社交工程演練是企業資安教育的重點項目,但是該怎麼進行才能成功地避免員工上當受騙,瑞百通資安顧問鍾榮翰認為,關鍵在於主管配合度。
社交工程攻擊可說是企業資安近年來最頭痛的問題,員工在不知情、好奇心趨使、習慣使然等狀態下,常常受騙點開惡意網址或下載惡意程式,輕者洩露個人帳號密碼,重則導致公司機密資料外洩,Google在2010年初爆發的資料被竊事件,就是社交工程手法所致。
防堵社交工程攻擊的方式有兩種,第一是禁止社交工程攻擊管道,目前常見的攻擊管道就是電子郵件或是即時通訊軟體,然而,企業可以下令禁止員工使用即時通訊軟體,卻無法禁止E-mail的使用,最好方式還是對員工進行認知教育,教導員工不開啟來路不明的信件,或者可以開信,但不能打開附件和連結。
但是,單純地道德勸說或是請講師上課,無法有效改變員工行為,鍾榮翰指出,社交工程認知訓練的成功關鍵在於主管,主管必須要能配合演出,才能收到最大成效。
舉例來說,豎大姆指代表我可以控制衝動,姆指和食指圈成一個圓代表不亂開啟連結,當企業在舉行社交工程認知訓練課程的隔天,主管在電梯/茶水間碰到部屬時,可以主動豎起大姆指,作為打招呼的方式,或是拍拍部屬的肩膀,主動開口說我可以控制衝動。
這麼做的目的有兩個,一方面再次提醒部屬、記住講師的授課內容,另一方面則是讓部屬感受到主管對認知訓練的重視,進而改變態度、將口號內化成自己的行為。倘若主管不重視、不願配合演出,員工對於認知訓練抱持敷衍心態,那麼,再多的訓練課程也無法改變員工行為,企業只是白花錢罷了。