CLOUDFLARE 打造的 theNet

提前應對詐騙者:透過智慧網路安全抵禦網路釣魚

交通運輸業資料外洩事件發生最頻繁的前十大產業之一。可以想像,這對 Werner Enterprises(北美最大的運輸和物流公司之一)而言是特別重要且需要重點關注的問題。在我領導的創新部門 Werner EDGE,我們的責任是確保貨物在復雜而安全的網路中順暢運輸,其中包括採取一種能夠全面保護我們龐大員工群體的網路安全策略。

為此,我們必須對網路釣魚方法保持高度警惕——網路釣魚攻擊是大多數安全事件的根本原因。事實上,儘管企業加強了網路安全訓練,但「人為因素」仍然是四分之三安全事件的因素之一。僅需點擊一個惡意鏈接,一名員工就可能危及整個公司。例如,FBI 表示,商業電子郵件入侵迄今已造成超過 500 億美元的損失。惡意執行者使用越來越複雜的方法來滲透企業,而 AI 正在幫助他們加快攻擊的速度和範圍。

換句話說:網路釣魚問題不會消失。無論您的網路架構和安全措施有多強大,總會有一個薄弱環節,而這個環節往往就是某一個人。一個瞬間的失誤就可能為整個組織帶來災難。因此,我們越來越清楚地認識到,需要集體調整我們的安全意識訓練來加強這道(人力)防線。


就訓練而言,激勵勝於懲罰

從個人層面來說,網路安全就是養成一些簡單的習慣。就像過馬路時需要養成左右查看的習慣一樣,在回覆或點擊連結之前仔細閱讀電子郵件並檢查電子郵件地址也需要變成一種下意識的行為。Werner 通常每年舉辦七到八次安全訓練課程,包括時長 45–60 分鐘的強制性年度訓練課程。這些課程內容相對簡單明了,涵蓋了基本的安全知識。此外,我們每季也會舉辦一次複習和 5-7 分鐘的臨時訓練,讓每個人都瞭解最新情況,尤其是在出現新威脅時。這些即時訓練同樣是強制參加的。

全年持續的安全訓練是最佳做法,原因如下:

  • 從合規性的角度來看,保險公司需要持續訓練。

  • 威脅情勢在不斷變化。惡意執行者不斷尋找新的方法來躲過最警惕的使用者,因此員工需要瞭解最新的防禦策略和需要注意的攻擊手段。

  • 隨著時間的推移,人們會慢慢放鬆警惕,這是人類的天性。訓練的作用是提醒人們認真對待網路釣魚攻擊和其他威脅。

雖然我們在訓練實務中納入了許多最佳做法,但我們也發現了一些效果不佳的地方。

效果最差的策略是補救性訓練。當員工點擊了已知的網路釣魚連結時,我們可以封鎖傳出通訊並識別誰回應了惡意內容。然後,我們會給受騙的員工進行一次快速復習,提醒他們不應該做哪些事情。

但我們注意到,有些人會在短短幾週內再次落入網路釣魚攻擊的陷阱。我估計,在接受補救訓練的人中,有近 70% 仍然無法通過後續的網路釣魚模擬測試。

與那些屢教不改的員工交談讓我有了新的看法:一些人覺得額外的訓練是對他們的一種懲罰;而對另一些員工來說,這些訓練讓他們在完成工作所需的基本任務時變得更加緊張,例如閱讀電子郵件,甚至是開啟 Word 文檔。

雖然持續的安全意識訓練是領先於詐騙者的關鍵方法,但我也得出結論,懲罰性措施的效果並不理想。負責網路安全的任何人都需要找到有吸引力的方式來激勵員工注意自己的行為——同時尊重他們的時間。

要獲得最佳回應,您需要鼓勵,而不是懲罰。

將安全訓練遊戲化是一種建立正向強化機制並獎勵良好行為(例如報告可疑通訊)的方式。例如,透過排行榜、現金獎勵、禮品卡或公司周邊商品等激勵措施,可以為忙碌的同事提供切實的理由,讓他們更願意在訓練中努力表現,並深入瞭解不斷演變的網路釣魚威脅。


透過多層面的安全措施保持持續警惕

加強訓練只是解決問題的一個方面。最終總會有人放鬆警惕,組織必須做好準備,不斷加強其網路安全狀態。

人為錯誤和疏忽是公司安全面臨的兩個最大威脅。雖然無法完全消除這些威脅,但可以利用技術作為安全網,盡可能減少威脅的影響範圍。

從 Zero Trust 方法開始,公司還可以利用多重要素驗證 (MFA)和先發製人的電子郵件安全性(可能包括光學字元識別來掃描影像)等預防工具,來減輕 IT 和安全部門的負擔。

擁有端點安全工具來自動隔離並移除網路中的受感染裝置也很重要。正如詐騙者利用 AI 進行攻擊一樣,企業界也必須透過套用 AI 來更快地識別和應對安全漏洞。任何能夠利用這些技術的企業都可以提高防止洩露的機率。

網路安全的核心在於全面防護,不留死角。Werner 會定期進行滲透測試,其中包括紅隊測試。在紅隊測試中,我們聘請道德駭客嘗試從外部對網路發起攻擊。這種做法有助於發現系統中的漏洞。

我們的紅隊也會測試實體安全性。他們會在停車場巡視,檢查是否有後座上放了筆記型電腦、雙肩包或文件的未上鎖汽車。他們還會跟隨刷門禁卡或掃描工牌進入建築物的人,趁機混入其中。他們會檢查是否有未鎖定且無人看管的筆記型電腦和智慧型手機,並測試是否能從這些裝置中竊取檔案。分享這些測試結果對於那些可能認為自己與網路安全問題無關的員工來說,往往能起到很大的警示作用。

每個 IT 領導者都清楚資料外洩會帶來財務、營運和聲譽成本,並深知不能在安全技術上節省開支。真正的挑戰在於確保組織內的其他所有人也能同樣對威脅保持高度警惕。


使用所有可用的解決方案抵禦網路釣魚

我崇尚行動力、緊迫感,並堅持將事情簡化。企業必須跟上 IT 創新的步伐才能保持競爭力,但我們不能因為速度太快而忽略了安全的基本要求。最佳化營運、系統和基礎架構的各個方面不僅會減少人為錯誤,還會減少資本和營運支出,從而騰出更多資金和資源用於網路安全——其強度應該以您的預算允許為限。

網路釣魚會給企業造成數百萬美元的損失,可能會導致生產中斷、服務中止、客戶流失,甚至導致公司倒閉。如果一個組織試圖在網路安全上「節省成本」,或減少員工訓練,就等於將一切置於風險之中。相反,應該將安全性融入營運和文化中,為您的員工和企業在面對惡意執行者攻擊時提供一線生機。這是公司健康與安全的必然要求。

Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。


深入探討這個主題。

閱讀《實施 Zero Trust 架構的逐步藍圖》,深入瞭解採用 Zero Trust 方法如何幫助您的組織在遭受惡意執行者攻擊時獲得優勢。

作者

Daragh Mahon — @daraghmahon
Werner Enterprises EVP 兼 CIO



重點

閱讀本文後,您將能夠瞭解:

  • 營運文化網路安全不可或缺的一部分

  • 如何平衡訓練、滲透測試和解決方案以領先於攻擊


相關資源


收到最熱門網際網路深入解析的每月回顧!