送給員工一份小禮物:讓員工受到網絡攻擊提高其網絡安全意識
談到流動設備安全,使用者本身就是最大的敵人。研究人員表示,儘管很多人已經機不離手,但大多數人似乎並沒有在安全上變得更聰明些。Symantec 一份安全威脅報告指出,2012 年有 44% 的使用者沒有意識到流動設備上有安全解決方案,到 2013 年這個數字上升到 57%。研究人員說部分原因在於缺乏這方面的教育和培訓。例如多年來使用智能手機的用戶由於沒有什麼安全需求,因此也根本意識不到要安裝安全軟件。
就長期來看,安全專家認為隨著使用者在他們的手機上保存著愈來愈多的敏感資訊,針對流動設備的惡意軟件亦愈來愈多。而這些流動設備經常會接入公司的網路,這亦令企業處於威脅之中;企業面臨的另一個威脅是遺失手機。Consumer Reports 的一個調查便曾經指出,全球在 2013 年便有 140 萬智慧手機遺失,較 2012 年的 120 萬有上升趨勢。
至今並沒有一個真正完美的解決方案能保證員工手中的流動設備安全性,因為員工可能犯下各式各樣的錯誤,沒有哪一種工具能為流動設備加上一把絕對安全的鎖。幸好還是有些方法可以讓員工對流動安全多一份了解,同時也對設備多一份安全保護。以下提供了 5 個方法,當中分別針對 5 類容易置企業資料於危險之中的員工行為。
對無戒心的人 讓他們體驗釣魚誘騙
有些人很容易被社會工程學或者釣魚行為所騙,因為他們根本就沒有意識到其中可能存在的陷阱。對於這些人如何讓他們認識到風險,從而避免成為受害者?答案很簡單,那就是讓他們被攻擊,悄悄的在內部製造攻擊,並令中招的員工陷入前所未有的麻煩,這樣對提升其網絡安全意識有絕對的幫助!
黑客們一直在不斷尋找電腦之外的下一個目標,流動設備就是其中之一。他們正在把在 PC 上已獲得空前成功的欺騙手段複製到手機上,看是否會取得同樣的功效,而大多數手機用戶還沒有意識到存在風險。黑客們一直在尋找最弱的一環,然後把他們昔日成功的手段應用到這一環節。
假如希望讓員工們意識到釣魚攻擊的存在,舉辦培訓課程會是一個不錯的選擇。例如利用電子郵件和社會工程學來引誘員工以便於進行實際教學。在一開始有高達 70% 的員工會被一些最常用的釣魚騙局所欺騙,會點擊釣魚連結,並輸入帳戶和密碼等資訊,其中甚至包括一些高級的 IT 人員。
當然,惡意攻擊不只是通過電腦來進行社會學工程引誘,同樣還會利用流動設備來進行,以誘騙使用者點擊某個連結從而植入惡意程式碼,然後借助惡意程式碼入侵企業網路,竊取企業資料。
Karl Storz 公司所進行的釣魚測試讓公司的員工認識到其中的陷阱,也讓他們知道如何避免中招。此類攻擊可能針對所有類型流動設備,無論是 iOS 還是 Android 或者 Windows。中招的用戶中近20% 的使用者使用 iOS 設備,我敢肯定如果繼續測試未來還會有更多流動用戶中招。
請各位管理員記著一點 : 「只有曾中招,引起很大的麻煩,才可令一般的員工提高網絡安全意識」。所以如得到公司批準,悄悄的自製一些攻擊讓員工「試試」,這將會是一個不錯的活學教育。
解決辦法:耐心,不能歧視他們
我們總不能因為一些員工的大意而歧視他們。外國公司 WellPoint 便會為旗下的 500 多名醫生配備 iPad,這些醫生負責為居家的老人、傷殘人士和盲人提供醫療服務,其中大部分使用者對技術並不了解,甚至對使用 iPad 有一點抵觸。部分醫生不好意思或者害怕告訴技術部門他們遺失了 iPad。有人會過一天甚至三天后才來告訴技術部門他們遺失了 iPad;或者他們是在幾天後才想起來找 iPad,但找不到,這樣才知道自己的 iPad 不見了。針對此情況我們可以通過定位服務來找到設備。
首先,該公司需要降低醫生們因疏忽而把 iPad 遺留在某處的可能性,IT 部門為醫生們配備了一個手提袋,可以裝下 iPad 和他們常用的一些工作資料。同時,對醫生們進行培訓並告訴他們一旦找不到自己的 iPad 就一定要及時告訴 IT 部門。其次,對 IT 部門進行培訓,要求 IT 部門不要嘲笑他們,並要安慰醫生們不要因遺失設備而不好意思。一旦發現設備真的遺失,IT 部們需啟動安全步驟,利用不同方案對設備上的敏感內容進行 Wipe Out。
為了降低設備遺失以後存在的安全風險,IT 部門會對初次使用 iPad 的醫生進行培訓,告訴他們密碼的重要性,並指導他們設置比較複雜的密碼。又會列出一些具體的例子來說明某些不安全的行為可能帶來的麻煩。例如一封帶有釣魚連結的郵件可以把使用者在 Facebook 上的行為攝錄下來,或者一個假的銀行郵件讓使用者提交個人資訊。通過這些培訓讓醫生們意識到,如果自己的 iPad 開機密碼和設備上安裝的應用軟件登錄密碼同樣或相似,就會讓病人的資訊處於高度危險之中,公司也處於高度危險之中。
相關文章:
1 Response
[…] 上文提到面對不同同事,該採取甚麼方法讓他們提高對網絡釣魚的警覺性,接下來再看看不同例子: […]