本文出自

2020台灣CEO100強

2020台灣CEO100強

2020年10月號

增強抵抗力,擊退網路釣魚

Boost Your Resistance to Phishing Attacks
瀏覽人數:1145
  • "增強抵抗力,擊退網路釣魚"

  • 字放大
  • 授課文章購買
    購買〈增強抵抗力,擊退網路釣魚〉文章
  • 個人收藏購買
    購買〈增強抵抗力,擊退網路釣魚〉PDF檔
    下載點數 10
插畫:提姆.包爾(TIM BOWER)
在所有資料外洩事件當中,網路釣魚就占了近九成,其實,只要在員工訓練中加入三點改變,就有可能提升員工的警覺意識,防堵詐騙於未然。

過去十年間,萊恩.萊特(Ryan Wright)和馬修.詹森(Matthew Jensen)從事「網路釣魚」,騙到了數千人,而且他們短期內並沒有收手的打算。

他們並不是想竊取高價資料或金錢的駭客,而是與全球產官學界合作的研究人員,希望了解人們為什麼這麼容易落進網路釣魚的圈套,以及組織可以做些什麼來減輕這種威脅。雖然企業安全部門非常努力教導員工了解網路釣魚詐騙(這占所有資料外洩事件的90%),但預估大約還是有三成的釣魚郵件會被開啟。這個數字高得令人不安,因為每次駭客成功入侵,平均造成的損失達380萬美元。這方面的損失可能還會升高,因為網路罪犯會利用疫情造成的營運中斷,以及在家工作的員工人數大增的情況,因為在家工作可能會有更多令人分心的事物,因而造成防衛心下降。

美國維吉尼亞大學(University of Virginia)商務講座教授萊特(Wright)與奧克拉荷馬大學(University of Oklahoma)管理資訊系統傑出副教授詹森(Jensen),根據研究找出幾種方法,能提高安全訓練的成效。

避免落入規則的圈套

加入靜觀訓練。許多組織要求員工定期接受制式訓練,通常是每年一次或半年一次。研究指出,這樣確實有助於員工面對常見的威脅,也能提供一些基本準則,以評估收到的郵件。但學者也警告,光是不斷重複各種以規則為基礎的訓練,不見得能讓員工更能夠抵禦網路攻擊。其實,到某個程度之後,這樣的訓練就會開始出現反效果,讓員工開始對訓練內容無感,誤以為自己已精通那些課程,於是忽略課程內容。

問題有一部分在於,這種以規則為基礎的訓練,強化的是諾貝爾獎得主、心理學家丹尼爾.康納曼(Daniel Kahneman)所謂的「系統一」思維方式。這種快速、自動的資訊處理方式很有效率,但可能會讓人在做決策時太過粗心,導致員工容易遭到與那些規則不符的攻擊所影響。萊特表示:「各種網路攻擊的跡象會不斷改變,組織不應讓員工背誦冗長的攻擊跡象清單,而應採用更全面的方法」,也就是加入關於靜觀(mindfulness,意即「專注當下」)訓練。這麼做的目標,是激發系統二的思維方式,也就是更為自省、分析式的思考。

一項有355名大學生與大學教職員參與的實地研究,分為三組,他們之前都先接受過基本的網路安全訓練。研究人員與同事比較了這三組參與者。第一組額外接受以規則為基礎的課程。第二組是再接受簡單的靜觀技巧指導:如果某封電子郵件要求你採取行動,你應先暫停一下;思考這項要求的性質、時機、目的、恰當程度;如果感到懷疑,就徵詢第三方意見。第三組沒有接受額外的訓練。十天後,研究人員發動一場模擬的網路釣魚攻擊。他們發現,接受以規則為基礎的訓練的員工,上當的人有13%;沒有接受額外訓練的員工有23%;至於接受靜觀技巧訓練的參與者,上當比率只有7%。學者克里斯多福.阮(Christopher Nguyen,音譯)進行的後續研究,也得到類似的結果,並顯示這種提高抵抗力的效果,可以維持數個月。

用團隊力量抵禦詐騙

採取團隊式的做法。安全措施常遇到「最弱環節」的問題:只要有一個員工回應那項攻擊行動,攻擊就可能成功。萊特與同事為了解團隊互動情況是否能降低這種弱點,於是選在一所大型大學裡的財務部門進行兩年的實地實驗,該部門有180人。他們描繪出每個員工在工作群體及社群網絡中的位置,並對那些員工發動幾次網路釣魚攻擊。結果他們發現,不論是在工作群體或社交網絡中,位置愈中心(也就是連結愈多)的員工,愈不可能上釣魚攻擊的當。舉例來說,在工作群體裡中心程度位於前25%的員工,只有14%的機率會點擊釣魚郵件中的連結;而在最後25%的員工當中,機率高達35%。研究人員也發現,團隊整體的電腦能力愈高,每個成員抵抗釣魚攻擊的能力也愈強。

這些結果顯示,員工可透過正式或非正式的方式,從團隊裡的同事那裡學到有關電腦安全的珍貴心得,而主管可以善用這種互動情況。萊特表示:「主管不應說『今年的受訓時間到了,找時間去完成那些資訊科技訓練吧』,然後就再也不提這件事。主管該做的,是舉辦一些團隊訓練,並且讓各個團隊對結果負責。」組織也可以運用網路分析,找出特別容易上當的員工,並且提供額外訓練給處於團隊邊緣的成員,或者新進員工。

這項研究有一個結果,是研究人員始料未及的:員工愈常找資訊科技部門幫忙,或甚至只是愈信任資訊科技部門的協助,就愈可能落入網路釣魚的圈套。研究人員猜想,這些人可能覺得自己對這些威脅「刀槍不入」。萊特解釋:「如果信用卡被盜,信用卡公司會承擔損失,因此人們不會那麼重視保護自己的信用卡;我們推測,這方面的情況也類似。如果員工覺得『就算我點到不該點的連結,資訊科技部門也能保護我的安全』,他們就不會負起責任保護自己的資料、從互動中學習。」萊特表示,主管若要激勵員工注意網路安全,可以把安全法規遵循列入年度考核項目;資訊科技部門也不能像一般常見的做法那樣,只是修正問題而已,還要讓員工了解自己當初沒有注意到哪些警訊。

排行榜能鼓舞員工更警覺

將訓練遊戲化。另一種運用團隊互動情況的方式,是為網路安全演練加入競爭元素。研究人員與同事進行三項實驗,共有568名參與者,他們扮演實習生的角色,要學習如何辨識並提報可疑郵件;實習生會接到多種不同的任務,包括管理上司的收件匣。參與者開始工作之後,會收到五封釣魚郵件。在前兩項實驗中,他們提出的報告會發布在排行榜上,而各個排行榜的設計不同。至於第三項實驗,研究人員會比較排行榜與其他幾項防釣魚措施的效果,包括實施單獨一項措施與結合多項措施的效果,這些措施包括:訓練影片;對來自公司外部的郵件,自動加上「外部郵件」標籤;以及在郵件特別可疑時,自動加上可能是釣魚郵件的警示。

排行榜能非常有效地鼓勵員工提報可疑郵件,同時限制誤報正常郵件的次數;只有明確警告可能為釣魚郵件的標籤,能產生較好的效果。排行榜若是搭配訓練,效果會特別大。然而,排行榜的設計確實有優劣之分。最理想的一種設計,就是讓所有人都看到提報者的身分,而且除了在提報正確時有獎勵點數,提報錯誤時也要扣除點數。詹森表示:「事實證明,外在動機比內在動機有效多了。」

沒有人會只為了好玩,而花時間追蹤釣魚郵件。但企業可採取這些步驟,以強調偵測與提報釣魚郵件的重要性,並讓這些行動變得更有效、更令人滿意。關於員工落入詐騙郵件圈套的情況,詹森表示:「想完全避免真的非常困難,你必須採取多層次的做法。」


實務面:採用「停、想、動」三步驟

「讓教訓愈貼近個人,他們就愈容易記住」

“Making the Lessons Personal Means They're More Likely to Stick”

攝影:賈瑞德.索瑞斯(JARED SOARES)

克里斯多福.波特(Christopher Porter)是房利美(Fannie Mae)資訊安全長,負責監督安全訓練,對象不僅涵蓋將近7,500位員工,還包括數千位獨立約聘人員與顧問。他最近接受《哈佛商業評論》採訪,談論該公司如何對抗網路釣魚攻擊。編輯後的訪談摘要如下。

《哈佛商業評論》問(以下簡稱問):你提供哪些反網路釣魚教育?

克里斯多福.波特答(以下簡稱答):有一套涵蓋較廣的訓練內容,全公司上下都必須受訓。另外針對不同部門,還有不同安排。例如,應付帳款與財務部門,會面對一些獨特的攻擊,因此必須培養特別的免疫力。此外,我們每個月會針對特定主題做模擬釣魚演練。如果有員工點開這樣的測試電子郵件,就會立刻收到回饋意見,形式是一部短片,告訴他們為什麼這封電子郵件其實是釣魚郵件。如果員工未能通過測試的次數,在12個月內達兩次以上,就要參與額外的團體訓練,以跟上腳步。最後,我們每週推出安全意識活動:每週五都會發出部落格文章,討論偵測釣魚郵件的某個面向,以及如果發現釣魚郵件該如何因應;重要的是,受到攻擊時應該要提報。我們持續強化員工應該採取的行動。

插畫:提姆.包爾(TIM BOWER)

:在每月的演練中,你們強調的重點是什麼?

:有三項主題。第一是關於損失:攻擊者威脅,如果不回應就會拿走某個東西。第二是關於承諾:攻擊者告訴收件人,如果點擊某個連結,就能得到某個東西。第三則是關於情緒:嘗試利用好奇心之類的情緒。重要的是,應該要知道自己的員工最容易落入前述的哪種陷阱,才能在演練時對症下藥。我們也會觀察某個時刻外界最猖獗的網路攻擊方式為何。目前新冠病毒疫情提供了很大的網路攻擊誘惑。

:研究發現,簡單的靜觀練習,就能提升人們對網路攻擊的抵抗力。你用過這種方法嗎?

:我們設法讓員工採用「停、想、動」的流程。舉例來說,我們鼓勵員工如果看到郵件上有標籤顯示為外部郵件,就該在繼續閱讀或採取任何行動之前先停一下,想想看自己是否預期會收到這封郵件?是否認識寄件人?有沒有什麼可疑之處?這麼做一段時日之後,就能提升員工對網路攻擊的抵抗力。

:你如何避免員工在受訓時只是一直按滑鼠走完流程,而沒有真正吸收內容?

:首先,我們試著讓受訓變得有趣。我們針對特定的安全議題,使用專業製作的卡通動畫影片,有時候甚至由明星來配音;像是喜劇演員喬.拉維特(Jon Lovett)就客串過一集。第二,我們參考一項研究結果,就是如果你教員工如何在自家維護資訊安全,他們會把這些心得教訓也帶回公司,應用在公司的資訊上。為此,我們告訴員工如何設定多重要素驗證,以保障個人財務資訊安全。在報稅季,我們會提醒員工,可能會收到假冒國稅局的詐騙郵件。我們也付出許多努力,來協助員工保護家人。舉例來說,我們曾邀請一位媽媽,談談有人在網路上想誘拐她孩子的經驗,以及父母應該如何在網路上保護自己的孩子。研究顯示,以及我們的經驗也發現,讓這些教訓愈貼近個人,他們就愈容易記住。

(林俊宏譯自“Boost Your Resistance to Phishing Attacks,” HBR, September-October, 2020)

關於這項研究

〈不僅是個人:資訊科技安全法規遵循的團體觀點〉(Beyond Individuals: A Group Perspective of IT Security Compliance),作者:萊恩.萊特、史帝文.強森(Steven L. Johnson)、布蘭特.奇恩(Brent Kitchen),研討會論文;〈建立人類防火牆:運用排行榜,透過許多個人的集體行動來對抗網路釣魚〉(Building the Human Firewall: Combating Phishing Through Collective Action of Individuals Using Leaderboards),作者:馬修.詹森等,研討會論文;〈運用靜觀技巧來訓練對抗網路釣魚攻擊〉(Training to Mitigate Phishing Attacks Using Mindfulness Techniques, Journal of Management Information Systems, 2017),作者:馬修.詹森等。



本篇文章主題安全與隱私