五大對策讓企業遠離社交工程攻擊

何謂社交工程 (Social Engineering)？

社交工程是駭客所採用的一種手法，透過 Email、電話等各種方式獲取被害者信任，再透過 Email、圖片等媒介散播惡意程式以及釣魚連結，藉此突破資安防護。根據 Roger Grimes 的這篇文章，惡意的資料外洩事件中有 70% 至 90% 起因於社交工程或網路釣魚攻擊。光是 2020 年，根據 Forbes 的報導，Google 就記錄到兩百萬個釣魚網站。

此外，The Jerusalem Post 的這則新聞指出，臺灣每個月都在面對約三千萬起的網路攻擊。現今，社交工程已經成為最大的威脅之一，所有公司都需要針對這個問題採取行動，而臺灣也不能置身事外。

防範社交工程的五大對策

那麼，企業為了保護自身免於社交工程攻擊，以下是五個可以實行的基本策略：

1. 數位安全政策 Cyber security policy
2. 存取控制管理 Access control management
3. 多重因素驗證 Multi-factor authentication
4. 密碼管理 Password management
5. 定期備份 Regular backups

1. 數位安全政策 Cyber security policy

數位安全政策是關於「資訊系統應該如何被使用」以及「如何最小化風險」的指導原則，協助員工瞭解保護公司資料與資訊資產的程序為何。為了保護公司免於網路攻擊，制定數位安全政策是必須做的首要任務，而制定的過程中亦不需花費任何 IT 預算。

2. 存取控制管理 Access control management

存取控制是指，決定「哪些裝置或哪些人可以存取特定的資料或資訊資產」的一種方針。存取控制不只能管控哪些使用者能存取特定的資料，還能阻絕外界對內部資產的非必要存取。

3. 多重因素驗證 Multi-factor authentication

多重因素驗證是指透過多種途徑來進行驗證的方法，其中最常見的便是以帳號與密碼作為第一重驗證，並使用只能由已註冊的行動裝置產生的 OTP 來作為第二重驗證。

4. 密碼管理 Password management

如果有員工設定了一個容易被猜出來的密碼，驗證就沒什麼意義了。因此，對於公司而言，要求員工們設定安全性夠強的密碼是很重要的。不過，近期無密碼登入（passwordless login）的潮流正在興起。

無密碼登入就是使用一些 token 來登入的驗證方式。而且，由於 token 比起密碼更長、更隨機，所以是比帳號密碼來得更簡單也更安全的登入方式。

5. 定期備份 Regular backups

無論一間公司多努力想要預防社交工程的攻擊，由於人非聖賢，難免都還是有資料遭受危害的可能性。即便一間公司有資料因為遭到損害而不能被存取時，如果有備份，公司便可以藉由這些備份來復原資料，把停擺時間縮到最短並繼續營運。

HENNGE One：對抗社交工程簡單有效

HENNGE One 能夠提供多種安全功能，來保護公司免受社交工程的威脅。透過 HENNGE Device Certificate（裝置憑證）與 HENNGE Access Control（存取控制），使用者就只能使用已安裝憑證的裝置來存取雲端服務，大幅降低被駭客騙走帳號密碼的風險。

此外，裝置憑證也能達到無密碼登入。使用裝置上的憑證資訊來登入，能夠使員工們不再需要背誦冗長且複雜的密碼，而且登入速度也更快。除了無密碼登入之外，HENNGE One 還提供多因素驗證，只需透過行動裝置上的 HENNGE Lock 應用程式即可一鍵完成驗證。

現今，Email 在與外部公司溝通時扮演了一個重要的角色， HENNGE Email Archive（郵件備份）能夠儲存所有寄出或收到的 Email ，所以如果有任何狀況是使用者失去了郵件系統的存取權，使用者仍然可以透過 HENNGE Email Archive 來查閱郵件內容。