大部份企業的網絡保安策略側重網絡保安方案,往往忽略了「人」這個重要因素,其實「病從口入」也可以套用到網絡安全之上,因為往往是「人把帶病的食物放入口裡」,而黑客們也很擅長利用「人」這個保安策略盲點,只需要中或低階的技術配合一點社交工程,就隨時能讓企業的一般員工主動把病毒「放入口裡」,引發企業的網絡安全災難。
網上網下幾個常見資安範疇
其實很多成功的入侵事件,都離不開以「老土」的攻擊手法作為入侵第一步,因為和機器不同,「人」會有掉以輕心的時候,一不小心就會跌入黑客設下的陷阱,企業網絡即使把關得再嚴密,只要在人員方面稍有不慎,就會形成容易入境的缺口。而不論在辦公室或家中,其實有幾個常見陷阱:
電郵安全
電郵是黑客入侵網絡最常用的途徑,因為最容易接觸到缺系資安概念的一般員工,要防止跌入黑客的陷阱,就要留意以下幾個要點:
- 寄件人電郵地址:小心核對件人電郵地址,是核實真偽的第一步。
- 超連結的真正網址:把滑鼠指向電郵中的超連結,查看導引的真正網址,小心跌入欺詐網頁的陷阱。
- 勿開不明附件:看起來是圖像、文件和PDF格式的檔案的有可能傳播病毒,一打開附件便啟動惡意的入侵程序。
- 匯款通知要小心:即使電郵地址正確,如果遇上對於更改收款帳號的要求,同樣可能是黑客的詐騙,匯款前應利用其他途徑核實真偽。
社交媒體
社交媒體帳號也是黑客的目標,以朋友的身份聯絡能降低用戶的警戒心,其中最常見有以下兩種做法:
- 朋友傳來不明連結:黑客成功入侵用戶的社交媒體帳號後,便會自動向朋友名單發送惡意程式的連結,可能是網站帶有病毒又或者引誘下載惡意程式,如果不小心中招,又會再透過朋友名單發送,可以做成廣泛的破壞。
- 身份盜竊:即使朋友的帳號沒有被盜,部份黑客會故意複製用戶的資料,盜取對於的身份再與對方的朋友聯絡,藉此進行不同的詐騙工作。
實體保安
別以為網絡保安和實體保安沒有關連,透過取得用戶的裝置,電郵、社交媒體帳號甚至是企業網絡的存取權限都能弄到手,所以以下的實體保安措施不可缺:
- 為裝置設密碼:為裝置設定密碼,當離開電腦或流動裝置時鎖上,令有心人無法把屋短暫的空檔有機可乘,而且不影響日常使用。
- 小心出入:大部份企業的大門都設有電子鎖,員工進出時要留意附近的陌生人,道理如「小心門戶」一樣,因為黑客在企業範圍內找到Lan接駁口就能為所欲為。
總結
其實除了以上3個範疇,日常生活很多和企業網絡安全有關連的部份都被忽略,Kaspersky Lab估計往後將會愈來愈多黑客採取「捨難取易」的心態,把攻擊企業的突破口瞄準一般員工,以提升達到不法目標的成功率。所以Kaspersky Lab在2018年將推出針對一般員工的Security Training,透過互動和容易管理的教學方式,令企業能夠有系統掌握員工的學習進度和效果,踏實地透過增進員工網絡安全知識,降低企業網絡安全的潛在風險。