許多企業常在發送釣魚信件以測試員工對此類威脅的警戒,但Google專家卻警告,這作法害處多過好處,包括勞民傷財及效果不彰。
一些企業IT或資安部門會對員工發送釣魚信件,目的在提高員工資安防護意識。Google則是根據美國聯邦風險與授權管理計劃(FedRAMP)規定,由資安部門實施釣魚信件測試。在這類測試中,公司製作並對員工發送釣魚信件,再監測有誰對此類信件有回應,例如點擊信件中的連結或下載附件,這些員工就會被要求「加強教育」。但Google安全事件經理Matt Linton指出,這種類似火災演練的測試,實則有很多負面影響,包括沒有實質效果、繞過正常防護機制,而且增加員工困擾及資安部門工作負擔。
其一是沒有證據顯示這類測試有助於減少釣魚信件攻擊成功率。從結果來看,釣魚郵件測試實施這幾年來,釣魚信依舊是駭客駭入內部網路的首要方法,而且研究顯示,會中計的人仍然持續中計。其二是一些釣魚測試會繞過或降低系統控制,甚至美國FedRAMP指引要求企業IT部門這麼做。後果是讓測試人員刻意不模仿真正的駭客攻擊手法,或建立放水的白名單,後者若不小心落在真正駭客手裏反而造成風險。
研究人員還說,這類測試大幅增加資安部門的工作負擔,因為用戶誤點信件的警報並沒有用處,反倒占住他們寶貴的時間及作業頻寬。此外,員工可能因為公司資安部門「玩弄」他們而降低信任,長期而言不利公司安全防護。最後,一些具有多個產品線的大型企業員工,這些測試可能相互重疊,導致重覆作業,影響生產力。
Linton建議,教育員工辨識釣魚信件及社交工程、並主動回報,可讓資安團隊早一步採取回應措施。但和防火安全訓練一樣,測試前應預先公告而非突擊測試,因為訓練才是重點,而不是驚嚇與欺騙。
他並提醒演練中應讓員工練習通報,並且蒐集有用資料,像是完成測試的用戶數、開啟郵件和通報時間間隔、通報提升到資安小組的時間點,以及信件發出後1、4及24小時通報的案件數。
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19