企業面臨的主要挑戰之一是如何防範數位威脅。即便採取了一系列措施、應用和創新解決方案來防止入侵和資料竊取,這個問題不僅取決於先進技術,也取決於人的行為。網路安全專家、dataRain公司的Leonardo Baiardi指出,74%的網路攻擊是由人為因素造成的。他強調,充分的員工培訓對於有效的安全策略至關重要。
拜亞爾迪認為,在企業環境中應對網路風險時,人是最薄弱的環節。 “公司裡的每個人都必須明白,他們有責任保障資料安全,而這只有透過培訓、問責制和部門間的溝通才能實現。每個人都需要意識到自己面臨的風險。”
專家的觀點與Proofpoint發布的《2023年人為因素報告》中的發現相吻合,該報告強調了人為因素在安全漏洞中扮演的重要角色。研究顯示,透過行動裝置發動的社交工程攻擊數量增加了十二倍,這類攻擊通常以看似無害的訊息開始,建立人際關係。 Baiardi認為,這種情況的出現是因為人類行為容易被操縱。 「正如傳奇駭客凱文·米特尼克所說,人的思維是最容易被攻破的。畢竟,人類擁有情感層面,極易受到外部影響,這可能導致輕率的行為,例如點擊惡意連結或洩露敏感資訊。」他說。
報告中記錄的最常見威脅還包括旨在繞過多因素身份驗證 (MFA) 的網路釣魚工具包和基於雲端的攻擊(每月約有 94% 的用戶成為攻擊目標)。
最常見的錯誤
Baiardi 列舉了導致安全漏洞的最常見錯誤:不驗證電子郵件的真實性;電腦未上鎖;使用公共 Wi-Fi 網路存取公司資訊;以及延遲軟體更新。
「這些行為可能會為入侵和資料外洩打開方便之門,」他解釋道。為了避免落入騙局,這位專家建議不要點擊可疑連結。因此,他建議檢查寄件者、電子郵件網域以及郵件的緊急程度。 「如果仍有疑慮,一個技巧是將滑鼠指針懸停在鏈接上,不要點擊,這樣就可以查看完整的URL。如果看起來可疑,那很可能就是惡意鏈接,」他建議道。
網路釣魚
網路釣魚是最大的網路威脅之一,攻擊者常常利用企業電子郵件作為攻擊媒介。為了防範網路釣魚,拜亞爾迪建議採取分層防禦策略:除了強有力的技術措施外,還要提高員工的防範意識並進行相關培訓。
保持軟體和作業系統更新對於降低漏洞至關重要。 “新的漏洞每天都在出現。降低風險最簡單的方法就是保持系統更新。在無法持續更新的關鍵任務環境中,則需要更強大的策略。”
他舉了一個真實案例,說明有效的訓練如何幫助預防攻擊。 “在實施網路釣魚模擬和培訓後,我們發現員工報告的網路釣魚嘗試數量顯著增加,這表明他們在面對威脅時具備了更敏銳的批判性思維。”
為了衡量訓練效果,拜亞爾迪建議明確訓練範圍,並定期進行預設指標的模擬演練。 “有必要衡量員工對潛在威脅的反應的數量和質量。”
這位高層引用了網路安全教育公司 Knowbe4 的報告,該報告顯示巴西在網路安全方面落後於哥倫比亞、智利、厄瓜多和秘魯等國。 2024 年的調查凸顯了員工雖然了解網路安全的重要性,但卻不真正理解威脅的運作方式和原理。因此,報告強調了組織文化在促進安全實踐方面的重要性:“如果沒有完善的網路安全文化計劃,就無法衡量一家公司在這方面的成熟度。”
這位專家也負責領導dataRain公司推廣的網路安全產品的交付工作。 dataRain提供強大且易於實施的解決方案,例如電子郵件安全、合規性和漏洞評估、終端安全和雲端治理。 「網路安全是一項持續的挑戰,而人是確保資訊安全和系統完整性的關鍵。投資於培訓和意識提升就是投資於整個組織的安全。我們所有的交付都伴隨著知識轉移,這使我們能夠提高客戶對威脅的認識。」他總結道。
