
大部分的資安漏洞都是由人為錯誤引起的——這裡教你如何改善這個問題
想像一下:一封偽造的電子郵件進入了員工的收件匣。這封郵件看起來是來自一個合法的供應商,信息請求似乎也很簡單。因此,您的使用者點擊了連結——結果,駭客現在已經可以完全存取您的數據和文件。
這就是一個組織被駭的簡單程度。
目前人為錯誤已超越技術缺陷,成為資料洩漏的主要原因。根據一份報告,驚人的95%的洩漏事件都與人為錯誤有關。
換句話說 …
貴組織最大的安全風險並不是複雜的攻擊技術或新興戰術,而是你的用戶。儘管在網路安全方面投入了數百萬美元的資金,各種規模的組織仍然面臨著脆弱性。
我們來仔細看看為什麼這會發生,還有怎麼發生,以及你可以怎麼做。
為什麼你的用戶是最大的安全風險
今天的攻擊者並不靠駭入系統。他們要麼直接登入,或是偷偷地突破你的防線,未被發現也不受阻礙。他們在利用漏洞和欺騙用戶方面技藝高超,知道如何利用員工的失誤。因此,大部分的資料外洩事件都可以追溯到幾個共同的高風險行為:
- 弱密碼:根據六成的員工「經常」或「總是」在多個帳號上重複使用相同的密碼,而這些密碼通常很容易被破解。
- 錯誤傳送:據估計,60%的錯誤相關洩漏事件是因為員工將敏感資訊發送給錯誤的收件者,導致意外的資料分享。
- 使用未授權的應用程式:根據研究,至少有50%的應用程式存在嚴重的可利用漏洞,特別是在醫療和公共服務等行業。然而,許多員工仍然在未授權的應用程式上分享敏感檔案,通常是在未受到保護的個人設備上進行。
- 忽略更新:系統更新和軟體補丁的存在是有原因的——它們更好地保護您的技術免受最新威脅的影響。但許多員工對此已經麻木,選擇延遲或完全忽視提示。事實上,32%的勒索病毒攻擊是因為未打補丁的漏洞所造成。
- 安全捷徑:驚人的65%的員工承認經常規避安全政策,以提高生產力並讓生活更輕鬆。他們會將公司電子郵件轉發到個人郵箱,使用個人設備作為Wi-Fi熱點,並在非工作用的筆記型電腦上訪問工作應用程式。
攻擊者如何利用人為錯誤與疏忽
因為這些以及其他行為,員工經常會成為老套路攻擊者的受害者。常見的策略包括:
- 詐騙釣魚(Phishing):這指的是攻擊者假裝成合法的實體,透過電子郵件、簡訊或電話,試圖欺騙使用者提供敏感資訊或安裝惡意軟體。
- 針對性詐騙釣魚(Spear phishing):即使是最敏銳的員工也會陷入針對性詐騙釣魚攻擊,這種方式需進行廣泛的研究,以製作出高度個性化的電子郵件、電話或社交媒體訊息,看起來像是來自同事、主管、認識的商業夥伴或其他可信的來源。
- 商業電子郵件妥協(Business email compromise):攻擊者利用這種技術來冒充高層或可信的夥伴,發送偽造的請求。由於這類攻擊難以偵測,經常會欺騙員工分享機密資料和文件。
- 社會工程學(Social engineering):這些攻擊專注於利用人類情感,如恐懼、好奇心和信任。想想看,那種緊急的密碼重設請求,看似來自於你們組織的資訊科技部門——它之所以有效,是因為它壓迫員工在沒有時間質疑訊息真實性的情況下做出快速決策。
一旦攻擊者找到系統中的漏洞或誘使使用者提供存取權限,他們可能在你的系統中潛伏數個月—目前的平均時間是 292天—而你還未察覺。由此產生的財務損失、名譽損害和顧客信任下降可能帶來毀滅性的後果。事實上,全球單一資料洩漏的平均成本如今已達創紀錄的$4.9百萬。
防範人為錯誤的最佳實務
讓我們面對現實吧—你的科技安全性取決於使用它的人。而且這需要你來讓他們學習最新的安全策略。以下是三種有效的方法來達成這個目標。
1. 投資於引人入勝的教育
人為失誤最常見的原因是什麼?缺乏關注。許多使用者根本不知道如何辨識威脅的跡象。基於這個原因,教育應該是你最重要的優先事項。如果你還沒有進行網路安全訓練計畫,現在正是時候開始。
但是別只是走過場。要創造出高度互動及相關的訓練內容。定期進行釣魚模擬測試、更新的威脅簡報和安全意識計畫,這些都能幫助說服人們認真看待網路安全。若有疑慮,可以尋找將體驗遊戲化的方法,或是提供參與的獎勵。
2. 實施智慧保護措施
記得,你的使用者並不是在尋求被駭客攻擊。他們只是想完成工作。如果你的安全協定讓他們難以達成目標,他們會優先選擇便利性而非合規性。你可以透過選擇設計來降低人為錯誤可能性的工具,來最小化這些風險—而不造成干擾。尋找像是內建的 加密、AI 監控和 威脅偵測 等功能。
3. 建立安全為先的文化
越早了解潛在的安全漏洞,您就能越快著手進行控制。這就是為什麼建立一種文化十分重要,讓員工能夠放心地報告誤差並對可疑活動發聲。確保您的員工知道什麼是需要報告的內容以及何時報告。更好的是,尋找主動識別和獎勵安全行為的機會。
保護您的組織免受現代威脅是每個人的責任
資安不僅僅是資訊科技(IT)的工作。每位使用者在強化防禦方面都有其角色。透過提高安全意識、簡化安全行為及培養責任心的文化,你可以大幅降低發生資安漏洞的風險。
隨著 不斷演變的威脅 持續重塑安全環境,現在正是時候 為你的團隊提供適當的工具 和知識。
想要更多建議嗎?下載免費電子書,了解選擇安全工具和技術的最佳實踐: 現代資料安全指南。
文章來源: Most Breaches Start with Human Error—Here’s How to Fix It

