很多的資安專家們都會提到:「電子郵件社交工程攻擊導致後門程式被植入內部電腦是『很嚴重』的資安防護漏洞」。然而對於企業或組織的資訊管理人員來說,經常的反應卻是:「聽起來『好像很嚴重』,但到底有多嚴重卻完全無法感受到」。因此,也就無法提出有效的防護及改善方法,甚至長期以來因為無法感受到嚴重程度,因而忽略了這個防護漏洞可能帶來的巨大風險。電子郵件社交工程演練服務,是「模擬」駭客寄發社交工程攻擊信件給受測對象,以信件之標題及內容引誘收件人「開啟信件」、「點閱連結」或「開啟附件」進而下載惡意程式的攻擊演練行為,透過受測對象開啟演練信件下載惡意程式的時機,來記錄受測對象對社交工程信件的存取行為,並進而統計分析出企業或組織對電子郵件社交工程演練攻擊的防護漏洞及其嚴重性。
當然在摸擬的演練信件中目的之在於記錄演練信件的使用行為,並不會真正下載惡意程式植入。有了明確的電子郵件社交工程攻擊防護漏洞的量測數據後,資訊管理者才能規劃出合適企業或組織的防護措施,並針對高風險的電子郵件使用族群,提供安全認知矯正的訓練課程。
- 郵件範本提供
針對演練範圍內之郵件帳號進行演練,每一個電子郵件帳號最多寄送6封特製之演練信件,且每封範本經雙方協議之模式加以評定範本之有效性與強度。信中夾帶特製之識別因子,於信件開啟、點閱連結及開啟附件時,會啟動回報機制,僅進行資料統計,但不會有入侵之行為。 - 線上檢測
採用無預警方式進行演練,寄信來源應來自信任網域之外,以測試機關之過濾機制。演練作業限於上班時間,宜避免下班及假日大量寄送,產生時間落差,導致下及受演練機關得以採行干擾措施。 - 彙整與分析
針對上述之功能,提供不同行為模式之分析報告,且報告之內容可在演練過程隨時產生,報告之格式可依貴部之需要,經協議後進行客製化作業,並於演練開始前定稿,再開始進行演練。報告內容涉及個人識別資料者,將會予以遮蔽處理,以符合個資法之規範。演練報告經客戶確認後,於獲得客戶之授權,將會以授權之名義將每一位受演練對象之成績,自動寄交當事人,大幅減輕承辦人員負擔。
防護能力之提昇才是演練的目的
行政院國家資通安全會報自95年技術服務中心發展社交工程演練系統,隨後於96年10月頒訂「防範惡意電子郵件社交工程施行方案」,規範機關自訂社交工程防制年度目標、舉辦相關資安教育訓練與宣導,由演練數據觀察已逐年降低,達成設定之年度總目標。 <詳見圖1所示>
圖1 社交工程防護年度總目標 |
演練之目的係希望藉由統計演練郵件之開啟率及點閱率,以數字代表行為,針對組織成員施以教育訓練,然後再次進行演練,藉由前後二次演練數據之差異,作為衡量績效之依據。 <詳見圖2所示>
圖2 社交工程演練之目的 |
參考技服中心「98年政府機關落實資安之行為模式研究」發現,因為欠缺後續之有效行為矯正方法,導致受演練機關資訊單位,為了降低數據爭取績效,而採行了諸多之干擾手段,導致數據所代表的是演練雙方的技術對抗之結果,而非組織成員警覺之提昇。 <詳見圖3所示>
圖3 社交工程演練之反面問題 |
觀察機關之演練數據通常呈現上下之震盪起伏,眾人內心所衷心期待可以迅速降低並且可以保持穩定之方法,遲遲未能找到! <詳見圖4所示>
圖4 社交工程演練成果呈現之樣態 |
深究其原因主要有三:
1. 沒有適當之理論解釋開信行為。
2. 採用不適當之演練系統與方法。
3. 欠缺行為改變技術之認知訓練。
針對以上三大項缺失加以改進,本公司採用全新之演練系統與防護訓練方法,以提供客戶最完善之服務。
以廣告心理學解釋開信者之注意力變動
駭客藉由吸引注意之標題,誘使受害者開啟信件之行為,與平面廣告透過某種刺激,吸引顧客「注意」,使其產生「動機」,改變其「態度」,使依照廣告主的意圖而行動,達到說服的目的,其實並無二致。另根據注意力之變動,區分為三階段五秒鐘,與使用者自接收信件後,閱覽標題、開啟信件、點閱連結或開啟附件,其過程相符。
依據上述之發現,發展開啟信件關鍵五秒之防護策略。
圖5 開啟信件關鍵五秒之防護策略 |
專為防護目的而全新開發之演練系統
蒐集演練記錄並分析以下四種行為模式:
1. 習慣行為:錯誤之組態設定與習慣之開信方法。
2. 衝動行為:點閱連結與開啟附件之類別與屬性分析。
3. 散播行為:轉寄信件分享之行為分析。
4. 成癮行為:特殊個案之成癮行為分析。
提供即時性管理報表分析,包含以下功能:
圖6 開啟率統計 |
圖7 開啟率排序 |
圖8 習慣行為分析 |
圖9 散播行為分析 |
針對上述之功能,提供不同行為模式之分析報告,且報告之內容可在演練過程隨時產生,報告之格式可依貴部之需要,經協議後進行客製化作業,並於演練開始前定稿,再開始進行演練。報告內容涉及個人識別資料者,將會予以遮蔽處理,以符合個資法之規範。演練報告經客戶確認後,於獲得客戶之授權,將會以授權之名義將每一位受演練對象之成績,自動寄交當事人,大幅減輕承辦人員負擔。
社交工程防護教育訓練
針對錯誤組態設定及習慣行為人員,另採用特製信件寄送,引導更改設定,使達改正之效果,此階段即可大幅降低信件開啟率。提供結合心理學行為改變技術之專屬教材,透過自我暗示、心錨設定、注意移轉、行動契約及行為塑造等技術之綜合應用,輔以卡內基認知訓練方法之輔助,進行防護訓練,可有效降低至雙方所協議之合格標準,防護訓練架構,詳見圖10所示。
圖10 社交工程防護訓練之架構 |
參加防護訓練人員之上課記錄可以匯入系統,以供後續進行演練時,可以針對訓練之成果加以分析。<詳見圖11所示>
圖11 訓練成果分析 |