要避免員工誤按可疑連結導致後續的資安攻擊,持續提供人員訓練與告誡提醒是最好的方法?德國艾爾朗根-紐倫堡大學的研究結果卻顯示,效果一點也不顯著。
該大學資安與隱私研究團隊的人為因素小組召集人Zinaida Benenson在周三的美國黑帽駭客年會上,展示其以學生為樣本的研究顯示,依據開放系統互連模式定義的網路第8層,亦即人類行為所導致的安全問題,要解決實在困難重重。
受測者被安排進行釣魚訊息的測試,並被研究人員透過電子郵件與Facebook通訊服務以未知來源寄送訊息,聲稱連結能夠觀看除夕派對的照片,還要求收訊者不要再把訊息轉發給第三者。有25%的受試者點開了透過郵件傳輸的連結,更有高達43.5%的使用者點擊了透過Facebook而來的連結。
此外,受測者還會對自己的行為撒謊。只有15.5%的受測者坦承有點擊釣魚郵件中的連結,而較多受測者點擊的Facebook連結,卻只有18%的受測者坦承有點擊。多數受測者表示,點擊不明連結的原因是好奇。
值得注意的是,儘管實驗是透過不明對象的身分寄發訊息,有點擊者中卻有16%聲稱他們認識發來連結的人,所以相信連結是安全的,另有5%的受測者表示瀏覽器很安全,應該可以保護他們不受惡意程式攻擊。
Benenson表示,儘管企業可以要求員工對所有收到的信件或訊息採取「007龐德模式」,亦即都抱持高度懷疑來檢驗與看待,但這種作法本身不但不切實際,而且還可能導致不健康的生活形式。
此外,在企業環境中,這種政策還帶來的壞處可能比好處還大,一方面可能摧毀企業中員工彼此的信任關係,IT人員也可能因為處理假警報而疲於奔命,而將正常郵件誤判為病毒郵件而擱置處理造成的商業損失,更是難以估計。
她建議,企業或許可以採用數位簽章,但要確保員工真正理解數位簽章的意義,而非照單全收所有具備數位簽章的郵件,此外,企業內部的電子郵件或訊息風格最好一致,以免合法的郵件被誤認。