Jennifer Cheng/Director of Product Marketing, Proofpoint
從任何角度來看,2020對駭客來說是個忙碌的一年。因為疫情影響和威脅的增加,許多組織淪為網路攻擊的對象。
根據Proofpoint 2021的釣魚攻擊報告,發現有57%的組織在去年被駭客成功使用釣魚攻擊,不僅影響深遠,企業也受到損害:近三分之二原因是資料外洩;一半則是帳號或憑證被竊取。
而勒索軟體也不甘示弱地在2020繼續擴張。儘管受攻擊的比率和往年相同,但有更多的組織選擇支付贖金,卻可能未回復運作:有近三分之二的組織受到勒索軟體攻擊,有一半選擇支付贖金,僅六成在支付第一筆贖金後能拿回資料,其餘則被繼續勒索或根本石沈大海。
儘管釣魚和勒索都不是新的駭客手法,但仍是資安團隊的保護重點。因疫情緣故,去年駭客攻擊成功的比例升高,不過更需要關心的是現今威脅的發展,駭客更主動地鎖定「人」為攻擊對象、而非網路或IT架構。當技術防護不斷更新,使用者意識卻未跟上腳步,這個落差只要還存在,企業就卡在只能瞻前卻未能顧後的困境。
Closing the awareness gap減少認知落差
使用者意識是企業防護的關鍵,就跟其他技術防護和控制一樣重要,儘管如此,卻未受到同等重視。企業幾乎都有資安教育訓練計畫,但有近乎一半的教育訓練在一年內未超過四次,而大多數也沒有超過兩個小時;也僅有一半的公司是對全公司人員訓練,其中的六成才採取正式實體或虛擬的訓練課程。
使用者意識的不足顯示了企業缺乏完善的訓練規劃。儘管常看到企業被駭的新聞,但僅有33%的使用者能清楚描述勒索軟體的定義,65%了解惡意軟體和63%了解釣魚攻擊。
這對資安人員來說可能難以置信,但這就凸顯了認知和理解的落差。使用者可能知道有些家庭和知名品牌受駭客攻擊,但不代表會了解攻擊機制,也不知道以企業用戶的身份該如何預防。
為了縮減知識落差,資安意識培訓需要不僅教育常見的防護基礎,更要讓他們了解自身的資安責任。
Identifying your Very Attacked People找出常受攻擊的人
為了提供對的訓練給對的人,應該要先辨別誰在組織中風險最高,在Proofpoint我們稱之為VAP常受攻擊者。
在識別前要避免先入為主,因為VAP可能在組織的任一個職位,儘管高層可能是最直覺的攻擊對象,但攻擊者其實最常鎖定他們旗下的人員,但在不同組織和產業,VAP也會很不一樣。在最近Proofpoint發現的例子中,在一個大型照護機構前20個VAP也剛好是VIP;而在金融組織裡則僅有一位VIP是VAP。
而VAP會持續變動。像資安意識培訓,辨認VAP的工作不是一次性的,因為這些人可能會隨時改變。當確認了VAP,就能評估他們的資安意識,有這些資訊,就能建立客製的訓練計畫,能依據每位的風險評估,各別補齊資安認知落差。
這就是以人為本的資訊安全。而通常就是你和駭客間的唯一防線。
Building a people-centric cyber defence 建立一個以人為本的資安防禦
駭客通常會持續攻擊你的組織。如果你不能像駭客一樣,就可能被成功攻擊。了解TPP攻擊戰術流程其實並不足夠,用戶行為常是最大的變數,強化用戶行為就成了當務之急。
而首先就是要創造企業文化,「資安並不僅是IT人員需要落實,而是所有人的責任。」這樣的文化要透過正規且有脈絡的資安訓練,且根據使用者和不斷改變的威脅情勢時時調整。
這不代表訓練該是個考試,而是要使用者學會防禦,這也是訓練計畫該強調的重點。不是要學會名詞定義和攻擊模擬,而是著重在教育行為與其伴隨的潛在風險。
當使用者了解使用單一密碼和資料外洩間的關聯、從未知寄件者點擊可疑連結與勒索軟體的關係,那他們的使用習慣就會因此改變。有80%組織認為資安意識培訓有助於降低駭客攻擊的影響。
資安不再是技術規範。在這個以人為對象進行攻擊的年代,理解與認知才是關鍵,使用者知道的越多,才能更加確保組織安全。