,就算駭客不是電腦工程專家,但只要懂得善用社交工程(social engineering),例如魅惑、欺瞞和建立信任感,也可以讓毫無戒備的使用者上鉤。

2016年希拉蕊(Hillary Clinton)美國總統大選競選總幹事John Podesta有切身之痛,由於遭到釣魚式網路攻擊,電子郵件遭駭客入侵,還被公布在維基解密(Wikileaks)。

Mitnick不諱言指出,就算是帶有木馬病毒的USB,人們還是會傻傻插入自家電腦,給駭客機會遠端入侵作業系統和網路攝影機;企業內部人員稍有不慎,也會連上遭入侵的無線網路,引發大規模的憑證竊取;駭客亦可能利用軟體更新來偽裝,神不知鬼不覺接手整個系統。

Mitnick擔任黑帽駭客期間,輕得易舉駭入摩托羅拉網路,他只是打了一通免付費電話,用了一些話術說服安全人員,就成功把電話轉接給伺服器。由此可見,首要之務是建立內部人員的危機意識。

Mitnick建議醫療機構訓練員工如何防範社交工程陷阱,社交工程亦即利用大眾疏於防範的小詭計,套出用戶系統的帳號、密碼和網路結構,醫療機構亦可展開滲透測試(penetration test),找出任何可能被利用的弱點、漏洞或錯誤,例如揪出哪些員工特別容易淪為誘餌,進而建立「真人防火牆」。

CHIME和KLAS共同執行一項調查,結果發現僅42%受訪醫療機構設有副總裁或高層管理人員負責網路安全,僅62%醫療機構在每季董事會討論資安議題。CHIME資料顯示,僅16%醫療服務供應商擁有「全功能性」安全計畫。

Mitnick再三提醒,社交工程和科技防護一樣重要,畢竟人為因素才是最大的弱點。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 網路安全 醫療產業