趨勢資安教育訓練，達80/20之效

人是所有資訊安全環節上最大的漏洞，為了避免公司成員誤觸資安陷阱，資安公司趨勢科技從2004年第3季便開始內部的資安教育訓練。該公司資訊安全長梁國屏表示，趨勢科技主要是偏重8成最常見的垃圾郵件、釣魚郵件等資安威脅的訓練，這2年多來已經有10倍以上的成效，未來將針對比較難模擬剩下2成的資安威脅，例如身分認證存取控管（IAM）、社交工程等，進行教育演練。

趨勢科技在今年才正式設立資訊安全長一職，梁國屏說，趨勢科技雖然是資安公司，但全球3000多名員工中，還是有一些人對於資安威脅的意識不夠清楚。為了提高員工的資安意識，梁國屏在2年多前決定，引進Threat Awareness Audit Service（TAAS），用來評估企業員工的安全認知以及員工的安全行為。

梁國屏的作法是，先在企業內部設立一個安全訓練網站，將各種資安威脅的訓練課程放在上面，然後統一發電子郵件，要求員工主動上網來上課。「只有單向的上課，當然看不出訓練的成效，」梁國屏說，「所以不定期的測試，就是驗收同仁訓練成果的時候。」

一剛開始，即使趨勢科技就是提供各種資訊安全服務的廠商，但是還是有部分員工的資安意識不夠高，並未融入日常工作和生活中。梁國屏表示，當時訓練小組為了測試同仁是否能夠辨識網路釣魚郵件，避免點選釣魚網站的連結，誤觸資安陷阱，還自己創造出一個虛擬的交友網站，再發出偽裝的網路釣魚郵件，測試同仁是否有足夠的警覺性，一旦有員工點選，會主動將訊息回報給TAAS訓練小組。

梁國屏表示，第一次測試的成績並不如理想，不論是垃圾郵件或者是網路釣魚郵件，即使上過訓練課程，員工點選這些郵件的比例都超過5％。「這與心目中0.5％以下的點選目標，差距實在太大。」梁國屏說。所幸，2年多的訓練下來，經由不斷的模擬測試和教育訓練，目前在網路釣魚測試郵件的點選率，已經達到0.35％；而測試的垃圾郵件點選率，也已達到0.5％。也就是說，趨勢科技全球3000名員工，若有一次擴散性的釣魚郵件蔓延，趨勢平均「中獎率」為15人；而趨勢全球IT部門有100人，而單一服務窗口（helpdesk）也有30～40人，整個受害範圍都在可控制範圍下，對企業的危害也可能降到最低。

資安威脅不只有病毒、蠕蟲、木馬、垃圾郵件、網路釣魚郵件等，這些常見的資安威脅大約占整體資安威脅的8成左右，趨勢目前已經約略可以掌控到這8成資安威脅造成的安全漏洞。不過，為了杜絕其他的資安漏洞，趨勢下一階段的資安教育訓練，將以身份認證與存取控管，以及最近造成許多政府單位資安威脅的社交工程手法，作為資安訓練的內容。梁國屏說，先做好8成常見的資安威脅控管，再做接下來成的資安威脅掌控，達到80/20資安法則的掌握。文⊙黃彥棻