應對電子郵件安全威脅的4種方法
是時候以更積極的態度重新構想員工培訓了,畢竟電子郵件安全問題基本就是人的問題。
SANS研究所的調查顯示,近3/4的網路釣魚、惡意軟體和勒索軟體攻擊都是通過電子郵件登堂入室的。很多網路釣魚都是利用看起來合法的郵件誘騙受害者點選惡意連結或開啟附附件,從而往受害者系統中植入惡意軟體,為攻擊者盜取機密資訊或徹底搞癱受害者的網路。另外還有攻擊者會黑掉電子郵件賬戶並冒充該賬戶擁有者向處在關鍵位置的員工發出指令,指示其共享敏感資料或往指定銀行賬戶轉賬匯款。
威瑞森《2018資料洩露調查報告》揭示,公司企業因社會工程攻擊而發生資料洩露的可能性是因存在網路漏洞的3倍。
美國中期選舉日漸臨近,整個美國的競選工作人員及選舉官員都得警惕防範此類攻擊。但電子郵件黑客攻擊威脅不是一過性的東西,每個政府機構每天都要面對這一威脅。
在一月份的武裝部隊通訊和電子協會會議上,美國國防資訊系統局執行主任 David Bennett 稱,國防部電子郵件收件箱中每年都會湧入130億封有問題的郵件,而且是未經任何自動化掃描和檢測就躺到了郵箱裡。
其他政府機構也大多注意到了電子郵件威脅,部署了電子郵件安全產品以保護自身。但即便技術防護有所增強,一個巨大的弱點依然存在:人類本身。
威瑞森的調查顯示,在網路安全意識逐年上升的幫助下,如今78%的人不會去點選網路釣魚連結了。不過,還有4%可能毫無戒心地點選網路釣魚連結或開啟惡意附件。由於罪犯僅需騙到一個受害者就能滲透整個網路,4%這個數字還是太高了,令員工行為成為了電子郵件安全的首要風險。
Barracuda 與 Dimensional Research 對全球630位電子郵件安全專業人員做了調查,結果顯示不良員工行為比企業是否設定了正確的防禦工具更令人擔憂。在調查中,84%的受訪者將不良員工行為列為首要問題,工具不足僅佔16%。
雖然電子郵件依然是惡意軟體被投送到公司企業內部的主要途徑,但Slack這樣的協作平臺或 Google+Drive/">Google Drive 這種檔案共享服務似乎正逐漸成為攻擊者利用的物件,引起越來越多的關注。
而且,儘管大家都認為員工安全意識培訓很重要,卻只有77%的受訪者稱自家公司設定有培訓專案。
這種現象很不正常,是時候以更積極的方法重新構想員工培訓了,必須將電子郵件安全主要作為人的問題而不是技術問題來對待。以下4種方法可供參考。
1. 高度個性化
當前很多公司企業裡的電子郵件安全培訓專案往往內容寬泛且流於形式,通常都是由人力資源部門安排的非常教條的通用線上課程。但實際上,安全培訓專案應該是根據每個員工的角色來定製的,其內容必須符合該員工負責的業務領域。舉個例子,負責財務的人員往往就是網路釣魚詐騙的目標物件,黑客可能會偽裝成合法人員要求他們進行轉賬匯款。對這種位置上的員工進行培訓,就應該特別注重解決此類威脅。
安全培訓專案中多一點個性化,對教育每一位員工都有很大好處。
2. 有大棒,也要有胡蘿蔔
電子郵件安全專案太容易搞成對淪為電子郵件欺詐受害者的的懲罰或羞辱,對良好行為表現卻沒有任何獎勵。但實際上,主動向IT部門報告了可疑郵件的員工,是應該受到某種形式的承認的,比如說,向全體員工推送表揚備忘,或者直接給予禮品卡之類的物質獎勵。
電子郵件安全專案應設法承認這些沒有點選惡意連結的人。正向反饋是非常有效的。
3. 超越課堂式培訓
更好的戰術應超越常規的課堂式教學(無論是教室上課還是網路上課)。利用現實世界場景的實質性培訓才是更有力的工具。
紅隊測試就是個好方法,公司企業可以安排白帽子專家黑進網路,模擬一場攻擊,來個攻防演習。還可以利用大家都熟悉的高管賬號模擬賬號被黑攻擊,評估員工會如何響應被黑賬號發來的請求。
這種切身體驗式的方法可幫助公司企業及其員工更加了解自身抵禦電子郵件攻擊的能力,效果比坐在教室裡聽老師講課要好得多。
4. 更多責任
電子郵件安全培訓專案的結果不應該只是人力資源和安全團隊的職責範圍,部門領導或辦公室主管都應負有責任。這麼做可以在公司範圍內慢慢澆鑄一種“電子郵件安全人人有責”的氛圍,也可有力支撐安全培訓專案應針對各個業務領域個性化定製的概念。
遵循了以上4步,政府機構和公司企業便能更好地迎戰電子郵件安全威脅。
- SANS白皮書:https://www.sans.org/reading-room/whitepapers/threats/2017-threat-landscape-survey-users-front-line-37910
- 威瑞森《2018資料洩露調查報告》:https://www.verizonenterprise.com/verizon-insights-lab/dbir/
- Barracuda 2018調查:https://www.barracuda.com/campaign/emailsecurityreport
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
ofollow,noindex" target="_blank">戳這裡,看該作者更多好文