【企業網路安全】社交工程演練的重要性

文:蔡宜蓁 2021-03-02

網路安全 資訊安全 社交工程演練



企業需要社交工程演練的原因


請問大家有針對企業員工做過資安提升的教育訓練嗎? 我們會幫企業做社交攻擊演練,在做調研的時候,第一次先寄釣魚信件過去,然後會陸續回收很多回應,哪些人在什麼時間點了釣魚信件,之後做成報告向企業經營者提報。


隨後開始進行企業的教育訓練,講完以後沒多久,一、兩個禮拜再寄一次,一定還是會有員工點擊攻擊信件。雖然教育訓練講得很清楚,而且攻擊信件的破綻都已經放得這麼明顯,但還是有些員工會中招,所以,公司真的不能不預防這樣的神助攻。


企業為什麼需要社交攻擊演練,因為這樣的員工真的存在,所以,社交工程演練就是為了測試員工,面對社交工程攻擊的時候有沒有警覺性,有沒有能力去判斷哪些是釣魚信件、攻擊信件。資訊安全教育訓練不一定每天都要做,但是社交工程演練的頻率要高一點,提升員工的資安意識,使其有足夠的警覺性,培養出更多思考與檢查的習慣。


如何取得較佳的社交工程演練效果


企業的社交工程演練如何取得最好的成果?

一、無預警實施演練,不要跟員工講說要演練,偷偷寄送攻擊信件;


二、進行社交演練時,可以結合時事議題或是公司活動議題。比如說:萊豬又爆驚天大案,然後再發新聞稿裡面夾帶連結,測試員工是否可以判斷。


我們公司內部也演練過,但是結果很不理想,因為我們用了第三季績效獎金的議題,所有員工無招架之力,檔案寄出後,大概有七成的人去點了連結,還有人會很熱心的報告總經理說連結失效了。大家可以發現平常都在接觸資安的人,遇到他真正關心的議題時,他會瞬間腦袋空白,失去任何抵抗能力。


搭配公司定期的資安認知提升訓練,要定期跟員工做資安宣導,教他們認識及判斷釣魚信件。


演練結果可以結合不同的評核方式,例如:演練失敗的員工,可以再做一次教育訓練,或是結合績效考核辦法,公司可以靈活運用不同的評核方式,以利有效提升員工的資安認知。


更多精彩課程請上知識學院網校觀看:https://pse.is/3ba3jh




43-13.jpg林崇裕

經歷:

現任鼎新電腦科技系統維護事業部資深系統工程師。鼎新近20年服務經歷,10年企業客戶服務經歷,10年資安規劃及資安顧問經歷。經歷工程服務部主任、工程服務部副理、工程部服務經理、服務加值部經理、資深系統工程師、企業資安顧問及資安專任講師,深知企業目前面對的資訊安全挑戰及存在企業內部的漏洞。

專長:取得ITIL V3 Foundation、ISO 27001 LA專業證照。



6.jpg



相關資訊

  • 網路安全 資訊安全 資安零信任

    【企業網路安全】資安『零信任』概念

    資安『零信任』是一個面對資訊安全的謹慎態度,所具備的精神就是什麼都不能被相信、一切都需要驗證。基於資安會有缺口、會被侵入的理念下去規劃資訊安全架構,並且要遵循五大原則來做規劃跟設計,以利提升企業資安防護力。

  • 機聯網 數據智慧化 智慧機台

    【機聯網數據智慧化的應用手法】大環境長期趨勢的大轉變

    機聯網是最近最夯的一個議題,大家都想做,可是大家都不知道該怎麼做,不是機聯網能不能連,而是機聯網如何智慧化,才能夠有效得被應用來提升工廠的競爭力? 整個製造業工廠面臨了很大的困境,也就是大環境長期趨勢的轉變,因為消費者模式的改變、加上企業二代接班面臨的問題,因此,工廠必須透過數位化尋求改變。

  • 策略佈局

    【數位經濟時代策略趨勢與佈局】疫情後的四大變革

    疫情過後,企業迎接變革是無法避免的,例如:工業4.0、5G、物聯網、雲端平台、AI機器人等。了解這個情勢後,可以歸納為四大變革,分別為:組織形式、管理方式、溝通方式、及生意模式的改變。另外,如果企業是單一事業,需求遞延甚至需求消失,可能導致無法繼續營運,建議企業應該思考發展兩個生意模式的可行性,也就是企業的第二條曲線。

x