「人」是資安問題的癥結嗎?

多年來您應該聽過「人」是資安防護鏈中最弱的一環,這年頭只要一個不小心點按了什麼就有可能收到雪片般飛來的指責。而今天我們整個系統都是用點按的連結所建構成的,「點按」幾乎已是辦公室裡頭每天會用的詞彙,例如「讓我們點按這個一下吧!」
20201012160045

多年來您應該聽過「人」是資安防護鏈中最弱的一環,這年頭只要一個不小心點按了什麼就有可能收到雪片般飛來的指責。而今天我們整個系統都是用點按的連結所建構成的,「點按」幾乎已是辦公室裡頭每天會用的詞彙,例如「讓我們點按這個一下吧!」

不過人總是會犯點有損資訊安全的事,例如您短暫離開車子時卻把筆電放在車上且忘了上鎖,或是在電腦附近黏貼著寫有密碼的便條等。人總是會犯點錯,但指責有可能成為您與團體最強的連結,以及在團體資安防禦時重要的一環。

一般來說員工對於公司的資訊安全政策多是沮喪的,而且多數員工的主要工作都與資安無關,他們可能不了解自己的一些動作行為會公司影響很大,也覺得複雜的資安政策很難遵守,只說之所以有這些政策是因為工作時周遭隨時有資安風險。由此可知資安政策是否適用於員工很重要,而不是處處針對著員工。

根據資訊安全分析公司 Gurucul 在 2019 年 RSA 研討會上發表的調查,該調查詢問了超過 650 位資訊技術領域的專業人員,專業人員中有近 75% 表示企業的資訊安全弱點來自內部威脅,擔心內部員工的誤用佔 39%,擔心內部的惡意運用佔 35%,而一些帳號的妥協開通則佔 26%,但只有 34% 認為他們能即時抓到資安威脅,33% 認為自己只能在資安事故發生後檢測出內部威脅而不是防範於未然,最後還有40%是資料已被帶出公司卻無法察覺,也無法進行資安通報。

而關鍵基礎建設技術也回報多數不管蓄意或偶發的資安事故,很多是因為內部的一些行為動作所導致,這些年來我們已經看到許多資安事故是因為人們點按了電子信件中的連結或附件所造成,這類的釣魚信件已開始普遍,F5 實驗室的調查研究證實釣魚信件是很成功且強力的資安攻擊手法,研究顯示在過去 12 年內釣魚信件已增加了 5,753% 之多,同時 F5 實驗室也發現 48% 的資安破口究其根本原因即是釣魚信件。

那該怎麼做呢?事實上有一些技術可以降低這些潛在威脅,在 2018 年 F5 Lab 網路釣魚與詐欺報告中就推薦了幾種防禦手法,例如標註哪些電子信件是外部寄來的,提醒內部員工處理時多加留意與謹慎,或使用防毒、網頁過濾、詐欺防護等技術,或使用單簽登入、多因子認證、攔阻殭屍機器人程式,甚至使用花蜜令牌(honey token)的技術,即使用可拋的使用者帳號電子信件網址,如此就可監看出釣魚信件是由誰發出的?

另外有些資安威脅是加密的,所以對進出企業的內容進行解密並檢測內容也是很重要的,特別是有 68% 的惡意程式是從加密的命令與控制伺服器上獲得其指令。

上述這些措施只能減少威脅但無法完全消除威脅,畢竟釣魚這種社交工程(social engineering)式的戰術存在已久,在沒有 Internet 的時代就有了。所以這需要透過訓練來強化,安全意識的培養很重要,至少讓大家意識到點按後的可能後果,從而巧妙避開攻擊,員工也應該要回報任何可疑信件,請求資訊或資安相關單位查核驗證該信。

另外 2018 年 F5 Lab 網路釣魚與詐欺報告也提到,透過 Webroot 的測試證實,資安意識培訓愈多員工就愈能避開資安風險,在 1 至 5 次的訓練後釣魚信件的點擊率降至 33%,6 至 10 次再降至 28%,11 次以上與更多次則只剩 13%。

報告也顯示運用模擬的釣魚信件測試可了解到,信件標題與內容愈新穎或愈切身相關時愈可能得逞,歸結而言安全意識培訓的成本比出現資安破口後的彌補代價來的低。

而關於釣魚安全意識的培訓,F5 Lab 認為必須簡單扼要、切身相關、為企業與個人量身訂製,如此資安威脅將是可管控的,但必須所有成員都積極參與才行,而這也是鼓勵企業內同仁交流與全體動員參與的絕佳機會。