根據Check Point最新調查顯示,社交工程導致企業在每次資安事件中造成10萬美金以上的損失,突顯出強化資安及使用者警覺心的重要性。
全球網路安全廠商Check Point軟體技術有限公司,在最新公佈的「社交工程引發的資安風險」調查報告結果顯示,有48%受訪的企業已成為社交工程(Social Eengineering)的受害者,過去兩年間曾遭受25次以上的攻擊,導致企業在每次資安事件中蒙受2.5萬至10萬美金以上的損失。調查遍訪全球850位以上IT資安專業人士,指出最常見的社交工程威脅來源分別來自網路釣魚及社群網路工具,顯示企業應積極結合資安科技與使用者警覺心,以降低威脅攻擊頻率與耗損的成本。
傳統的社交工程攻擊目標為竊取個人敏感資訊和潛在資料。今日的駭客則運用各式各樣的技巧與社交工程應用程式,蒐集個人與職業資訊,以找出企業資安防護的弱點。根據Check Point的調查結果,86%的企業同意社交工程已為日趨嚴重的威脅;超過一半的受訪者(51%)認為社交工程攻擊的主要動機為詐財,其次為取得競爭優勢及報復行為。
Check Point網路安全產品部副總裁Oded Gonda表示:「根據調查,近半數受訪企業知道他們曾遭受社群工程攻擊。因了解到這些攻擊往往未受注意,顯示這是個非常廣泛、危險且不容忽視的攻擊向量。」
社交工程慣於針對個人的弱點攻擊,隨著Web2.0及行動運算的普及化也讓獲取個資愈加容易和創造出更多新的攻擊點。對企業資安政策不熟悉的新進員工(60%)及約聘人員(44%)被視為最易遭受攻擊的對象,其次為助理、人資及IT人員。
Gonda補充:「最終,資安防護流程中最關鍵的部分還是使用者,因為使用者常被誘導犯錯,導致惡意軟體感染或不經意的資料外洩。許多企業並未將使用者納入資安考量因素,但事實上,員工應做為資安防禦的第一線。能提高員工資安意識最好做法,便是讓使用者參與資安防護流程,授與他們能夠預防並即時修復資安事件的權力。」
為了達到現今IT環境所需的資安防護,須結合各種不同科技以產生有效益的企業流程。Check Point的3D安全防護(3D Security)能協助企業架構資安藍圖,不僅是在科技層面上,更藉著讓員工參與防護流程的方式教育員工相關資安常識。
「員工會犯錯,造成公司的資安漏洞與威脅,但同樣員工亦能在降低資安風險上發揮很大效用。」Gonda表示。有了Check Point的獨家UserCheck技術,企業就能提醒及教育員工,在使用公司網路、資料及應用程式時,應遵守公司資安政策。如此,即可能協助企業將社交工程的攻擊頻率、發生風險及導致的成本損失降至最低。
Check Point台灣區總經理馬勝彰表示:「資安不僅僅是IT人員的責任,每一位員工都必須參與。現今產業面臨更精緻、更有針對性的攻擊威脅,使用者的參與將能使資安科技更聰明、更有效。」
報告主要調查結果如下:
1. 社交工程帶來嚴重威脅:86%的資安人員意識已高度意識到社交工程帶來的危機。約48%的受訪企業坦承已為社交工程的受害者,在過去兩年間遭受25次以上的攻擊。
2. 社交工程攻擊會造成嚴重損失:受訪者估計每次發生的資安事件會導致2.5萬至10萬美金以上的成本損失,包括業務中斷、客服費用、收入損失及商譽受損等相關成本。
3. 社交工程最常見威脅來源-網釣電子郵件:網釣郵件在社交工程攻擊上排名第一(47%),其次為可能曝露個人及職業資訊的社群網站(39%),再來是有漏洞的行動通訊設備(12%)。
4. 社交工程的主要動機-詐財:據研究,詐財是社交工程攻擊的最常見原因,其次為竊取機密資訊(46%)、取得競爭利益(40%)及報復行為(14%)。
5. 新進員工最容易成為社群工程的下手對象-受訪者相信新進員工是成為社交工程受害者的高危險群,其次為約聘人員(44%)、行政助理(38%)、人資專員(33%)、企業領導人(32%)及IT人員(23%)。不論員工在公司內的職掌為何,適當訓練及提升使用者警覺心都是任何資安政策的關鍵要素。
6. 針對社交工程攻擊的主動預防訓練不足-雖然19%的企業已有計畫針對社交工程進行員工訓練或制定資安政策,但有34%的企業尚未採取動作。