勒索病毒
讓員工成為企業另一道重要的防禦:藉由網路資安意識訓練來對抗勒索病毒
企業可藉由進階的技術來發掘、評估及防範像勒索病毒(勒索軟體,Ransomware)這樣的網路資安威脅,但真正良好的網路資安體質,還需要一群具備資安威脅意識的員工,所以有越來越多企業開始注重網路資安意識訓練及測試。
企業需要一些進階的資安工具來防範像勒索病毒這樣的網路資安威脅,但單靠技術的力量無法解決每一個漏洞。當人為因素的風險升高時,定期的網路資安意識強化訓練將有助於建立一群隨時保持警戒的員工。藉由反覆測試的網路資安計畫,這些具備良好資安意識的員工就能成為企業一道額外且至關重要的防禦。
想要擁有強韌完善的資安體質,企業不僅需要進階的技術解決方案,還要配合良好的員工網路資安意識訓練,以及定期的網路資安計畫測試。請參閱本文來獲得一些實用的祕訣。
進階網路資安工具能大幅提升企業防範勒索病毒及其他威脅的能力,這些工具會利用人工智慧 (AI) 與機器學習 (ML) 來監控異常行為、偵測可疑模式、自動採取回應動作,並且持續強化整體資安狀況。
然而,並非所有漏洞都能透過技術來解決,尤其是人為因素與決策所造成的漏洞,使得網路資安的成效大打折扣。
根據 2021 年一份名為「人為漏洞對網路資安的影響 」(Impact of Human Vulnerabilities on Cybersecurity) 的研究指出:「…超過 39% 的資安風險都跟人為因素有關,有 95% 的網路攻擊成功案例都是人為錯誤所造成…。而對網路資安影響最大的人為因素就是使用者缺乏網路資安風險意識。」
許多企業都已體認到人為因素的重要性,並且成立了員工網路資安意識訓練計畫。但即使有了隨時保持警戒的員工,企業還需要另一塊拼圖才能擁有面面俱到的防禦,那就是:定期且嚴格的網路資安計畫測試,如此才能確保這些計畫在必要時候能真正發揮作用。
網路資安意識訓練是根基
企業有許多不同的方式可培養員工的網路資安意識,例如定期發布公告和提醒來維持員工對資安風險的戒心。有些企業甚至會進一步成立正式的網路資安意識訓練計畫,提供一些圖文解說、影片和其他型態的內容來說明威脅是如何運作、會攻擊哪些對象,以及如何辨識。
此外,像「網路資安意識月」(每年十月) 這樣的特殊日子,也提供企業一個機會來聚焦網路資安議題,儘管每年才聚焦一次也許還不足以產生深刻的影響。還有一個常見的作法就是透過定期的複習和訊息更新來加深員工的印象和關注度。
企業也可透過實際的演練來強化訓練內容並檢驗員工的訓練成果。例如,趨勢科技的 Phish Insight 網站就能協助企業執行自動化網路釣魚模擬訓練,並搭配企業自己的網路資安意識訓練。像這樣的模擬訓練是提升資安意識的絕佳工具,尤其若能反覆不斷實施 (大約每季一次) 效果就更好。
客製化的網路資安訓練也同樣至關重要
當所有員工都具備了基本的網路資安知識之後,企業就更能防範像勒索病毒這樣的風險。不過,有些族群也許需要一些客製化或量身訂做的內容來針對其面對的特殊風險,而且每家企業本來就有自己的獨特風險需要額外處理。
例如,從事金融交易的人員也許需要更深入的知識來了解該如何辨別可能的詐騙,例如:專門利用企業合法帳號誘騙員工匯款的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)手法。
人力資源部門也許需要有關如何保護員工私密資料及個人資訊的專門訓練,包括:醫療保險資訊、身分證字號、住家地址等等,這些全都是網路駭客集團能用來變現的資料。
技術人員同樣也需要更深入的訓練來保護企業。由於雲端組態設定錯誤是資安風險的一大來源,因此,雲端系統管理員應接受最新技術與正確組態設定的訓練。雲端架構師也應接受額外的資安訓練來讓他們不單只是了解自己所負責的基礎架構,還知道他們的決定將對資安帶來什麼影響。
軟體開發人員又是另一群需要特殊資安訓練的重要員工,好讓他們開發的程式碼能在整個生命週期內都維持安全,並且將資安融入整個端對端流程當中 (從開發到部署)。
企業不一定需要自行開發這些訓練:雲端供應商應該能夠提供有關其雲端平台的訓練,而大部分的資安解決方案與軟體廠商也都能提供一些教育訓練方案。
測試您的網路資安計畫
網路資安意識訓練有助於主動保護網路,防範像勒索病毒這樣的威脅。但是,當資安事件發生時 (遲早會發生),企業還是需要能夠有自信地回應事件並守護自己的資料和系統。正如我們先前的文章所說,最重要的核心就是良好的事件回應計畫與企業永續措施。若要確認計畫能否按預期地提供充分的保護,唯一的辦法就是定期加以測試,而且至少每年一次。
美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 在其發布的「IT 計畫與能力測試、訓練及演練指南」(Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities) 當中提供了有關如何設計及測試訓練計畫的指引。然而要落實他們的方法,通常需要一個特殊的滲透測試團隊叫做「 紅隊」來專門嘗試滲透企業的網路並模擬駭客可能的行為。
一些規模較大的企業也許能在企業內培養自己的滲透測試團隊,但其他企業可能就得將這項工作外包給託管式資安服務廠商,或是其他有經驗的第三方機構。有些整合式資安平台會內建第三方攻擊模擬與漏洞掃描功能,讓企業很容易管理測試演練、蒐集演練過程資料,並產生可化為行動的測試結果。
符合您風險程度的網路資安意識訓練
部署網路資安技術以及實施和測試訓練計畫全都需要花費成本。業界也許沒有確切的數字,但根據 Statista 指出:「平均而言,全球企業至少會分配 12% 的 IT 預算在資安上。」
企業可確保訓練和測試確實符合其實際的風險來管控相關的花費。但這樣一來,企業需要明確掌握自己的受攻擊面,哪些地方存在著漏洞、哪些環節的風險最為迫切。因為,並非所有的業務部門、資料類型或裝置都同樣容易遭到攻擊或同樣珍貴。受攻擊面風險管理解決方案可協助企業了解自己最重要的是什麼。
網路資安意識訓練還有一種聚焦的方式就是優先針對風險最大的員工,例如那些曾經點選網路釣魚連結的人。這可透過一套全方位網路資安平台來找出資安事件的發生源頭,或者根據定期模擬演練的結果。
有了聚焦且不斷加深印象的網路資安訓練,再搭配定期的資安計畫與系統測試,任何企業都能逐步改善整體的資安體質,並且進一步提供偵測、評估、防範勒索病毒與其他資安威脅的能力。
下一步
如需有關趨勢科技對於網路資安意識訓練與受攻擊面管理的前瞻性觀點,請參閱資安趨勢部落格 勒索病毒的相關文章。