回顧2020年,全球幾乎壟罩在新冠肺炎疫情的影響下,十二月初Google公布2020年度關鍵字搜尋排行榜,「武漢肺炎」位居第二名,僅次於美國總統大選,反映出「變化」已成為全球的新常態。以企業為例,過去企業習慣面對面會議,與客戶直接接觸互動或進行人員面試等等,2020年因為疫情因素,透過網路進行作業的趨勢大量激增,例如遠端互動會議,部署網路運作機制進行企業與客戶之間的合約、金流運作與機敏資料的傳輸往來等等,一旦網路活動運作頻繁且資料傳輸承載量大增時,企業將面臨兩大資安議題:網路安全機制是否完備;企業人員資安意識的觀念是否具備。這兩大議題將會是企業資安最有可能的破口,同時也是駭客滲透入侵最喜歡利用的管道。

最薄弱的一道「人因防火牆」

2020年七月中旬,知名的社交工具Twitter遭受駭客透過社交工程(Social Engineering)攻擊,針對其內部員工騙取信任後,進階取得內部系統權限的資格,得以竊取諸多重要且著名的政商名流個人用戶帳號,例如股神巴菲特、世界首富貝佐斯與微軟創辦人比爾.蓋茲等等,駭客篡改這些用戶的密碼接管帳號,並且用來發送訊息,因此即便是系統具備重重的密碼設定、權限管控與防禦關卡機制,仍然敵不過「人」這一道資安意識防火牆──人因防火牆(Human Firewall),這是讓企業組織最為擔憂的,尤其駭客特別喜愛採用社交工程方式來長期或是短期攻擊企業組織來獲取利益。

社交工程攻擊方式非常多,其中以釣魚郵件(Phishing)最為氾濫且長期穿梭於政府與企業組織內。據報導表示「人」是資安最大的風險因子,目前社交工具普及運用在企業內,而駭客或有心人士也特別偏好透過這一些社交工具進行攻擊,其手法以探悉多數人的好奇心、恐懼、信任、貪心或是掉以輕心的行為與心理因素等等,透過社群臉書、Twitter、LINE等通訊軟體或企業電子郵件的管道,進行客製化郵件內容來騙取重要資料,由此我們可以得知「人因防火牆」是企業資安網路防護中最為薄弱環節處之一。

另外,企業也常會有「購買大量資安設備產品求安心」的迷思,希望依賴資安設備來保護企業資安,但是許多國家資安政策規範,例如:ISO/IEC 27001 資訊安全管理、個人資料保護法、歐盟GDPR法規、美國國家標準與技術研究所(NIST)所提出的網路安全框架以及物聯網裝置資安法等等,均未強制性要求企業購買設備,由此我們可以觀察資安設備是輔助性的角色,設備的運用對企業來說,應該從輔助「人」的角度去思考,由人來操作設備,而非人來配合設備。

以「人」奠定資安意識的基礎

2020年五月,精誠資訊誕生第一個自有產品HEIS資安意識人因分析系統,這套系統的研發最深層概念來自於精誠資訊服務企業客戶二十多年的經驗,以及處理許多國內外資安產品設備與解決方案累積的技術能量,舉凡特徵碼導向、AI分析,過濾分析等等。精誠資訊從過往的經驗中感受大部分的企業用戶對於資安防禦思維經常會「見樹不見林」,企業用戶只是為了依循合規要求而對受測者進行資安意識測試,卻未真正協助企業受測者持續提升自我資安意識,如同我們目睹駭客攻擊手法日新月異之際,企業端所部署的防禦架構宛如武俠小說裡所談到的武功招式般,做到了「外功」強化,卻忽略「內功」增強,而「內功」談的是企業內部人員對資安意識範圍認識是否健全、清楚企業的資安機制以及配合企業的資安體制認同等等,特別是讓員工與企業共同建立資安文化的精神。精誠資訊從長期服務企業客戶的經驗深覺資安最困難管理的是「人」,但是當人管理好,對企業來說是難以計數的高報酬率,因此精誠資訊以「人」做為奠定資安的根基,從「人」的思維角度去思考設計,將人因資安意識這一道防火牆,成為精誠資訊自我品牌的第一步。

透過HEISE 傳達資安意識價值

HEIS資安意識人因分析系統,是一套適用於企業長期深耕的資安意識教育訓練工具,不論從基層員工到高階主管都非常適用此套訓練系統。此系統最大特色是讓系統管理者與系統使用者雙方透過模擬情境進行真實面的「經驗」、「測驗」、「實驗」與「檢驗」, HEIS透過4E -Experience經驗傳授;Examine測驗評估;Experiment實驗反饋;Execution檢驗執行,讓企業員工體驗經歷資安意識的成長循環、循序漸進的調整與成長,同時系統管理員可探究企業員工每位人因風險為何,知道每位受測人員資安意識的程度,問題點出在哪裡與受測者的學習曲線過程中所產生的資安意識歷程。

因此,精誠資訊是透過HEIS的四E傳達意識的價值,做為持續改善企業人員的資安意識,這就是HEIS價值所在。目前,HEIS資安意識人因分析系統採用雲端訂閱方式,分別有三種版本,標準版滿足中小型企業的釣魚演練基本需求;專業版適用於企業組織團隊進行資安意識培訓的工具,提供人因知識圖譜分析與提供釣魚網站演練的功能;企業版適用具備專業IT人員的企業環境,企業版在功能面上特別提供AI智能化演練任務推薦、各產業資安意識分數的比較、線上教育訓練課程提供及支援多域名的演練郵件名單。

結語

HEIS次世代資安意識人因分析系統所要提供的是能夠讓企業每位人員均可以經歷、體驗真正駭客進行社交工程的過程與手法,讓人員於每次透過HEIS的體驗、測驗、實驗與檢驗循環,如此才能持續讓資安意識的提升有具體的呈現。當企業即便擁有或是採購再多、再好的資安設備,對於企業員工資安意識的管理與教育訓練的落實,這才是一大挑戰,因為目前我們所面臨的資安環境,資安議題盤根錯節,防禦的方法與工具愈來愈專精,同時對於企業員工企業亦無法可以全面防範員工手上的mouse click,當只要錯按一鍵,駭客就立刻找上門,對於企業來說,後續將會有的財物或是信譽的損失則不可計數,因此精誠資訊始終認為,人因意識,以人為本,將人因防火牆(Human Firewall)築構建全與堅固,對企業而言是深耕與落實企業全體資安意識的起步。

了解更多企業資安解決方案http://tw.systex.com/cybersecurity/

精誠集團

廖本凱

Tel:02-7720-1888 ext.1034

Email:easonliao@systex.com

熱門新聞

Advertisement