雖然資料外洩通常是想入侵系統的惡意分子利用惡意軟體或駭客攻擊造成,但要說資料外洩事件都是由外來者造成並不完全正確。事實上,趨勢科技在2014年3月所進行的一項調查結果顯示,19.8%的受訪者經歷過來自內部的資料外洩。註1
註1:這項調查涵蓋1,175位日本IT資安專家和決策者,同時也顯示有幾乎三分之二的受訪者曾遭遇過某種類型的資安外洩事件。
並不是說內部產生的資料外洩事件是蓄意而為,有些時候,資料外洩可能來自員工疏忽和常見的人為錯誤。最近的一起例子發生在2015年6月,一家澳洲雜貨連鎖店意外地將包含客戶資料及約八千筆禮品卡的Excel表格寄送給超過1,000名的客戶。因此讓電子郵件地址等客戶資料外流,由於郵件內還有可以下載7,941張購物券的鏈接,內含可於商店內購物的密碼,一些客戶登錄後才發現他們的購物券已被使用,零售商也被迫取消超過100萬美元的禮品卡。註2 這起事件是人為疏忽或錯誤會帶來經濟及名譽損失的最佳例子。
註2:客戶應該要收到的是帶有PDF格式禮卷的電子郵件,結果卻收到帶有客戶資料和兌換碼的 Excel表格。
人為疏忽(無論是因為不小心或缺乏知識)是網路犯罪分子會選擇(甚至是偏好)使用誘騙伎倆的原因。這讓他們可以更加輕易滲透系統而不必使用複雜的方法。
有鑑於此一資訊,必須要問:員工是組織中最脆弱的環節嗎?從許多因為員工疏忽或內賊所造成的資料外洩事件來看,這答案似乎是肯定的。註3 對於網路犯罪分子來說,透過網路釣魚(Phishing)從不知情員工手中取得所需資料會比突破網路防禦來駭入要來得容易。此外,隨著鑑識技術的增加,如入侵偵測和網路監控,網路犯罪分子要突破系統變得越來越困難,讓他們朝向最基礎但仍然有效的策略:社交工程(social engineering )。
註3:2014年出現許多因為內賊所引起的知名資料外洩事件,打擊了像巴克萊銀行、AT&T、美國國鐵和韓國信用局等組織。
這是新的戰線,企業必須在投資安全技術和根據公司最佳實作來給予員工教育訓練間取得平衡。
是人都會犯錯,能加以防範才是了不起
有人說公司最大的資產是員工。雖然這是真的,但說到安全性時,也可以肯定員工是最脆弱的環節。雖然安全性主要是IT部門的責任,員工仍然是防禦的第一道防線。因此,員工需要進行教育訓練,讓他們可以保持警覺來防禦可能的安全攻擊。
一些員工會錯誤的認為自己已經安裝安全軟體就高枕無憂不受威脅了。但許多人不知道的是,儘管有了安全系統,散漫的上網行為仍可能將網路暴露在威脅中。正如上面所提到,許多網路犯罪分子會瞄準這類思維,使用各種社交工程(social engineering )策略來取得所需要滲透系統的資訊。即便是最基本的騙局都可以用來誘騙使用者打開惡意附加檔案或點入不好的連結。
下面是一些員工常犯的六個錯誤:
- 散漫的郵件習慣 – 不小心打開包含惡意軟體的可疑電子郵件經常會導致下載惡意檔案或登入網路犯罪分子用來騙取所需資料的網站。
- 弱密碼 – 弱、短和不時會外流的密碼常常會被駭客所利用,這可能是闖入系統最簡單的方法之一。此外,也有些員工喜歡跟其他人分享密碼。
- 落入社交工程陷阱 – 沒有先期的知識或訓練,可能會難以避免地落入社交工程陷阱,如利用熱門新聞、事件或其他頭條來帶入社群媒體詐騙,垃圾郵件和惡意軟體。
- 備份措施不完善 – 沒有正確的備份資料,當組織受到攻擊時會增加停機時間和造成的損失。
- 工作環境外的不良的安全習慣 – 跟公司所擁有的設備不同,員工設備本質上並不安全。它們可能具有可被攻擊的未修補漏洞,在設備或作業系統上。
- 連到不安全的無線網絡 – 連到開放或公共的無線網路可以讓攻擊者從開放的無線基地台擷取網路流量並進行像中間人攻擊(MITM)等攻擊
「我們決不能忘記安全的另一組成部分:最終使用者。困難的是,最終使用者應該要被教育不輕易被騙局所騙。」
– Raimund Genes,趨勢科技技術長
五點員工都該要知道的安全戒律
雖然這句話可能是真的,但並非就得如此。企業可以透過提供員工專門適當的訓練來解決此問題。趨勢科技技術長 – Raimund Gnenes強調說,「我們決不能忘記安全的另一組成部分:最終使用者。困難的是,最終使用者應該要被教育不輕易被騙局所騙。」企業可以幫助員工不要陷入詐騙騙局。重要的是要記住,堅持公司政策是一回事,但養成良好的安全習慣是另一回事。後者可以經由不斷的提醒和教育來輕易地隨著時間發展。底下有五點員工都該要知道的安全戒律:
- 小心電子郵件附加檔案 – 最快獲得使用者關注的方法之一是使用電子郵件。主旨包含計劃書、通知、確認信或新聞的郵件在開啟前都必須先加以驗證。
- 使用獨特而強大的密碼 – 一次又一次地,安全專家都在說要使用獨特而強大的密碼。使用弱密碼像是「password」或「1234」就像是將帳號鑰匙交給駭客一樣。如果可以,使用密碼管理程式和啟用雙因子身份認證。
- 不要將帳號都串在一起 – 避免連結網路帳號。一旦攻擊者能夠存取一個帳號,會讓他們很容易取得其他帳號。
- 定期備份 – 數位資料在面對威脅和系統故障時很脆弱。備份可以減輕損害以防不測。
- 防護所有設備 – 無論是使用防盜應用程式和螢幕鎖定,設定內建安全功能或安裝安全軟體,可以適當的應用這些方法,因為設備遺失或被竊可能會危及儲存在設備內的公司資料。
@原文出處:Data Breaches and the Human Factor: Are Employees the Best Defense or the Weakest Links?
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載