社交工程模擬演練服務上雲,成為企業自主訓練另一選項 近年有資安業者針對釣魚信演練的需求,開始提供公有雲方案,讓企業能自行透過雲端平臺,取得演練所需的系統與資源。(圖為趨勢科技Phish Threat產品介面。)

惡意郵件與釣魚郵件威脅日益嚴峻,輕則洩露個人帳號密碼、電腦中毒,重則導致公司蒙受BEC詐騙損失大量金錢,或是APT攻擊機密資料外洩,企業除了借助郵件安全防護產品過濾與偵測,提升使用者資安意識強化最後一道防線,也是近年持續強調的作法。

發動網路攻擊利用電子郵件管道入侵的駭客,會以各式社交工程手法與情境,誘騙使用者點擊郵件中的連結或下載附件,而企業為了提升員工資安意識,運用寄送測試信進行模擬演練就是一種方式,促使企業員工對釣魚信可以有更高的警覺性,也不至於在突然收到時而慌了手腳,同時企業也能掌握容易上當的使用者,容易上鉤的題材,以便針對性的做出重點加強與教育。

如果企業想要自行演練,一般可能要考慮撰寫測試系統,及規畫所有相關測試工作,其實沒想像那麼容易。

不過,現在市面上,已有一些資安業者提供相關服務,可協助處理許多相關事情,像是省去測試信發送系統的準備與操作,社交工程測試信的內容設計,建立演練時的資訊反饋與蒐集,以及報表製作,甚至是提供講師授課或教材,協助演練前宣導或是教育訓練等,並獲得其他產業及企業的經驗與心得。

例如現在一些企業政府機關單位,就是以委外方式進行,這類服務一般稱為社交工程演練,也有廠商稱作電子郵件警覺性測試服務。

目前市場上提供這方面服務的業者很多,像是中華資安國際、漢昕科技、安碁資訊、安資捷、定威科技等廠商,都是投入資安健檢服務多年的業者,也有新創公司加入這塊領域,例如三甲科技,另外,還有像是郵件安全廠商Cellopoint也提供這樣的服務,企業擁有的選擇並不少。

而且,若是企業基於更高的資安考量,像是不希望企業郵件名單暴露於外,也可要求將系統自建在企業內部來進行,詢問服務廠商是否能夠配合,甚至可以買斷系統,採自建方式,由企業內部自行操作演練的執行。另外,若是企業要求的發送測試信封數龐大,如考量到費用支出,也是可以選擇買斷自建方式。

但要注意的是,並不是所有業者都提供買斷的選項,在這些委外服務的廠商中,我們只有看到中華資安國際、安資捷、定威科技與漢昕科技,可單獨販售社交工程演練系統。值得注意的是,在近年雲端服務的浪潮之下,近年來,也有廠商推出可寄送釣魚測試信的SaaS雲端服務,例如趨勢科技與Sophos,成為企業另一種選擇。

已有許多本土廠商,能提供豐富的客製化與在地化服務

如果企業想要透過這些委外廠商提供協助社交工程演練,除了請廠商派人前來介紹,我們也能先從業者相關背景資訊做簡單的側面瞭解,像是對方在社交工程演練的主要服務對象,以及產業類型,資安團隊服務的人力,作為參考資訊。而我們也實際接觸一些廠商,接下來將概略介紹他們的背景及特色。

安碁資訊

主要的服務產業包括政府機關(69%)、金融業(16%)、科技業(8%)、服務業(7%),資安團隊服務人數超過100位,於2000年成立,是投入國內資訊服務多年的老牌廠商,他們強調的優勢在於,客戶數量眾多,可分析出較整體客戶習性,且郵件範本更新頻率快,並可利用偽造及寄信網址亂碼化等,模擬出不易看穿的情境。

Cellopoint

主要服務產業,包括:金融業、政府單位、製造業、資訊服務業與科技業,他們的資安團隊服務人數12位,由於本身就是主推郵件安全防護產品的廠商,更具實際惡意郵件接觸經驗,容易掌握最新攻擊郵件案例,並可協助分析內部安全弱點,提供專業的技術諮詢和指導方針,提供員工測試表現的數據資料。

漢昕科技

主要服務產業是政府機關(55%)、餐飲業(15%)、美妝保健(15%)、傳產製造業(15%),資安團隊服務人數7位,並有資安研發人員2位,成立於2004年,也是相當老牌的資安服務業者之一,以提供貼近的在地服務為賣點,且測試信觸發條件不需要自建實際物件,可在測試信件任意位置可插入查檢碼,並偽造任意寄件者。

安資捷

主要服務產業包括金融產業、電商產業、政府機關、高科技產業、教育產業與傳統產業,從2005年至今,具有橫跨多個產業的電子郵件社交工程演練經驗,資安團隊服務人數8位,並有資安研發人員8位。他們強調,演練SOP程序完備,能提供許多貼心服務,且演練內容能客製彈性開發,報表完整具多維統計分析,資安意識教育訓練風趣。

定威科技

主要服務產業是政府、金融業、電商,自2010年成立,資安團隊服務人數12位,並有資安研發人員8位,是投入國內資訊服務多年的中生代。他們強調的是價格實惠,可完全配合客戶需求客製化演練內容,客製化客戶要求報表產生,並可於社交工程演練過程中,加入社交工程宣導教育訓練,即時提醒瀏覽者需注意事項,及模擬真實駭客情境。

三甲科技

主要服務產業是科技產業(30%)、房產集團(20%)、第三方支付產業(30%)、學校單位(5%)、政府機關(5%)及其他(10%),資安團隊的服務人數為12人。他們是2016年新成立的資安服務業者,著重在能傾聽客戶需求,開發更符合客戶的服務內容,並透過各類客戶群體的數據分析,提供客戶現況、趨勢分析及短中長期方案建議。

中華資安國際

主要服務的產業包括,政府機關(75%)、金融機構、以及科技產業,原本是中華電信的團隊,近日他們將原有社交工程演練業務,畫分至新成立的資安子公司。他們的資安團隊服務人數為50位,賣點是能依客戶環境、新版社交攻擊手法及點擊結果調整教育訓練,可配合客戶需求客製化範本,且範本豐富性高,提供多種類郵件附檔,及多元化報表。

最後,還有像是業者所擁有的相關資安證照,其他資安檢測服務項目類型,以及業者對於企業電子郵件名單保護與運作原則,以及對於國際法規的遵循等,也是可以向廠商詢問與瞭解的部分,但實際的團隊服務品質,以及配合程度,還是需企業更進一步探聽。

郵件安全教育訓練的SaaS服務興起,以外商居多

隨著雲端服務的發展與潮流,像是漢昕科技提供的社交工程演練服務,執行的後端系統就是部署在雲端,而近年有些業者,更是提供SaaS型態的公有雲解決方案,等於讓想要自行舉辦社交工程演練的企業,有另一種選擇。

像是資安廠商Sophos,就在自家Sophos Central平臺上,提供了名為Phish Threat的郵件模擬訓練服務,讓企業能以租用雲端服務的方式,快速進行演練與教育。在Phish Threat的機制中,不僅內建各式釣魚郵件測試信範本,具備演練結果報表自動產生能力,最特別的地方是,平臺也提供教育訓練內容的範本,包含像是互動式HTML與影片的兩種型態,一旦透過釣魚郵件測試信成功讓員工上鉤,就能立即播放讓員工觀看,而後臺系統也能掌握員工是否看完教育訓練課程。

如果企業單純只要演練測試的部分,國內資安大廠趨勢科技也推出了Phish Insight雲端服務,甚至具有免費方案,讓200人以下的企業,都可以直接以企業郵件帳號註冊登入使用。更重要的是,趨勢Phish Insight產品有中文語系介面,能夠貼近國內企業的使用需求,對此, Sophos也表示,Phish Threat預計將於今年第一季完成全部中文化。

放眼國際,是否還有及他選擇,我們發現研究調查機構Gartner,近年增加了資安警覺訓練(Security Awareness Computer-Based Training)的類別,當中列出了主要領導業者包括像是Wombat Security、PhishMe、KnowBe4等廠商,也是可以評估的SaaS服務業者,只是國內企業可能不太熟悉。

而從這類廠商的資安教育發展方向來看,功能面向很廣。舉例來說,有的包含提供釣魚演練測試的系統,有的具有線上學習管理平臺,還有相關產品是專注在釣魚信回報的工具,像是可以提供Outlook、Office 365、Gmail、Lotus Notes的外掛工具,簡化員工回報可疑郵件的流程,顯然,對於近年釣魚郵件威脅加劇的環境,市面上也隨之出現更多樣的產品。

其中,關於教育訓練管理平臺(LMS)的應用與發展,也是我們關注到的一大趨勢。例如, Wombat Security的資安教育訓練平臺,不僅是具有互動式的教育、測驗內容,像是教導使用者要郵件介面上的哪些地方,透過互動式精靈式的引導介面,來教育使用者。

更讓我們感到驚訝的是,平臺內容已經支援多國語系,其中包含了繁體中文的介面語系,如果國內企業也要藉助這樣的學習平臺來教育使用者,會比傳統方式更直覺。

另外,防毒大廠卡巴斯基Kaspersky,也同樣相中這樣的趨勢,去年開始也在臺灣販售資安意識養成教育平臺,名為Security Awareness Training Platform,當中包含了22個資安相關的課程,像是郵件安全、網址安全,甚至是PCI DSS、PII、PHI法規概論都有,主要內容由卡巴斯基實驗室提供,但也包含了與Wombat Security合作的部份,像是電子郵件安全課程與測驗。

還有像是PhishMe這家廠商,也提供一套CBFree資安意識養成教材,可供企業免費申請下載,讓使用者只要開啟PDF文件,就能觀看教學影片,只是這裡支援的多國語系內容,只有簡體中文,較為可惜。

綜合來看,前面提到的社交工程演練服務,幾乎都是國產業者,優勢在於可以提供更多在地化的服務,能徹底簡化演練的執行工作,並能提供建議與授課方面的內容;而雲端服務業者多半以外商與國際企業為主,需要企業自行操作,但這些業者的線上資源,現在也成為企業可選擇或利用的部分。

線上資安教育平臺興起,且更具互動性

有業者打造資安教育訓練管理平臺的雲端服務,並能以互動式的教育與測驗內容,幫助使用者培養良好郵件安全意識。(圖為Wombat Security、Kaspersky產品的介面)

 

郵件社交工程演練現況大揭密

可採取更高演練頻率,搭配測驗、授課等教育訓練,並讓員工持續認識郵件資安威脅

在執行郵件社交工程演練後,我們從一些演練結果來看,到底企業遇到的狀況有哪些?

像是從安碁資訊提供的演練結果統計來看,女性員工點選「影劇娛樂」類型郵件比例高於男性,而男性員工則是點選「體育文教」類型郵件比例較高。另外,相較於一般郵件,與機關業務相關的擬真郵件,開啟率更是相對偏高。

定威科技也表示,通常客戶初次測試的成績都不盡理想,有客戶在第一年執行演練希望是越逼真越好,但看到演練成積後,就會希望調整演練並加強教育訓練,提高同仁資訊安全意識。像是今年某單位寄送加薪通知的擬真郵件,郵件開啟率就突破70%。

這些狀況顯示出,即便這些可能無關工作的釣魚信內容,看來仍有不少人會上當,而且,與機關業務相關的擬真郵件,更是多數員工不容易防備的。因此,企業如何依照演練結果、客戶環境、新的社交攻擊手法,積極調整演練與教育訓練方式,就是企業需要與服務業者做好溝通的課題。而且,不只是透過多次演練讓成績變好,更要讓員工都能對於郵件資安威脅持續認識。

而對於演練的過程,這次我們也特別關心幾個面向,像是演練頻率提高、測試信內容求逼真,以及教育訓練方式,來觀察現行演練的作法與考量。

提高演練頻率是首要關鍵

一、首先,演練頻率是企業需要思考的面向,雖然臺灣政府機關在2005年就明令要求,每年進行兩次郵件社交工程演練,近年金管會也要各銀行每年至少實施一次,但這樣要求也就只照做嗎?

事實上,有些企業或政府機關的作法很積極,維持每年定期檢測只是符合基本的要求,為避免社交工程演練流於形式,不少單位主動要求提高演練頻率,讓觸發率能有效降低。像是安資捷表示,現在客戶大多從過去一年兩次,改為一年四次,亦有客戶希望每周一封。顯然,這是為了讓企業員工不會有特定期間才要注意的想法,以密集少量方式,取代一次多封、久久一次的作法。

二、在測試信內容的設計方面,現在各服務業者都強調提供豐富的樣本信件,或是結合當下時事資訊,甚至依照客戶需求製作客製化的內容。不僅如此,由於釣魚郵件與惡意郵件的偽冒手法越來越逼真,如果企業需要更逼真的釣魚郵件,或是須針對不同部門工作性質的客製,現在各廠商也都可以配合。

然而,擬真程度越高的測試郵件,當然更容易讓員工上當。從多家業者提供的資訊來看,會要求測試郵件內容更逼真的企業,客戶佔比大概有5%~30%,三甲科技更表示多數客戶都希望逼真,但他們也提醒,若信件仿真度過高或訊息過於機敏時,有時會引發受測者進一步求證,而造成其他業務困擾,因此需謹慎處理。這樣也看出,已經有不少企業開始重視,期望使用者要能注意詐騙釣魚郵件可能做的很逼真。

如果企業對於擬真演練有較高的要求,除了關注郵件內容設計、偽造任意寄件者,也可以檢視相關統計資訊能力,像是基本的開啟郵件、開啟連結之外,是否還能掌握員工是否真的會在釣魚網站輸入資料,或是開啟了郵件附檔。其中附檔開啟的支援類型有較大差異,技術上,像是定威科技、中華資安國際都提到已同時支援PDF、Word、Excel與PowerPoint檔,也有不少業者表示支援Word檔或是Excel檔。另外,三甲科技、定威科技與漢昕科技則表示,他們還能統計開啟的裝置類型。

三、在教育訓練方式上,簡單的作法就是針對演練成績不好的員工,進行再教育或測驗方式的訓練,企業平時也可以定期安排資安課程,或是在演練前進行宣導,同時也能請服務廠商協助提供授課與相關電子教材。另外,如果企業本身沒有規畫內部的線上學習平臺,有些廠商像是漢昕科技,就表示可提供額外選購的教育訓練平臺。

如果企業演練後想要立即教育,像是將測試信中連結指向警示與教育訓練連結,從多家業者提供的資訊來看,這樣要求的客戶佔比大概是5%~33%,並不算多,僅有定威科技表示有70%的客戶希望如此。據了解,主要是有些企業不希望演練階段進行立即教育或警示,是因為怕同仁相互告知而導致演練成果失真,當然,企業該如何拿捏,或是變更調整測試信的寄送時間與內容,就是額外需要考量的部分。

建立長期有效作戰計畫,要讓演練目標更明確

要建立一個長期且有效的郵件資安意識訓練計畫,不僅是社交工程演練,企業本身也應考量測驗、授課等教育訓練與管理制度的配合。

而在社交工程演練達到理想成績之外,如何真正讓員工持續認識郵件資安威脅?

簡單來說,企業定期執行社交工程演練,基本的目標,就是讓員工瞭解社交工程郵件攻擊的存在,不要因好奇心使然、習慣趨使,隨意點擊郵件中的連結或開啟附檔。更進一步,則是要求使用者能有足夠的警覺性,培養出更多思考與檢查的習慣,並瞭解現在攻擊者可能利用的手法。

例如,懂得檢查郵件中的真實超連結,知道電子郵件的假冒混淆方式,具有識別釣魚郵件的概念,以及郵件附檔Office文件如有巨集功能不亂開啟,等各式釣魚手法的防備心。而關於金錢交易相關的郵件內容,員工是否能意識到應採第二管道確認,或遵循稽核流程處理,又或是當真的發現釣魚郵件,員工是否知道如何回報IT單位。


Advertisement

更多 iThome相關內容