一般來說,企業想要提升員工的資安意識,通常都是倚賴資訊人員的宣導,或是聘請外部專業講師授課。這樣的做法,往往公司需要召集多個部門的員工,同時放下手邊的工作,接受資安意識訓練,相當耗費人力與時間。若是企業擁有多個分公司,往往還可能要對於不同的地區,開立相關的訓練課程。

若是員工能夠透過線上學習,或許便能夠打破時間與地域的限制,並且每個人都可依據自己的步調執行,至於學習的成果,也藉由課後的習題成績量化。像Kaspersky推出的Security Awareness Training Platform(SATP),就是這樣的一款SaaS雲端服務,內建包含正體中文在內共28種語言介面,而且課程中文化相當完整,對於臺灣企業具有親和力。

企業若是想要導入SATP有兩種方式,可選擇Kaspersky提供雲端租用服務,以及將課程導入到企業內部教育訓練管理平臺(Learning Management System,LMS)等型式。我們這次取得的是SaaS服務測試帳號,因此只要透過網頁瀏覽器,就能使用,不受位於公司內部區域網路或外部的網際網路影響。

在SATP中,Kaspersky目前規畫了多達25種課程,大致可歸類為法規遵循、常見攻擊手法認識,以及針對使用場所與裝置的基本保護措施等類型,算是相當全面。不過,由於這款資安意識訓練平臺並沒有提供企業自行加入其他課程的功能,若是想要針對內部資安規範開立宣導課程,企業就要透過其他管道。

另外,Kaspersky不只藉此提供了教育課程與隨堂測驗,對於已經上完課的員工,企業的管理者或是資訊人員也能透過SATP,向指定員工寄送釣魚郵件,動態測試企業內部的資安意識。假如員工粗心開啟測試郵件中的釣魚連結,訓綀平臺便會要求該名使用者必須重新上課,再次喚醒員工對於資訊安全,必須隨時保有高度警覺性。

針對法規與上網安全提供主題課程

在Kaspersky資安教育訓練平臺中,提供員工的課程很廣泛,大至PCI DSS、PII、PHI法規,小至密碼與網址安全,可說應有盡有。不過,這裡並未依據類型區分,因此使用者須以名稱尋找要上的課程。

員工能依據自己的節奏反覆學習

無論公司員工,或是擁有管理權限的資訊人員,若要登入Kaspersky資安意識訓練平臺,都是透過相同的入口網頁,而在我們前述的課程中,每一項可在10分鐘內完成學習,因此想要上課,並不需要花費太多的時間。

基本上,SATP的大部分課程一開始會先列出課程大綱,讓使用者能得知接下來要學習的內容。此外,如果想要回頭閱讀某些已經通過的課程,系統也提供章節列表,使用者便能回到指定的主題重新瀏覽。

在SATP所有的課程中,我們認為最實用的是密碼安全訓練單元。Kaspersky將密碼的運用方式規畫為3個主題,首先是強式密碼的意義,再來是如何建立這種類型密碼的技巧,最後則是產生一系列使用者容易記憶、卻又不致重複使用相同字串組合的密碼家族。由於這些主題有先後順序,因此訓練平臺也會要求使用者必須按照步驟操作。

首先,課程先向員工說明什麼是強式密碼,從「強式」一詞來看,是指有心人士難以破解的密碼;依據密碼組成的方式而言,就是必須包含大小寫字母、數字與符號,且較長的字串。這裡課程的圖片中,也藉由註解說明,以目前電腦的運算能力,駭客一分鐘可猜數千次的密碼字串組合!

然後,告誡使用者在建立強式密碼時,必須留意3個重點,分別是不要直接使用字典和個人資料有關的英文單字,並且密碼越長越好。只是,課程中雖然點出建立密碼的通則,卻沒有說明多少個字組成的複雜度比較高:一般來說,許多網站可能會要求,至少建立以8或10個字元組成的密碼,若課程的敘述中,SATP能夠進一步提出較具體的規則,上課的員工更能掌握要點。

接著,就要告訴員工如何製作對自己有意義的密碼:在這款訓練平臺中,以使用者能夠記得住,卻不致容易遭到有心人士破解的前提下,SATP總共推出了兩種建立密碼的技巧:一種是透過英文單字再加入數字和符號,並且調整部分字母大小寫;另一種則是以英文短句為基礎,經由縮寫與抽換字元的方式製作。

以英文單字為基礎的做法而言,課程中以window這個單字進行變化:先在win和dow中間加了5?9,變成win5?9dow,再調整其中的兩個字母變成wiN5?9doW。之後,員工必須依樣畫葫蘆,將訓練平臺提供的習題單字,修改成強式密碼。

再來,針對不同的網站,加入不同的字串以示區別,避免其中一個密碼遭竊時,其他帳號也同時受害。例如,用於Facebook的密碼,便以前述方法建立的字串再結尾加上「_FB」。如此一來,在SATP,使用者即能學到產生一系列記得住密碼的技巧。

能透過互動習題形式,加強受訓員工印象

為了確認使用者對於課程內容吸收的情況,Kaspersky平臺會在一個段落時,顯示練習題目,像是圖中便要求使用者選出強度較高的密碼字串,熟悉何為強式密碼。

可不定期舉辦測驗,考核訓練成效

企業的管理者若是想得知員工上完課程後的成果,可從SATP提供的後臺功能,檢視使用者學習的情況。由於前述各項課程中,每個段落都會有小型測驗,初步審核使用者理解情形,若是沒有通過,就必須重新測驗,直到及格之後,才能閱讀下一個章節。而這些重複測驗的結果,都有記錄供管理者調閱。

SATP也提供了相關的統計資訊,像是員工普遍會答錯的項目,以我們測試的環境來說,最容易受到使用者忽略的,是把工作用的筆電帶回家使用時,離開電腦並沒有良好的鎖定習慣,因此管理者就能針對這項議題加強宣導。

值得一提的是,SATP這個後臺同時整合了釣魚郵件抽考機制,Kaspersky提供了各式類型的郵件範本,管理者只要直接套用或是稍做修改,就能寄送給受測的指定員工。這裡的釣魚郵件的樣板共有9大類型,像是企圖讓使用者的填寫個人隱私、社群網路、工作帳號、金融帳戶資料,或是引誘使用者開啟附件檔案的測試信件等。由於這個平臺內建的樣板,也包含正體中文在內的多國語言,管理者便無須大幅修改就能使用。

在每一種信件的樣板中,SATP也列出員工誤以為是一般郵件的機率,因此管理者可針對這些類型的攻擊手法,加以測試使用者的警覺心。

一旦使用者點選了測試郵件中的連結、附件,或是進行回覆,信件便會引導到SATP說明網頁,顯示這是假的釣魚郵件,並提醒使用者必須更加留意,避免遭受到真的釣魚攻擊。

可調閱特定員工上課情況,追蹤學習進度

想要了解某個員工的學習進度,企業管理者可透過後臺檢視,以圖中的情況為例,這名員工剛開始執行郵件安全訓練,其餘課程則尚未進行。管理者可將報表匯出為Word或Excel檔案,以供留存或呈報之用。

 

 產品資訊 

Kaspersky SATP

● 代理商:展碁國際(02)2371-6000

● 建議售價:SaaS服務每個使用者每年為2,500元(未稅),最低需購買100個使用者授權

● 介面語系:正體中文等28種語言

● 部署型式:SaaS服務,或導入至企業內部教育訓練管理平臺(LMS)

● 內部建置課程格式:SCORM

● 使用者帳號建置:透過檔案匯入電子郵件清單或手動建立

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容