Jennifer Cheng/Director of Product Marketing, Proofpoint

從任何角度來看，2020對駭客來說是個忙碌的一年。因為疫情影響和威脅的增加，許多組織淪為網路攻擊的對象。

根據Proofpoint 2021的釣魚攻擊報告，發現有57%的組織在去年被駭客成功使用釣魚攻擊，不僅影響深遠，企業也受到損害：近三分之二原因是資料外洩；一半則是帳號或憑證被竊取。

而勒索軟體也不甘示弱地在2020繼續擴張。儘管受攻擊的比率和往年相同，但有更多的組織選擇支付贖金，卻可能未回復運作：有近三分之二的組織受到勒索軟體攻擊，有一半選擇支付贖金，僅六成在支付第一筆贖金後能拿回資料，其餘則被繼續勒索或根本石沈大海。

儘管釣魚和勒索都不是新的駭客手法，但仍是資安團隊的保護重點。因疫情緣故，去年駭客攻擊成功的比例升高，不過更需要關心的是現今威脅的發展，駭客更主動地鎖定「人」為攻擊對象、而非網路或IT架構。當技術防護不斷更新，使用者意識卻未跟上腳步，這個落差只要還存在，企業就卡在只能瞻前卻未能顧後的困境。

Closing the awareness gap減少認知落差

使用者意識是企業防護的關鍵，就跟其他技術防護和控制一樣重要，儘管如此，卻未受到同等重視。企業幾乎都有資安教育訓練計畫，但有近乎一半的教育訓練在一年內未超過四次，而大多數也沒有超過兩個小時；也僅有一半的公司是對全公司人員訓練，其中的六成才採取正式實體或虛擬的訓練課程。

使用者意識的不足顯示了企業缺乏完善的訓練規劃。儘管常看到企業被駭的新聞，但僅有33%的使用者能清楚描述勒索軟體的定義，65%了解惡意軟體和63%了解釣魚攻擊。

這對資安人員來說可能難以置信，但這就凸顯了認知和理解的落差。使用者可能知道有些家庭和知名品牌受駭客攻擊，但不代表會了解攻擊機制，也不知道以企業用戶的身份該如何預防。 

為了縮減知識落差，資安意識培訓需要不僅教育常見的防護基礎，更要讓他們了解自身的資安責任。

Identifying your Very Attacked People找出常受攻擊的人

為了提供對的訓練給對的人，應該要先辨別誰在組織中風險最高，在Proofpoint我們稱之為VAP常受攻擊者。

在識別前要避免先入為主，因為VAP可能在組織的任一個職位，儘管高層可能是最直覺的攻擊對象，但攻擊者其實最常鎖定他們旗下的人員，但在不同組織和產業，VAP也會很不一樣。在最近Proofpoint發現的例子中，在一個大型照護機構前20個VAP也剛好是VIP；而在金融組織裡則僅有一位VIP是VAP。

而VAP會持續變動。像資安意識培訓，辨認VAP的工作不是一次性的，因為這些人可能會隨時改變。當確認了VAP，就能評估他們的資安意識，有這些資訊，就能建立客製的訓練計畫，能依據每位的風險評估，各別補齊資安認知落差。

這就是以人為本的資訊安全。而通常就是你和駭客間的唯一防線。

Building a people-centric cyber defence 建立一個以人為本的資安防禦

駭客通常會持續攻擊你的組織。如果你不能像駭客一樣，就可能被成功攻擊。了解TPP攻擊戰術流程其實並不足夠，用戶行為常是最大的變數，強化用戶行為就成了當務之急。

而首先就是要創造企業文化，「資安並不僅是IT人員需要落實，而是所有人的責任。」這樣的文化要透過正規且有脈絡的資安訓練，且根據使用者和不斷改變的威脅情勢時時調整。

這不代表訓練該是個考試，而是要使用者學會防禦，這也是訓練計畫該強調的重點。不是要學會名詞定義和攻擊模擬，而是著重在教育行為與其伴隨的潛在風險。

當使用者了解使用單一密碼和資料外洩間的關聯、從未知寄件者點擊可疑連結與勒索軟體的關係，那他們的使用習慣就會因此改變。有80%組織認為資安意識培訓有助於降低駭客攻擊的影響。

資安不再是技術規範。在這個以人為對象進行攻擊的年代，理解與認知才是關鍵，使用者知道的越多，才能更加確保組織安全。