“李宗瑞影片,赶快下载呦!”~~~政府机构以这样的主题编写的测试邮件,导致 996 名员工因为好奇并点击而“中招”,所有点击了链接的员工必须分批次参加一个两小时的信息安全课程。

如果你是 IT 部门的主管,你是否知道公司里哪些员工最容易打开色情类邮件附件?哪些部门是信息安全的雷区?

根据趋势科技以前针对国内某家员工数超过 300 人的企业所做的调查显示,防毒意识最差的部门是:业务部;而最可能打开危险邮件的员工是:工读生等临时雇员。

这意味着,帮助公司缔造业绩的部门,却同时有可能是企业网络运作杀手。跑腿的工读生,可能因为午休时间打开了朋友转发的色情邮件或网站链接,而让公司数字资产暴露在危险中。

这样说并不是要让 IT 部门在看完本文后把业务部的所有计算机搜查一遍,或者解雇所有工读生,而是要指出一个现象:在这个调查之前,该公司 IT 部门普遍不知道企业内部的安全杀手潜伏在哪个部门,也不知该如何隔离那些总是打开网络钓鱼页面,或不小心点击色情内容的高危人群。这是目前很多企业都会遇到的安全管理难题,尤其是网络使用自由度高的公司,IT 部门在不干涉员工上网的前提下,又要有效执行安全守则,确实比较困难。

最明显的例子是,员工打开色情邮件或链接容易引狼入室。此类邮件充分利用了员工的好奇心,一个邮件主题或者一个附件文件名,就能让用户点击鼠标进行传播,我们称之为社会工程学陷阱。

趋势科技拦截过很多以色情为饵的病毒。它们既不是散发大量邮件的蠕虫,也没有通过僵尸网络发送垃圾邮件,而是纯粹由用户主动转发木马程序。究其原因,其实就是一传十,十传百的道理,恶意内容就这样像滚雪球一样,影响范围越来越大。虽然属于手工散播,但只要想想这封电子邮件所传送的目标群体数量,加上每个群体的成员数量,最终的影响范围绝不容小觑。

信息安全从“IT 部门的事”到“全公司的事”

好的风险管理能成功教育员工为信息安全负责,计算机中毒时不但不应该冲动地拿起电话开骂 IT 部门,反而需要为自己违反公司安全政策,影响公司网络安全而自责,让安全意识的转变从“千错万错都是 IT 部门的错”到“安全政策,不再只是 IT 部门的事”。

有个真实案例,某公司过去网络中断时,员工总是大声抗议,但是请大家合作,遵守信息安全守则时,却总是得不到明显的成效,一直到他们举行了一次防毒演习为止。

在演习中,首先该公司以“看似”某部门最高领导 Dave 的名义发出“软件 Beta 版抢先试用,拿大奖”测试信,结果高达 98% 的员工打开了附件,结果得到如下信息:“哈哈,上当了!!你的安全警觉性待加强。”而事实上该部门最高领导的正确名字是 David,并不是 Dave。凡是阅读并打开附件的收件人都会留下纪录,借着测试活动结果,以统计数据说服当事人或高层主管,企业潜在的人为因素对整体网络安全的影响。

资料来源:趋势科技云安全博客

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。