遠東新世紀資安處資安長易換棣指出,AI可以協助社交工程演練,不只是生成釣魚郵件內容,還能用於教育訓練、測驗評分等工作,提高演練效率。

遠東新世紀資安處資安長易換棣在臺灣資安大會上分享資安探索經驗,先是從上市上櫃公司資通安全管控指引建議的3大防線中,鎖定人員資安意識面,自建社交工程演練平臺、用生成式AI搭配8種風險指標,來生成釣魚郵件內容。他們還利用AI推薦個人化的資安意識課程、自動評分和建議。目前,遠東新世紀正探索結合AI和數位工具,來自動化執行社交工程演練。

上市公司面臨的資安需求與挑戰

遠東新世紀是一家60幾歲的跨國企業,橫跨跨6個時區、行銷85國,還在7個國家設置生產基地。他們是全球前三大聚酯纖維生產廠之一,擁有從石化、聚酯、化纖、紡紗、織布、染整、成衣到零售的完整上下游生產鏈。

但對遠東新世紀這樣的上市公司來說,還面臨不少資安需求。比如政府法令法規,包括了資安法及其子法、個資法,以及影響臺灣企業深遠的上市上櫃公司資通安全管控指引、公開發行公司建立內部控制制度處理準則,「雖然還沒成為真正的法令,但它就像一把劍指著我們。」易換棣說。

再來是客戶契約,尤其是客戶對遠東新世紀的資安要求,如C-TPAP美國海關商貿反恐聯盟、歐美品牌公司力推的供應鏈安全措施。此外還有治理和ESG課題,如公司治理評鑑將資安認證列為加分指標,這也是一項資安需求。其他還有數位轉型,如近年生成式AI興起,採用AIGC應用可能帶來資安隱憂,而IoT數位足跡、去全球化及戰爭威脅、國際詐騙等也是要考量的資安需求。

面對這些需求,易換棣點出,他們還有4種資安挑戰要解決,包括資安人才、資安資金、專職與專責的資安人力,以及資安人員與主管和跨單位同事的關係和諧問題。

鎖定人員資安意識,制定AI社交工程演練方法

面對這些挑戰,遠東新世紀從上市上櫃公司資通安全管控指引中,找出可加強之處。這份指引提出「3大防線」,來建議企業從政策面、技術面和人員意識面強化資安防護,比如在政策面,要求企業成立資安推動組織與制定資安目標、設立資安專責人員、制定人員裝置使用管理規範等措施,技術面則點出,企業要設置資安威脅偵測管理機制、資安防護與控制等機制。

人員意識面則給出3大建議,包括接受資安教育訓練、資安專業課程訓練,以及每年辦理電子郵件社交工程演練。「因為我們在市場上很難找到成熟的產品或方法論,」於是遠東新世紀選定人員意識面,作為探索領域。

他們自建一套演練平臺,也制定一套AI社交工程演練方法,來提高人員資安意識。這套方法有8個步驟,首先,遠東新世紀建立演練名單,並分析員工特質、建立員工風險履歷。第2步是制定社交工程場景計畫,包括建立計畫草稿和客製化釣魚郵件範本。

接著是釣魚攻擊演練,這步驟包含2件事:自動回覆釣魚郵件事件和釣魚郵件家教,來協助演練和資訊彙整。第4個步驟是分析組織與員工的活動風險,其中,團隊會用AI生成活動日誌,來統計、分析組織和員工活動。根據風險分析,接下來是推動安全意識線上課程,比如透過AI推播個人化的課程。上完課,下一步要做的是線上安全意識測驗,一樣要透過AI輔助自動評分、給予考試內容輔導意見。

完成測驗後,再來是借助AI,匯總公司和職員個人的風險報告。最後一步則是提出改善方案,來提高人員資安意識。

定義8種弱點特質、製作風險履歷

這8步驟看來複雜,遠東新世紀如何跨出第一步?

易換棣指出,他們先透過資安情報、公開資訊,盤點出高風險的郵件用戶,也就是「釣魚郵件演練不能放過的職員。」比如透過職位層級找出高風險職員,如高階主管、IT、財務、高權限用戶,以及過往資安意識表現較低的職員,如新進員工或資安培訓不足的員工。

同時,他們也鎖定聯絡資訊對外暴露的職員,如官網公開的Email清單、暗網洩漏名單、重要供應鏈視窗名單和社交平臺活躍用戶等,或是研發、人資和業務等特定部門員工,納入高風險名單,作為必須演練的對象。

接著,他們制定風險履歷,先定義出8種弱點,也就是演練對象容易上當的釣魚郵件類型,包括恐懼威脅、貪小便宜、粗心大意、宗教政治、情感豐富、新興科技、好奇寶寶、急功近利。

比如,恐懼威脅是以威脅口吻告訴收件者握有機密資訊,要求收件者在特定時間內支付贖金等內容。貪小便宜則指,利用打折、優惠等內容吸引收件者點選郵件連結。粗心大意則透過模仿金融機構、利用帳戶安全等字眼,引起收件者擔心、進而點擊「忘記密碼」連結。宗教政治顧名思義,以宗教或政治活動邀請,如探索宗教與自我的深層連結,來吸引收件者閱讀、點擊連結。

至於情感豐富類型,則是以災區捐款、模仿慈善團體名義等方法,發送內含惡意連結的釣魚郵件給特定對象。新興科技是指以科技媒體名義,發送捏造的新技術新聞內容,如ChatGPT 5Alpha正式登場,並附上體驗連結來吸引收件者點擊。好奇寶寶類型則是以英文和近似大牌廠商名稱,如Coco-Cola,來發送包含連結的中獎消息。最後一種急功近利型,則是以「絕對不能錯過」、「快速致富」、「投資贏家」等字眼來激起收件者好奇心,進而點擊連結。

遠東新世紀用這8個弱點規畫的風險履歷,包含一套雷達圖,以8個弱點作為指標,可根據個人和組織整體的8項分數,畫出風險雷達圖。

訂定5種演練場景,採混合演練模式

接下來,對應到上述步驟2的社交工程場景計畫制定,他們劃分出5種演練場景,包括新員工培訓、定期員工培訓、發生資安事件後、特定部門釣魚郵件演練,以及公司重要活動前,並分別制定不同演練計畫。易換棣補充,第5個場景尤其重要,比如遠東新世紀每年都會舉辦馬拉松,在馬拉松前發送釣魚郵件,職員上鉤機率較高,因此是個加強演練和宣導的好時機。

而他們的演練計畫內容,通常包含演練目標範疇、管理層授權、執行團隊統籌、鎖定釣魚對象並以生成式AI產生內容、開立IT需求單、事前演練、正式演練和出具報告與教育訓練等。

在演練階段,不少企業會分為統一演練和部門演練2種方式,但遠東新世紀採混合式方法,將中央和部門採用同一套框架標準,再由各部門根據需求,來制定所需的演練內容。

如此,就能兼顧統一演練和部門各自演練的好處,像是貼近部門需求、參與程度高等。易換棣補充,他們也正探索,如何利用AI和數位平臺,來高效能、自動化完成演練。

善用AI提高演練和教育效率

演練期間,他們還設計生成式AI驅動的釣魚郵件家教,當員工收到可疑郵件時,可向家教詢問,家教再根據郵件來源、特徵等,來告訴員工是釣魚郵件風險等級和處理建議。這些高風險郵件資訊還會儲存起來,未來出現同樣或類似內容時,就能通知職員。

易換棣解釋,這個家教是他們訓練的幾支AI代理(Agent)之一,透過每一次的對話,即時告知員工判斷要點,也發揮宣導功能。

再來,在演練後的資安意識課程部分,遠東新世紀也運用AI推送合適的影片,並幫忙改測試考卷、給予建議。尤其,他們使用RAG技術,結合公司內部政策,能提供更貼切的資安說明員工。

與之類似的,還有團隊打造的資安問答Chatbot。他們收集公司相關案例,員工透過資安問答Chatbot,可學習到過往社交工程資訊,先行預防。「透過這些方法,我們在教育訓練的即時性、個人化表現是有提升的,」易換棣說。

最後,遠東新世紀自建的AI釣魚郵件演練平臺,會根據部門員工分數,顯示部門和公司整體風險履歷表,包括8大指標雷達分數圖,以及年度評測結果說明。同一頁面還會秀出公司的社交工程實戰看板,包括每次演練重點摘要和關鍵數字,另外也能從邊欄,來查看事件回應分析、社交工程評估報告等更多內容。

至於如何衡量演練成效,易換棣也分享3大檢核要點。第一是效果,比如收益是否高於成本、提升整體防護,再來是效率,如操作簡單流暢、自動化且標準化、營運干擾最小化,以及貼合性,也就是符合實務、模擬真實攻擊手法等。

熱門新聞

Advertisement