企業對內外溝通來源主要來自 MAIL 往來,商業電郵詐騙國內報案平均每週至少二起,常看到的攻擊手法為病毒 / 惡意郵件、釣魚郵件、恐嚇詐騙郵件及 Dos / DDoS 郵件,我們隨時該保有警惕心,信件打開後可先用直覺判斷真偽,若不確定再請 MIS 人員用數據分析或檔案掃描,多一層警戒少一點損失,公司內部除了做一些郵件過濾防禦機制外,也需要提升員工的資安意識感。
企業員工是否曾做過資安提升的教育訓練 ? 以鼎新為例,進行企業社交攻擊演練調研的時候,第一階段先寄釣魚信件過去,接著會陸續回收許多回應,哪些員工在什麼時間點了釣魚信件,之後做成報告向企業經營者提報,隨後開始進行企業的教育訓練,約莫一、兩個禮拜再寄一次,其中一定還是會有員工點擊釣魚信件。雖然教育訓練講得很清楚,而且攻擊信件的破綻都已經放得這麼明顯,但還是有些員工會中招,所以,公司真的不得不預防這樣的神助攻。
企業為什麼需要社交攻擊演練,因為這樣的員工真的存在,所以,社交工程演練就是為了測試員工,面對社交工程攻擊的時候有沒有警覺性,有沒有能力去判斷哪些是釣魚信件或攻擊信件。
資訊安全教育訓練不一定每天都要做,但是社交工程演練的頻率要高一點,提升員工的資安意識,使其有足夠的警覺性,培養出更多思考與檢查的習慣。
企業的社交工程演練如何取得最好的成果 ?
一、無預警實施演練,不要跟員工講說要演練,偷偷寄送攻擊信件。
二、進行社交演練時,可以結合時事議題或是公司活動議題。比如說:萊豬又爆驚天大案,然後再發新聞稿裡面夾帶連結,測試員工是否可以判斷。我們公司內部也演練過,但是結果很不理想,因為我們用了第三季績效獎金的議題,所有員工無招架之力,檔案寄出後,大概有七成的人去點了連結,還有人會很熱心的報告總經理說連結失效了。大家可以發現平常都在接觸資安的人,當遇到他真正關心的議題時,他會瞬間腦袋空白,失去任何抵抗能力。
三、搭配公司定期的資安認知提升訓練,要定期跟員工做資安宣導,教他們認識及判斷釣魚信件。演練結果可以結合不同的評核方式,例如:演練失敗的員工,可以再做一次教育訓練,或是結合績效考核辦法,公司可以靈活運用不同的評核方式,以利有效提升員工的資安認知。
若您也想實際演練確認企業員工的資安意識是否足夠,可以和我們聯繫 ! 我們將會提供您更詳細的操作內容,讓您更能夠了解社交攻擊演練對於企業員工資安意識提升的重要性 !
文章出處:【就享知】社交工程演練的重要性
