提升郵件安全與資安意識要有新思維

近年來，惡意郵件、釣魚郵件威脅影響越來越大，因為有更多網路攻擊的前奏，在一開始是利用釣魚郵件，來突破企業的防禦，進入企業內部網路，尤其像是近年猖獗的勒索病毒、商業電子郵件詐騙，以及APT攻擊，都頻頻利用社交工程及郵件釣魚技術。

麻煩的是，釣魚信往往是攻擊階段很早期的行為，容易被忽略，不論企業規模大小，都有遇害的可能性，如何過濾電子郵件中的惡意程式及連結，便是如今企業資安防護當務之急。

為了對抗這些惡意郵件與釣魚郵件的威脅，企業不應只是期待使用者去自行判斷，採用郵件安全防護系統，並善用社交工程演練等工具來積極面對，就像戰士上前線作戰時，應提供自動化武器與充分訓練，來強化防禦能力。

隨著威脅態勢日益嚴峻，現在的郵件安全防護技術也更進步，過去企業知道要做好垃圾郵件過濾、郵件防毒，現在郵件APT、進階郵件安全防護等方案，就是企業要重視的項目，才能幫助使用者過濾無法看出的郵件潛藏威脅。

不過使用者仍是最後的防線，尤其現在的社交工程手法搭配其他技術的攻擊，更是令人防不勝防，道高一尺，魔高一丈，不能單靠郵件資安產品的防護，如何同時提升使用者資安意識也是關鍵，應以雙管齊下的方式，才能有效提升面對各式電子郵件威脅的防護力。

強化郵件安全防護力道，協助過濾大部分的郵件威脅

論及電子郵件的安全問題，垃圾郵件與病毒郵件是最早的困擾，之後興起的則是詐騙郵件與釣魚郵件，近年電子郵件威脅層面更是擴大，像是帶來廣泛影響的勒索軟體，以及更具針對性的釣魚詐騙手法，例如，APT攻擊與商業電子郵件詐騙（BEC）。

儘管惡意電子郵件、釣魚郵件帶來的威脅風險越來越高，但是許多的企業用戶，仍是仰賴電子郵件作為正式溝通管道，如何降低這些風險與威脅，就是首要課題。

而透過郵件安全相關防護功能，的確可以幫助使用者過濾掉大部分的威脅，是最基本的作法，否則，光靠使用者用人眼來判斷所有郵件內的威脅，顯然並不切實際。

但要注意的是，談到電子郵件安全，企業過往想到的，可能就只是防垃圾郵件與防毒，而現在的郵件安全防護面向與功能，並不僅於此。

無論是郵件稽核、進階郵件威脅防護，甚至是應用威脅情報分析及機器學習等技術，以及郵件簽章、郵件加密與網域驗證等機制，還有網頁郵件帳號安全的雙因素認證與異常登入警示，都是企業應該關注與瞭解的部分，不能只停留在過去思維。而且，現在這些郵件安全防護設備的價格門檻，其實並不高。

當然，我們也期盼在AI人工智慧發展越來越快速的情形之下，能夠更精準、更快速地幫助企業過濾種種可疑的陷阱。而在郵件安全防護之外，注意作業系統與軟體程式的更新，降低遭受漏洞攻擊的情況，以及端點安全、網頁安全閘道與威脅情資系統的配合，建立多層次與縱深防禦的概念，也都是近年強調的資安防護之道。

執行郵件社交工程演練，強化使用者識別釣魚與威脅的能力

不過，資安教育訓練仍是企業面對郵件威脅的最後一道防線。畢竟這些主動寄來的電子郵件，鎖定的攻擊目標就是「人」，誘騙使用者開啟信件後，透過點擊連結或下載附件等方式，藉此突破企業防禦大門。系統只是輔助，可以幫使用者過濾掉大部分的威脅，降低可能發生的機率，但其餘的郵件安全防護，還是得仰賴提升使用者的資安意識，因此企業也得設法解決。

由於各企業在郵件或資安防護上，做的不一定都很到位，駭客也總是會過各種偽裝方式與新手法，來避過系統偵測與攔阻，還有正常郵件內容的詐騙郵件內容，因此系統也可能還是會有盲點，使用者本身的郵件資安意識就很重要。

為強化人員郵件資安意識，利用演練與測試信的方式，來訓練使用者對於郵件社交工程的警覺性，也是現行常見會採取的作法。

演練的用意，就是不希望等到真的面對釣魚郵件時，卻沒有一點警覺性，或是一時慌了手腳而不慎上鉤，等到最後釀出更大災情時，才責怪當初怎麼沒有發現。

而透過演練的方式，一方面，是為了測試電子郵件使用者是否會點選郵件中不明連結，或開啟來路不明的附檔，進而培養企業員工養成不輕易上鉤、察覺可疑郵件的習慣；另一方面，企業也可以掌握哪些使用者是高風險群，容易成為資安缺口，做出重點加強。

事實上，為了避免政府部門員工遭到社交網路郵件的攻擊，我國政府機關在2005年開始這樣要求，至今，各機關單位也都持續在進行，執行每年兩次的防範電子郵件社交工程施行計畫，近年金管會也有類似的規定，要求所有金融業者，應定期執行電子郵件社交工程演練與教育訓練，每年至少一次。當然，不僅是政府單位，許多企業也會藉此方式訓練員工，各種類型產業都有，像是高科技產業、傳統產業、服務業，以及電商與第三方支付產業等。

而要執行這些演練，除了企業自己實做，市面上也有不少資安服務業者會提供這些服務，名稱像是社交工程演練服務，或是電子郵件警覺性測試服務，也有業者能提供買斷方式供企業自建系統來執行。

特別的是，隨著雲端服務的盛行，市面上，開始有提供寄送釣魚測試信的雲端服務，以及資安教育訓練的平臺，這也成為企業現在可以利用的新資源。

另外要注意的是，在演練之外，教育訓練與管理制度的配合，也是企業不容忽視的部分，除了基本的教材、上課與測驗方式，培養與訓練員工的資安意識，如何讓企業員工持續認識郵件資安威脅，或是也會關注資安事件與新聞，這也是政府提倡全民資安所希望達到的目標，同樣需要企業一起努力。

此外，像是釣魚信回報的重要性，可能是企業與使用者容易忽略的問題，一旦用戶判斷出或察覺到可疑釣魚郵件，只要刪掉不理就沒事嗎？還是應該訓練使用者立即回報，讓資訊單位同仁能做出其他處置動作，或是宣導避免其他同事中招。雖然有企業可能認為實務上，不可能每封郵件都要請IT人員協助，造成其他事都不用做，但反過來思考，是否企業本身系統的資安防護不足，或是已經成為重點攻擊對象。還有近年盛行的BEC詐騙，由於企業員工過於信任電子郵件，特別是看起來向是上級的指令，因此，關於金錢交易相關的資訊，是否能讓員工意識到應採第二管道確認或建立管理流程，也是重點。

每周進行釣魚信演練，食藥署已持續施行8年

食藥署資訊室主任林文洲表示，他在民國99年時，就要求每天都需進行抽樣釣魚，透過委外服務業者發送釣魚信件，讓員工持續保持警覺，釣魚信內容都是以時事題為主。而這樣的作法也吸引到其他單位前來取經，因為他們的演練成果比較出色。

衛福部食品藥物管理署為了減輕資安事件的衝擊，既有郵件防護體系之下，他們相當看中員工對於郵件安全意識的訓練。

要如何貫徹演練，食藥署資訊室主任林文洲提到幾個關鍵，像是要獲得長官支持，而且就算是長官被釣魚信釣到，也要來上課，做好榜樣。當然，一開始長官也會很擔心被釣到會不會怎樣，這也就是要培養與習慣之處。他也建議教育訓練不要拘於形式，因為大家上班都有自己分內的工作要做，如果沒時間上課，最簡單的辦法就是設法通過測驗，同時，為了要讓其他同事快速獲得提醒，因此他們對廠商提出的需求是，一旦有人不慎點擊釣魚連結，5分多鐘後就會發出通知郵件。當然，如果有人不配合，資訊室的作法是透過發出改善單的方式，利用更多力量來強化演練的執行效果。

此外，林文洲還特別提到一點，對外公務信箱是他們最常受到攻擊的對象，因此，在既有郵件安全防護與演練之外，他也建議這類信箱最好與公司內部網路環境有所區隔，透過虛擬機器的方式來收信，降低郵件威脅的風險。