釣魚攻擊是一個日趨嚴重的問題,隨著網路犯罪分子不斷尋找新的方式來誘騙員工,威脅從各個方向而來,包括電子郵件、手機或LINE的簡訊和語音信息、假冒官網、偽造QR Code等等。當某人被引誘打開或點擊了不該點擊的東西,而導致了一次嚴重的資料外洩時,誰該負起責任呢?
在現實世界的機場、車站和人潮眾多的地方,主管機關會張貼公告警告人們留意可疑行為。當然警覺性很重要,但我們卻無法要求一般民眾去抓出扒手、舉發闖紅燈車輛或攔阻不法分子闖入大樓。
但在數位世界中,員工卻成為防範釣魚攻擊前線的守門員,同時淹沒在「這個可以點,那個不可以點」等一堆充滿混亂的指示裡。想像一下人資主管每天要透過郵件、網路和社交媒體審閱履歷表;一般員工會經常收到IT發送的郵件,要他們點選連結檢閱最新公司政策或下載軟體更新。要這些員工能精準評估每個附件和連結,以100%的準確率分辨出惡意還是合法,這樣的期待合理嗎?當使用者被釣魚上鈎且發現太遲時,他們是否被授權提報,還是試著掩蓋,覺得尷尬或為可能的後果感到害怕?
資安是一個人人必須參與的團隊競賽,有關釣魚攻擊的教育當然至關重要。實際上,資安專家將提升資安意識視為勒索軟體深度防禦策略中最有效的三個部分之一。大量研究顯示,定期進行釣魚攻擊教育可以產生積極影響。透過教育訓練讓使用者明白危險行為的現實後果,也有助於打破萬能資安團隊的迷思。但單靠釣魚攻擊教育是不夠的,著重以人為責任的防釣魚攻擊策略不太可能成功。
網路入侵者總是不斷創新以找出侵入的方法。這是「零信任」逐漸受重視的原因之一。它的基礎假設是任何身分或端點都可能被入侵。因此,資安必須從一定會被攻擊的心態出發,明白公司內部不論是人力資源、行銷、財務、開發或是資訊技術部門的人員,都可能遭受釣魚攻擊。
與其試圖控制每一次點擊,不如聚焦在實際可控的事物。例如,全面落實強認證、演練帳密憑據防護計畫和遵循最小權限原則(針對人員和非人員身份),以防止帳密憑證被盜;或者實施白名單和應用程式控管,以降低下載惡意程式的風險。這些措施並非歸咎於任何人,而是強調資安意識和部署正確的縱深防禦措施,以快速發現並阻止攻擊行為。
當不好的事情發生,人類會本能地尋找自己以外的原因。即使是旁觀者,也總是希望找到「是誰幹的」的答案。這就是為什麼重大資安事件一旦發生,人為失誤往往成為了企業解釋的慣用理由。然而,當把所有的責任都歸咎於人為失誤,卻讓可能忽略更重要的問題,那就是過錯關乎責任;責任則源於信任;我們必須具備現代資安觀念,也就是拿掉對所有人或事物的固有信任,這也正是零信任最重要的意義。
<本文作者:謝文駿現為CyberArk北亞區總監>