五大對策讓企業遠離社交工程攻擊

何謂社交工程 (Social Engineering)?

社交工程是駭客所採用的一種手法,透過 Email、電話等各種方式獲取被害者信任,再透過 Email、圖片等媒介散播惡意程式以及釣魚連結,藉此突破資安防護。根據 Roger Grimes 的這篇文章,惡意的資料外洩事件中有 70% 至 90% 起因於社交工程或網路釣魚攻擊。光是 2020 年,根據 Forbes 的報導,Google 就記錄到兩百萬個釣魚網站。

此外,The Jerusalem Post 的這則新聞指出,臺灣每個月都在面對約三千萬起的網路攻擊。現今,社交工程已經成為最大的威脅之一,所有公司都需要針對這個問題採取行動,而臺灣也不能置身事外。

防範社交工程的五大對策

那麼,企業為了保護自身免於社交工程攻擊,以下是五個可以實行的基本策略:

  1. 數位安全政策 Cyber security policy
  2. 存取控制管理 Access control management
  3. 多重因素驗證 Multi-factor authentication
  4. 密碼管理 Password management
  5. 定期備份 Regular backups

防範社交工程的五項策略

1. 數位安全政策 Cyber security policy

數位安全政策是關於「資訊系統應該如何被使用」以及「如何最小化風險」的指導原則,協助員工瞭解保護公司資料與資訊資產的程序為何。為了保護公司免於網路攻擊,制定數位安全政策是必須做的首要任務,而制定的過程中亦不需花費任何 IT 預算。

2. 存取控制管理 Access control management

存取控制是指,決定「哪些裝置或哪些人可以存取特定的資料或資訊資產」的一種方針。存取控制不只能管控哪些使用者能存取特定的資料,還能阻絕外界對內部資產的非必要存取。

3. 多重因素驗證 Multi-factor authentication

多重因素驗證是指透過多種途徑來進行驗證的方法,其中最常見的便是以帳號與密碼作為第一重驗證,並使用只能由已註冊的行動裝置產生的 OTP 來作為第二重驗證。

4. 密碼管理 Password management

如果有員工設定了一個容易被猜出來的密碼,驗證就沒什麼意義了。因此,對於公司而言,要求員工們設定安全性夠強的密碼是很重要的。不過,近期無密碼登入(passwordless login)的潮流正在興起。

無密碼登入就是使用一些 token 來登入的驗證方式。而且,由於 token 比起密碼更長、更隨機,所以是比帳號密碼來得更簡單也更安全的登入方式。

5. 定期備份 Regular backups

無論一間公司多努力想要預防社交工程的攻擊,由於人非聖賢,難免都還是有資料遭受危害的可能性。即便一間公司有資料因為遭到損害而不能被存取時,如果有備份,公司便可以藉由這些備份來復原資料,把停擺時間縮到最短並繼續營運。

HENNGE One:對抗社交工程簡單有效

HENNGE One 能夠提供多種安全功能,來保護公司免受社交工程的威脅。透過 HENNGE Device Certificate(裝置憑證) HENNGE Access Control(存取控制),使用者就只能使用已安裝憑證的裝置來存取雲端服務,大幅降低被駭客騙走帳號密碼的風險。

此外,裝置憑證也能達到無密碼登入。使用裝置上的憑證資訊來登入,能夠使員工們不再需要背誦冗長且複雜的密碼,而且登入速度也更快。除了無密碼登入之外,HENNGE One 還提供多因素驗證,只需透過行動裝置上的 HENNGE Lock 應用程式即可一鍵完成驗證。

現今,Email 在與外部公司溝通時扮演了一個重要的角色, HENNGE Email Archive(郵件備份)能夠儲存所有寄出或收到的 Email ,所以如果有任何狀況是使用者失去了郵件系統的存取權,使用者仍然可以透過 HENNGE Email Archive 來查閱郵件內容。

WRITTEN BY