前言
媒體總是熱衷於報導企業資料外洩事件。他們樂於呈現最新的駭人案例:某家公司遺失大量私人資料,或因最新的駭客攻擊而損失數百萬營收。下一個可能就是你。
企業資料外洩事件既常見又代價高昂。 即使投資了資安軟體,只要一次不小心的點擊,就可能造成重大資安事件。 高階主管往往是最容易出錯的一群。 最有效的防線是資安意識訓練,但它往往被執行得不夠好。
如何將員工的資安壞習慣轉化為企業的最佳實務, Workstem請來AccessOrange為你提供實用建議,高效提升團隊工作的資料安全意識。以下整理了訓練員工的最佳實務,協助打造人員防火牆,抵禦網路攻擊。
重點摘要
- 主要以電子郵件為載體的攻擊途徑:網路釣魚(phishing)、魚叉式釣魚(spear-phishing)、鎖定高階主管的「捕鯨式攻擊」(executive “whaling”),以及「CEO 詐騙」(“CEO fraud”)。
- 現行組織層面的應對不足。
- 常見的資安訓練方式成效不佳。
- 資安意識訓練的最佳實務。
- 結合訓練與模擬釣魚攻擊。
- 以 KPI 衡量訓練成效。
理解威脅
電子郵件是最主要的攻擊向量,67% 的組織曾透過電子郵件遭受惡意程式攻擊。 網路釣魚、魚叉式釣魚、鎖定高階主管的捕鯨式攻擊,以及 CEO 詐騙,都是網路犯罪者常用的手法。
傳統防禦已不足以應付
像防毒軟體等傳統防禦已不再足夠。 必須採用包含使用者訓練在內的分層防禦。 有效的資安意識訓練可將釣魚風險降低 60%。
資安訓練中的最差做法
什麼都不做:寄望運氣的代價很高。
大約只有五分之一的組織會承認這是他們因應釣魚攻擊攀升的「策略」。但實際比例很可能更高。其邏輯是:「到目前為止我們還沒遇到足以威脅公司的重大資料外洩事件,而這些小型爆發事件只是讓 IT 忙一點而已。所以就祈禱『大事件』不要發生在我們身上。」Aberdeen Group 對依賴這種策略所付出的代價提出了高昂估算。該分析機構表示,使用者造成感染的機率有 80%,且總成本很可能每年超過 250 萬美元。

茶水間訓練:因參與度低而成效不佳。
有些組織會把能到場的員工盡量集合到茶水間,提供午餐,並請 IT 人員或資安專家針對網路釣魚、魚叉式釣魚與捕鯨式攻擊等主題進行講解。這當然比什麼都不做要好,但通常出席率不高,而且多數聽眾把這段時間當作處理積壓郵件的好機會。結果也反映在數據上:釣魚成效的衡量顯示,這類簡短宣導之後幾乎沒有改善。

每月資安影片:內容流於表面且零碎。
這可以採非正式方式,透過電子郵件提供影片連結或放在網站讓員工觀看;也可以採正式方式,要求必修課程。這些短片會提醒使用者隨意點擊的風險,以及釣魚者用來誘騙員工的各種陷阱。大約每四個組織就有一個偏好採用此法。往好的說,這種方式頂多只能算是相當表面的訓練計畫。單靠它,難以有效降低資料外洩風險。它也會造成訓練內容零碎,因為重要主題往往要延遲好幾個月才會被涵蓋。
釣魚測試:範圍有限且過於簡化。
此方法針對高風險員工發送假釣魚郵件,觀察誰會上當。通常也會搭配教育內容,如訓練模組與短片,以提升資安意識。其優點是能提供釣魚相關的量化指標。然而,員工很快就會察覺並互相提醒,使做法逐漸失效,而且整體方式也過於簡化。

資安意識訓練的最佳實務
-
-
- 完整且有系統的計畫:多數資安意識計畫都流於表面且缺乏協調,未能理解威脅的本質與防禦所需的投入。高階主管必須認知威脅的嚴重性,以及攻擊者會動用的資源。唯有如此,才能推動有效的資安措施,打造警覺的員工隊伍。關鍵在於理解問題的規模,以及防禦所需的資源投入。
- 結合訓練與模擬釣魚:單靠訓練(通常一年一次)並不足夠;單靠模擬釣魚也行不通。但兩者結合,能大幅提升成效。一項重要最佳實務,是將這兩個元素以更智慧的方式整合到整體活動中。最理想的方式,是選擇能同時整合模擬釣魚與資安意識訓練的平台。
- 建立釣魚易感性基準值:資安意識訓練往往難以衡量,因此也難以證明成效。一旦發生事件,就容易引發對其價值的質疑。為解決此問題,可在訓練開始前建立基準值:先衡量有多少使用者會落入釣魚郵件陷阱。對隨機抽樣人員發送一封模擬釣魚郵件,記錄被騙的人數比例。此基準值可用來評估訓練影響,並提供具體數據以合理化訓練預算。
- 取得高層與 IT 的支持:要有效推動,必須獲得高階主管與 IT 經理的支持。在計畫開始前及執行期間,需要進行充分簡報,以取得財務核准,並處理任何政治性或敏感議題。同時納入人資、法務與工會代表,避免被指控針對特定員工或群體。讓各方都參與並回應其疑慮,是成功關鍵。提前告知員工活動內容可能會降低成效。高層應了解基準釣魚數據,以認知問題並監控成果;同時也要強調任何改善,以展現計畫價值。
- 隨機-隨機的釣魚攻擊:當員工互相提醒模擬釣魚郵件時,可能產生錯誤的安全感。他們會開始預期特定時間點會收到這類郵件,反而在真實情境中降低警覺。Proofpoint 的一項研究發現,沒有任何公司能做到釣魚點擊率為零,即便表現最好的員工也可能偶爾點到惡意連結。為了避免自滿,應採用隨機模擬釣魚攻擊:在隨機時間、以不同範本,寄給隨機人員群組。這可避免員工形成固定預期,並更精準反映組織對釣魚攻擊的脆弱程度。
- 郵件內容個人化:個人化郵件更具可信度。有時只要加入員工的名字即可,但在大型組織中,個人化必須更深入。例如,可從薪資資料取得員工用於薪資轉帳的銀行名稱,並在釣魚活動中使用該銀行名稱。另一種做法是依部門分組設計釣魚郵件,或將釣魚郵件與熱門事件、時事話題結合。
- 避免獵巫文化:避免用模擬釣魚結果點名個人,或將其納入年度考核。相反地,應利用結果來訓練整個組織。
- 定期測試:即使測試顯示釣魚易感性已降到很低,也應持續頻繁測試,以確認防釣魚訓練是否仍然有效。攻擊者不斷改變規則、調整戰術並升級技術,因此訓練強化必須持續納入組織資安工具箱,才能跟上不斷演進的威脅。
- 扎實且深入的訓練:KnowBe4 提供互動式訓練,兼顧理論與實務,內容持續更新,並建立在對網路犯罪運作方式的深入理解之上。理想狀況下,訓練應結合熟悉各種入侵手法與釣魚技巧的專家駭客服務。它應確保員工理解垃圾郵件、釣魚、魚叉式釣魚、惡意程式、勒索軟體與社交工程的機制,並能將此知識應用在日常工作中。
結論
提升 IT 資安需要先進技術與有效的資安意識訓練並行。若未能做到,可能導致嚴重的財務損失與聲譽損害。
為協助您提升管理效能,將員工的資安壞習慣轉化為企業的最佳實務,Workstem很高興為你介紹我們的合作夥伴 ─ AccessOrange
AccessOrange 全方位企業方案
AccessOrange 通過利用智能技術和雲端技術來幫助企業公司優化業務
-
-
- 提供提高運營效率的生產力解決方案
- 提供協作工具,幫助您的團隊在整個組織內更有效率地溝通
- 幫助您深入了解業務成績,通過使用商業智能,組合電腦數據和人工智能解決方案
- 將企業現有的電腦系統提升,將公司業務文件和應用程序遷移到雲端技術
-
AccessOrange已經獲得MICROSOFT GOLD和中小企業的雲端技術解決方案的能力,展現了其能夠滿足微軟公司客戶在現今社會對雲端技術的世界不斷變化的需求。
通過實施 Microsoft 365, Azure Cloud或商業智能解決方案等,使百多間企業更加將業務智能化,成功為企業邁向商業電子化的重要一環.
(來源於 AccessOrange 的文章 如何將員工的資安壞習慣轉化為企業的最佳實務)
-