資訊安全事件：員工是成功的關鍵因素

哪些攻擊最為危險？

網路釣魚攻擊是最危險的，因為高度專業的網路犯罪分子專門針對資訊安全中最薄弱的環節——人，從而繞過技術保護措施。

有組織的網路犯罪如今已成為一項價值數十億美元的產業，其中涉及的各個團夥和行為者在組織嚴密性方面堪比傳統公司：他們以高度專業的方式行事，並力求提高營運效率，以盡可能地盈利。

惡意行為者通常會瞄準安全體系中最薄弱的環節：人。因此，員工必須認識到自身在資訊安全成功中的重要性。

網路釣魚仍然是最有效的攻擊手段之一，因為它不需要攻擊者處理公司高度複雜的技術安全架構。相反，他們只需誘騙員工在不知情的情況下將犯罪分子引入公司網路即可。

資訊安全事件：哪些網關最危險？

公司網站和電子郵件地址等公開資訊尤其重要，因為它們為網路釣魚攻擊者提供了有效操縱員工所需的個人資料。

在科技攻擊中，駭客最初往往盲目行動，需要透過反覆試驗或暴力破解的方式在電腦上尋找已知漏洞；而網路釣魚攻擊則從一開始就明確尋找資訊和個人資料。這包括：

• 公司電子郵件地址
• IT員工姓名
• 電子郵件簽名
• 企業形象（CI）訊息
• 員工感興趣的話題

公司網站通常是駭客的首選目標，因為它已經提供了關於關鍵資訊和相關主題的有用資訊。然而，駭客最關注的還是電子郵件地址和IT聯絡人。這是因為他們之後會將釣魚郵件發送給盡可能多的員工。但是，他們不會將郵件發送給IT專家，因為IT專家最有可能快速識別出虛假郵件。

為什麼電子郵件地址容易成為網路釣魚攻擊的目標？

電子郵件地址之所以如此危險，是因為攻擊者只需掌握少量公開信息，就能係統地創建完整的郵件列表、具有欺騙性的真實發件人以及完美復制的網絡釣魚郵件（包括登錄頁面），並以此誘騙員工洩露其訪問數據。

根據找到的第一個電子郵件地址，駭客通常可以推斷其底層結構——例如，「[email protected]」。這使他們能夠根據每位員工的姓名推斷出對應的電子郵件地址。

社群媒體，尤其是像 XING 或 LinkedIn 這樣的商業入口網站，為編制詳盡的員工名單並利用已識別的模式推斷相應的地址提供了絕佳的機會。

同時，攻擊者也會創建一個黑名單，將所有具有相關專業經驗或對IT有興趣的員工列入其中。這些員工將不會收到任何虛假郵件。

特洛伊木馬已經備好鞍轡

一旦駭客選定了目標，剩下的就是進行一些微調，發送看起來盡可能真實的電子郵件。例如，駭客可以冒充客戶，透過官方管道直接聯繫公司並索取報價。在理想情況下，回覆郵件甚至會附帶產品組合文件，這為駭客提供了大量有價值的信息，例如：

• 電子郵件簽名是什麼樣的？
• 使用了哪些字體？
• 文件中徽標放置在哪裡？
• 標題是什麼樣的？
• 使用了哪些顏色點綴？

這些資訊可用於建立極具欺騙性的釣魚郵件。最後，只差一個合適的、可信的寄件者電子郵件地址。這可以是地址後綴不同的地址，例如用“.com”代替“.de”。一些特別有創意的駭客甚至會使用不同字母表中的字母。例如，小寫字母「l」對收件者來說幾乎與希臘字母「iota」無法區分。在這裡，創意可謂無窮無盡。

欺騙：假登入頁面

一旦駭客創建出看似真實可信、寄件者地址乍看之下也十分可靠的電子郵件，他們就會試圖獲取員工的真實登入資訊。為此，他們會建立一個與公司企業形象高度相似的虛假登入頁面，並設計一個簡單卻逼真的場景，誘使員工在該頁面上進行身份驗證，即輸入他們的公司登入資訊。以下是兩個簡單的例子：

1. 駭客冒充IT管理員，向全體員工發送群發郵件，引導他們專注於一個新的遠端會議視訊平台。郵件要求所有員工在該平台上進行身份驗證，以確認他們現有的聯絡人是否已遷移到新平台。

2. 網路犯罪分子冒充公司管理人員，聲稱公司推出了一項新的員工福利計畫。員工只需在連結的入口網站上進行身份驗證，即可享受折扣和優惠。

因此，無數的使用者名稱和密碼最終以明文形式落入攻擊者手中，攻擊者利用這些資訊入侵公司網路並存取其中儲存的資料。從提升存取權限到加密系統和資料記錄，攻擊者現在可以採取一切可能的手段造成最大程度的破壞或勒索贖金。

順便一提，這種攻擊方法與密碼的複雜性無關——即使是許多雙重安全解決方案，也只需稍加努力就能被「釣魚」。

員工在有效的資訊安全中扮演什麼角色？

員工對於有效的資訊安全至關重要，因為社會工程攻擊的目標是人而不是技術，只有經過培訓、具備相應意識的員工才能可靠地識別和抵禦網路釣魚和類似的欺騙行為。

需要明確的是，從純技術角度來看，所描述的攻擊並非針對公司IT系統的攻擊。相反，駭客使用的是社會工程學——他們利用公開資訊誘使員工在不知情的情況下洩露敏感資料（在本例中為登入資訊）。因此，技術防護措施失效。

防範此類資訊安全事件的唯一可靠方法是讓員工能夠識別並阻止此類攻擊。為此，首先必須透過系統的安全意識培訓，使團隊了解相關問題。培訓內容應盡可能涵蓋廣泛的主題—從資訊安全基礎知識、IT系統和資料的安全操作，到安全事件發生時的危險識別和正確應對措施。

歸根究底，企業必須提高員工對網路攻擊的防範意識。這將使他們從潛在的薄弱環節轉變為抵禦社交工程和網路釣魚的最佳屏障。

為什麼員工是 ISO 27001 附錄 A 的重要組成部分？

員工參與是國際ISO 27001標準的核心組成部分。該標準要求系統性地提高員工的安全意識，以最大限度地減少人為漏洞，並有效防止社會工程攻擊。

因此，公司應定期檢視自身的安全狀況，並將安全意識牢固地融入其安全理念中。這種方法是公認的資訊安全管理系統 (ISMS) 標準的核心要素，特別是透過附件 A 中的控制項 6.3「資訊安全意識、教育和培訓」來實現。

在目前版本的標準中，關於「意識」這個主題的要求可以在第 7.3 節中找到。

例如，ISO 27001 要求確保資訊處理鏈中最薄弱的環節具備意識和敏感度，從而了解如何處理公司的資訊。而這一切都始於像電子郵件地址這樣簡單的事情。

其他監管或法律要求，例如 GDPR，也旨在採取預防性措施來避免事故發生。

H3 Control 6.3：資訊安全意識、教育與培訓

資訊安全控制6.3（詳見ISO 27002:2022）要求組織的員工和相關利益方在其專業職責範圍內具備適當的資訊安全意識，並遵守相關規定。雇主必須透過適當的培訓和教育計畫等措施來確保這一點。

應定期提供意識、教育和培訓－例如，在組織的資訊安全政策變更之後，在特定主題的指南和程序發生更新之後，或在員工職位發生變更導致安全要求發生重大變化之後。

為了讓員工了解自身職責，必須制定一套意識提升計劃，並透過適當的線上線下管道（例如資訊發布會、宣傳冊、電子郵件或線上學習模組）向員工傳達訊息。該計劃應涵蓋以下方面：

• 管理階層對整個組織資訊安全的承諾
• 熟悉並遵守適用的法規和義務，同時考慮個人情況。
• 個人對自己的行為和不作為負有責任
• 基本資訊安全程序（例如，事件報告）和基本安全措施（例如，密碼安全）
• 有關資訊安全的更多資訊和建議，請聯絡以下聯絡方式和資源：

關於培訓和繼續教育，Control 6.3 主要針對那些工作需要特殊技能和專業知識的技術團隊，並要求制定和實施合適的培訓計劃。為此，公司可以考慮各種知識轉移和更新方式，例如課程、自學或參加會議或活動。

根據 ISO 27001，組織意識工作的關鍵在於讓員工了解資訊安全的目標以及他們的行為對組織可能產生的正面和負面影響。

加強鏈條中最薄弱的環節

儘管 Control 6.3 僅佔整體資訊安全管理系統 (ISMS) 中資訊安全措施的一小部分，但在網路釣魚攻擊日益猖獗的背景下，它仍然是資訊安全的重要組成部分。如前文所述，即使是最好的技術防護措施，如果駭客通過安全鏈中最薄弱的環節入侵網絡，也無濟於事。

提高員工的安全意識可以從長遠上降低遭受社會工程攻擊的風險，並有助於後續安全事件的後續追蹤——例如，因為員工能夠識別潛在的攻擊並負責任地進行報告。因此，安全意識能夠強化資訊安全鏈中最薄弱的環節，是整體資訊安全策略的基石。

結論—資訊安全事件

資訊安全管理體係是成功的關鍵

總而言之，資訊安全管理系統 (ISMS) 是保護當今互聯世界中敏感資料不可或缺的工具。它提供了一種結構化的方法來確保資訊的機密性、完整性和可用性，並幫助企業遵守法律法規。透過實施 ISMS，組織可以識別、評估和管理安全風險，從而增強客戶、合作夥伴和其他利害關係人的信任。

獲得ISO 27001等國際認可標準的認證，能夠清楚證明企業擁有健全的管理體系，並帶來顯著的競爭優勢。對於處理敏感資訊的各種規模和行業的公司而言，資訊安全管理系統（ISMS）不僅有用，而且對於企業的永續發展和合規性至關重要。