【為強化員工郵件資安意識,可透過演練來教育】企業透過資安服務廠商執行社交郵件工程演練,不只是從結果報告掌握容易成為資安缺口的使用者,同時藉由教育訓練、測驗與管理制度的配合,真正達到提升電子郵件使用者警覺性意識的目的。(圖為定威科技社交工程演練結果報告範例)

近年來,惡意郵件、釣魚郵件威脅影響越來越大,因為有更多網路攻擊的前奏,在一開始是利用釣魚郵件,來突破企業的防禦,進入企業內部網路,尤其像是近年猖獗的勒索病毒、商業電子郵件詐騙,以及APT攻擊,都頻頻利用社交工程及郵件釣魚技術。

麻煩的是,釣魚信往往是攻擊階段很早期的行為,容易被忽略,不論企業規模大小,都有遇害的可能性,如何過濾電子郵件中的惡意程式及連結,便是如今企業資安防護當務之急。

為了對抗這些惡意郵件與釣魚郵件的威脅,企業不應只是期待使用者去自行判斷,採用郵件安全防護系統,並善用社交工程演練等工具來積極面對,就像戰士上前線作戰時,應提供自動化武器與充分訓練,來強化防禦能力。

隨著威脅態勢日益嚴峻,現在的郵件安全防護技術也更進步,過去企業知道要做好垃圾郵件過濾、郵件防毒,現在郵件APT、進階郵件安全防護等方案,就是企業要重視的項目,才能幫助使用者過濾無法看出的郵件潛藏威脅。

不過使用者仍是最後的防線,尤其現在的社交工程手法搭配其他技術的攻擊,更是令人防不勝防,道高一尺,魔高一丈,不能單靠郵件資安產品的防護,如何同時提升使用者資安意識也是關鍵,應以雙管齊下的方式,才能有效提升面對各式電子郵件威脅的防護力。

強化郵件安全防護力道,協助過濾大部分的郵件威脅

論及電子郵件的安全問題,垃圾郵件與病毒郵件是最早的困擾,之後興起的則是詐騙郵件與釣魚郵件,近年電子郵件威脅層面更是擴大,像是帶來廣泛影響的勒索軟體,以及更具針對性的釣魚詐騙手法,例如,APT攻擊與商業電子郵件詐騙(BEC)。

儘管惡意電子郵件、釣魚郵件帶來的威脅風險越來越高,但是許多的企業用戶,仍是仰賴電子郵件作為正式溝通管道,如何降低這些風險與威脅,就是首要課題。

而透過郵件安全相關防護功能,的確可以幫助使用者過濾掉大部分的威脅,是最基本的作法,否則,光靠使用者用人眼來判斷所有郵件內的威脅,顯然並不切實際。

但要注意的是,談到電子郵件安全,企業過往想到的,可能就只是防垃圾郵件與防毒,而現在的郵件安全防護面向與功能,並不僅於此。

無論是郵件稽核、進階郵件威脅防護,甚至是應用威脅情報分析及機器學習等技術,以及郵件簽章、郵件加密與網域驗證等機制,還有網頁郵件帳號安全的雙因素認證與異常登入警示,都是企業應該關注與瞭解的部分,不能只停留在過去思維。而且,現在這些郵件安全防護設備的價格門檻,其實並不高。

當然,我們也期盼在AI人工智慧發展越來越快速的情形之下,能夠更精準、更快速地幫助企業過濾種種可疑的陷阱。而在郵件安全防護之外,注意作業系統與軟體程式的更新,降低遭受漏洞攻擊的情況,以及端點安全、網頁安全閘道與威脅情資系統的配合,建立多層次與縱深防禦的概念,也都是近年強調的資安防護之道。

執行郵件社交工程演練,強化使用者識別釣魚與威脅的能力

不過,資安教育訓練仍是企業面對郵件威脅的最後一道防線。畢竟這些主動寄來的電子郵件,鎖定的攻擊目標就是「人」,誘騙使用者開啟信件後,透過點擊連結或下載附件等方式,藉此突破企業防禦大門。系統只是輔助,可以幫使用者過濾掉大部分的威脅,降低可能發生的機率,但其餘的郵件安全防護,還是得仰賴提升使用者的資安意識,因此企業也得設法解決。

由於各企業在郵件或資安防護上,做的不一定都很到位,駭客也總是會過各種偽裝方式與新手法,來避過系統偵測與攔阻,還有正常郵件內容的詐騙郵件內容,因此系統也可能還是會有盲點,使用者本身的郵件資安意識就很重要。

為強化人員郵件資安意識,利用演練與測試信的方式,來訓練使用者對於郵件社交工程的警覺性,也是現行常見會採取的作法。

演練的用意,就是不希望等到真的面對釣魚郵件時,卻沒有一點警覺性,或是一時慌了手腳而不慎上鉤,等到最後釀出更大災情時,才責怪當初怎麼沒有發現。

而透過演練的方式,一方面,是為了測試電子郵件使用者是否會點選郵件中不明連結,或開啟來路不明的附檔,進而培養企業員工養成不輕易上鉤、察覺可疑郵件的習慣;另一方面,企業也可以掌握哪些使用者是高風險群,容易成為資安缺口,做出重點加強。

事實上,為了避免政府部門員工遭到社交網路郵件的攻擊,我國政府機關在2005年開始這樣要求,至今,各機關單位也都持續在進行,執行每年兩次的防範電子郵件社交工程施行計畫,近年金管會也有類似的規定,要求所有金融業者,應定期執行電子郵件社交工程演練與教育訓練,每年至少一次。當然,不僅是政府單位,許多企業也會藉此方式訓練員工,各種類型產業都有,像是高科技產業、傳統產業、服務業,以及電商與第三方支付產業等。

而要執行這些演練,除了企業自己實做,市面上也有不少資安服務業者會提供這些服務,名稱像是社交工程演練服務,或是電子郵件警覺性測試服務,也有業者能提供買斷方式供企業自建系統來執行。

特別的是,隨著雲端服務的盛行,市面上,開始有提供寄送釣魚測試信的雲端服務,以及資安教育訓練的平臺,這也成為企業現在可以利用的新資源。

另外要注意的是,在演練之外,教育訓練與管理制度的配合,也是企業不容忽視的部分,除了基本的教材、上課與測驗方式,培養與訓練員工的資安意識,如何讓企業員工持續認識郵件資安威脅,或是也會關注資安事件與新聞,這也是政府提倡全民資安所希望達到的目標,同樣需要企業一起努力。

此外,像是釣魚信回報的重要性,可能是企業與使用者容易忽略的問題,一旦用戶判斷出或察覺到可疑釣魚郵件,只要刪掉不理就沒事嗎?還是應該訓練使用者立即回報,讓資訊單位同仁能做出其他處置動作,或是宣導避免其他同事中招。雖然有企業可能認為實務上,不可能每封郵件都要請IT人員協助,造成其他事都不用做,但反過來思考,是否企業本身系統的資安防護不足,或是已經成為重點攻擊對象。還有近年盛行的BEC詐騙,由於企業員工過於信任電子郵件,特別是看起來向是上級的指令,因此,關於金錢交易相關的資訊,是否能讓員工意識到應採第二管道確認或建立管理流程,也是重點。

每周進行釣魚信演練,食藥署已持續施行8年

食藥署資訊室主任林文洲表示,他在民國99年時,就要求每天都需進行抽樣釣魚,透過委外服務業者發送釣魚信件,讓員工持續保持警覺,釣魚信內容都是以時事題為主。而這樣的作法也吸引到其他單位前來取經,因為他們的演練成果比較出色。

衛福部食品藥物管理署為了減輕資安事件的衝擊,既有郵件防護體系之下,他們相當看中員工對於郵件安全意識的訓練。

要如何貫徹演練,食藥署資訊室主任林文洲提到幾個關鍵,像是要獲得長官支持,而且就算是長官被釣魚信釣到,也要來上課,做好榜樣。當然,一開始長官也會很擔心被釣到會不會怎樣,這也就是要培養與習慣之處。他也建議教育訓練不要拘於形式,因為大家上班都有自己分內的工作要做,如果沒時間上課,最簡單的辦法就是設法通過測驗,同時,為了要讓其他同事快速獲得提醒,因此他們對廠商提出的需求是,一旦有人不慎點擊釣魚連結,5分多鐘後就會發出通知郵件。當然,如果有人不配合,資訊室的作法是透過發出改善單的方式,利用更多力量來強化演練的執行效果。

此外,林文洲還特別提到一點,對外公務信箱是他們最常受到攻擊的對象,因此,在既有郵件安全防護與演練之外,他也建議這類信箱最好與公司內部網路環境有所區隔,透過虛擬機器的方式來收信,降低郵件威脅的風險。


Advertisement

更多 iThome相關內容