04Feb 2018

【社交工程演練與教育訓練解決方案總覽】善用廠商服務,資安意識成效提升看得到

惡意郵件與釣魚郵件威脅日益嚴峻,輕則洩露個人帳號密碼、電腦中毒,重則導致公司蒙受BEC詐騙損失大量金錢,或是APT攻擊機密資料外洩,企業除了借助郵件安全防護產品過濾與偵測,提升使用者資安意識強化最後一道防線,也是近年持續強調的作法。

發動網路攻擊利用電子郵件管道入侵的駭客,會以各式社交工程手法與情境,誘騙使用者點擊郵件中的連結或下載附件,而企業為了提升員工資安意識,運用寄送測試信進行模擬演練就是一種方式,促使企業員工對釣魚信可以有更高的警覺性,也不至於在突然收到時而慌了手腳,同時企業也能掌握容易上當的使用者,容易上鉤的題材,以便針對性的做出重點加強與教育。

如果企業想要自行演練,一般可能要考慮撰寫測試系統,及規畫所有相關測試工作,其實沒想像那麼容易。

不過,現在市面上,已有一些資安業者提供相關服務,可協助處理許多相關事情,像是省去測試信發送系統的準備與操作,社交工程測試信的內容設計,建立演練時的資訊反饋與蒐集,以及報表製作,甚至是提供講師授課或教材,協助演練前宣導或是教育訓練等,並獲得其他產業及企業的經驗與心得。

例如現在一些企業政府機關單位,就是以委外方式進行,這類服務一般稱為社交工程演練,也有廠商稱作電子郵件警覺性測試服務。

目前市場上提供這方面服務的業者很多,像是中華資安國際、漢昕科技、安碁資訊、安資捷、定威科技等廠商,都是投入資安健檢服務多年的業者,也有新創公司加入這塊領域,例如三甲科技,另外,還有像是郵件安全廠商Cellopoint也提供這樣的服務,企業擁有的選擇並不少。

而且,若是企業基於更高的資安考量,像是不希望企業郵件名單暴露於外,也可要求將系統自建在企業內部來進行,詢問服務廠商是否能夠配合,甚至可以買斷系統,採自建方式,由企業內部自行操作演練的執行。另外,若是企業要求的發送測試信封數龐大,如考量到費用支出,也是可以選擇買斷自建方式。

 

資料來源 : ithome

https://www.ithome.com.tw/tech/120939