防禦駭客攻擊：強化企業資安的專家建議

網路犯罪日益成為澳洲企業面臨的重大威脅之一，每年造成數百萬澳幣的損失。但這不僅僅是財務上的損失，一次駭客攻擊可能導致商業機密外洩、遭受監管罰款、面臨訴訟，還會讓消費者信任度降低，損害整體品牌聲譽。

2022年Optus的資料外洩事件凸顯了網路安全漏洞的深遠影響。除了財務損失，該公司在六個月內流失了約10%的使用者。這起事件還引發了重大的法律問題，面臨罰款和集體訴訟。

隨著人工智慧的發展，網路攻擊也變得越來越複雜，這是一個令人擔憂的問題。雖然目前正在進行大量研究以開發更好的偵測工具，但我們Data61團隊的深度偽造專家Sharif Abuadbba博士警告不要過度依賴這些技術。

Sharif表示：「這變成了人工智慧之間的對抗，使得結果不可靠，最終還是需要審查事件的細節和背景。」

企業必須不斷審查、準備和創新其網路安全措施，以保持領先地位。以下是一些專家建議，可強化您的網路防禦，保護您的企業。

員工是企業防禦網路威脅的第一道防線，無論他們是管理訪客登記表還是處理機密檔案。我們Data61團隊以人為中心的安全研究科學家Lauren Ferro博士提醒我們，人為錯誤是企業的主要弱點。

Lauren說：「人們往往放鬆警惕，認為自己沒有什麼東西值得駭客攻擊。然而，這些人可能會成為駭客進入企業的入口。員工需要了解相關風險和潛在後果。」

她還指出：「網路風險不僅限於工作場所。在社群媒體上分享的個人資訊可能被用來發起高度針對性的攻擊，危及安全。」她建議持續進行教育，定期更新最新的發展和需要警惕的威脅。

對澳洲企業來說，電子郵件詐騙是最突出的網路安全威脅。例如，偽造發票或轉帳請求，這些郵件往往看起來來自可信的來源。

Lauren表示：「來自熟悉聯絡人的電子郵件不一定是真的。」電子郵件詐騙通常透過釣魚攻擊發生，攻擊者誘騙員工透露敏感資訊或點選惡意連結。一旦他們獲得訪問許可權，駭客就可以操縱郵件線索、假冒高層主管並轉移資金。

Sharif強調要讓員工有信心拒絕偏離既定業務流程的行為。他說：「如果他們遵循既定的業務流程，即使是執行長要求緊急轉帳，他們也不必擔心惹上麻煩。即使沒有工具，也可以利用組織內明確、有檔案記載的流程來偵測和防禦深度偽造。」

雖然大多數企業透過線上模組提供網路安全培訓，但最有效的方法之一是沉浸式模擬訓練，讓員工為實際的網路攻擊做好準備。互動式訓練可以幫助員工在安全可控的環境中測試他們的知識，找出弱點。

Lauren強調了「企業危機」（Corporates Compromised）這一沉浸式網路安全桌面演習的有效性，這是我們與網路安全合作研究中心（CSCRC）共同開發的。該演習讓參與者扮演不同的組織角色，引導他們經歷模擬的網路攻擊場景，參與者可以在無風險的情況下獲得實踐經驗。

她表示：「這些實踐演習很重要。透過直接參與網路攻擊，看到自己決策的後果，參與者可以獲得切實的見解和經驗。」

網路安全漏洞不僅僅意味著財務資產的損失，企業的品牌聲譽和消費者信任也會受到威脅。Lauren說：「談到網路安全，信任是非常重要的。網路攻擊不僅影響資料，還會影響公眾信任、投資者和其他利益相關者。讓人們信任您的產品或服務的品質已經很難了，更何況在發生漏洞後重新獲得信任。」

建立消費者信任的一種方法是表明企業積極考慮他們的網路安全。例如，企業可以確保客戶登入時提供多因素身份驗證，並讓使用者能夠輕鬆控制所收集的資料。

隨著威脅和攻擊越來越普遍，企業應該假設自己會受到攻擊，或者有威脅會趁虛而入。Sharif建議採用主動防禦協定和零信任政策，即請求在未經驗證之前應被視為偽造。

我們的首席資訊安全官Jamie Rossato也提供了制定良好事件應對計劃的建議。他說：「任何參加過體育運動的人都知道，比賽前的準備工作最終決定了您的表現。我們如何為可能發生的事件做好準備？或者為那些已經影響到其他組織的事件做好準備？所有利益相關者是否瞭解自己的角色和責任？他們是否接受過應對訓練？即使關鍵人員不在，應對措施也應該能夠執行。」

在這個現代時代，企業的網路安全不僅僅是保護資產，還包括保護聲譽和消費者信任。透過優先考慮教育、培訓和準備，您的企業可以保持網路安全。