視覺入侵是指對肉眼直接可見的信息進行記錄的黑客攻擊手段。機構往往花費巨款，搭建針對關鍵網絡的防御系統(tǒng)，卻在防護視覺入侵方面毫無作為。

[[129111]]

波耐蒙研究所( Ponemon Institute)最近對此問題開展了一項調查。結果顯示，使用低技術手段進行視覺入侵的成功率接近九成(88%)。研究所雇傭了一位負責滲透測試的安全專家進行調查，他化裝成臨時工潛入八家公司，并嘗試視覺入侵。具體做法很簡單，只是在公司里到處游走，尋找桌上或者電腦顯示器上顯而易見的數(shù)據(jù)。

在調查過程中，這位專家拿到了機密商業(yè)檔案，還用手機對顯示器上的機密信息拍了照，所有這些都是他在做正經工作的空檔時完成的。不管是偽裝成服務人員、供應商、清潔工還是維修人員，只要能夠進入關鍵區(qū)域，都很容易造成對機密信息的威脅。

即使在魚叉式釣魚攻擊如此泛濫的時代，安全專家也不應該忽視低技術層面上的安全威脅。黑客通常只需要一小條有用信息，就可以造成大量數(shù)據(jù)泄露。

該調查顯示了兩方面問題。一方面，黑客只需要通過簡單的視覺入侵就能獲得大量敏感信息;另一方面，公司員工對企業(yè)信息的態(tài)度粗心大意，信息安全防護意識不夠。

調查的關鍵結論如下：

* 視覺入侵發(fā)生迅速。視覺入侵往往只需要幾分鐘。在45%的案例中，入侵在15分鐘內完成;而在63%的案例中，入侵在30分鐘內完成。

* 視覺入侵悄然無息。在70%的案例中，視覺入侵并未被公司員工阻止，即使是在用手機給屏幕上的數(shù)據(jù)照相時。如果黑客沒有被員工所阻止，平均能獲得4.3份公司數(shù)據(jù)，而就算受到阻礙，該數(shù)據(jù)也只是下降到了2.8份。

* 只通過視覺入侵就能獲取大量敏感信息。每趟行動平均能獲取5份信息，其中包括：63%的員工電話本信息，42%的客戶信息，37%的公司財務信息，37%的員工登錄信息，以及37%的員工個人信息。

* 未經保護的設備給視覺入侵創(chuàng)造了最佳機會。53%的敏感信息從電腦屏幕上直接獲取，其中包括登錄信息、中高密級的文檔、會計和預算方面的金融信息，以及企業(yè)的法律信函。29%的敏感信息來自空閑無人的辦公桌，9%來自打印機，6%來自復印機，3%來自傳真機。

* 開放式辦公室使視覺入侵如虎添翼。對一家具有開放式辦公結構的公司而言，黑客平均能盜取4.4份信息;而該數(shù)字對于配備傳統(tǒng)式辦公場所的公司僅為3份。

* 缺乏規(guī)范的工作區(qū)域最容易遭到視覺入侵。客服部門平均受到的視覺入侵次數(shù)最高，為6.0;通信部門為5.6;銷售隊伍管理部門為5.2。情況對于較為規(guī)范的工作區(qū)域來說要好得多，會計、財務部門的該數(shù)字為1.9;法律部門最低，僅為1.0。

* 不過，調查也表明公司可以通過一些控制手段大大減少視覺入侵的威脅，比如實施辦公桌清理、文件粉碎政策，外加培養(yǎng)員工的安全防范意識。研究同樣表明，對于那些在電腦屏幕上配備了個人隱私過濾設備的公司而言，只有三種或更少的信息類別被視覺入侵，而對于沒有配備相關設施的公司，往往有四種以上的信息被視覺入侵。

對高級管理層而言，視覺入侵這種安全威脅常常是不引人注目的，這也是它經常被忽視的原因。

這項調查表明，公司應該啟用視覺隱私保護政策，培訓員工和承包商，讓這些人更負責任地對待手中的敏感數(shù)據(jù);而且，為了保護顯示器上的數(shù)據(jù)，也應該給高風險暴露的員工配備相關的防御設備。

原文地址：http://www.aqniu.com/neo-points/6881.html