員工無視網路安全威脅,上班時間照逛成人網站、下載 Apps

作者 | 發布日期 2015 年 06 月 10 日 14:45 | 分類 市場動態 , 網路 , 資訊安全 line share follow us in feedly line share
員工無視網路安全威脅,上班時間照逛成人網站、下載 Apps


企業資安防護技術全球領導廠商 Blue Coat 公布一份針對全球 11 個國家 1,580 位企業員工所做的調查研究報告,結果發現一個相當值得注意的全球趨勢:企業員工在工作時對於網路安全常常視而不見,普遍都會在上班時造訪不當的網站,儘管他們知道這麼做會對公司可能會帶來資安風險。

Blue Coat 的這項研究是委由獨立研究公司 Vanson Bourne 所執行,結果發現,雖然員工知道工作場所中所面對的網路威脅日益嚴重,但他們的實際行為卻完全不是那麼一回事。而且,這些危險行為還可能使得公司機密和個人資料被攻擊者所竊取,不論是一竊取就馬上轉售,或是先儲存做為未來使用,還是賣到專門交易全球受害企業及個人身份等資料的地下市場,也就是炙手可熱的黑市等,都有可能會發生。

網路釣魚(phishing)是網路威脅的主要來源之一,網路罪犯一直持續針對員工的社交基本資料進行密集的研究,以找出能夠用來攻擊企業組織的資訊。例如,攻擊者可能利用社交媒體的檔案資料中所得到的資訊,鎖定某大型企業的 IT 管理員仿造一份個人化的電子郵件,或假冒他的母校或最愛的運動團隊名義等等,然後在電子郵件中夾帶惡意程式,一旦收件者點選文件中的連結就會下載到個人裝置上。

色情內容一直都是隱藏惡意程式或是惡意內容的最熱門管道之一,就算知道成人網站內容的高危險性,員工還是照樣去逛這些可能很危險的網站。Blue Coat 研究調查發現,有 19% 的大中華區員工會在工作時使用工作裝置觀看成人網站內容,成為全球比率最高的地區,其次是墨西哥的 10%,以及英國的 9%。

 

調查結果重點摘要

在這項全球性的調查中發現,多數的參與調查者承認他們知道那些基本的網路威脅,像是不要下載來自不明寄件者的電子郵件附檔,或是使用社交媒體及公司企業網路所不允許和未經核可 Apps;但即使知道這些風險,但還是未能阻止他們去嘗試。

其他發現還有:

  • 全球的受訪者中有 66% 認為,未經 IT 部門同意而使用新的應用程式會對企業帶來很嚴重的網路安全問題,但仍有 26% 承認,他們還是照做不誤。
  • 在新加坡,有 37% 受訪者在未經 IT 同意下使用新的應用程式,相較之下這個數字在大中華區和韓國為 22%,在澳洲只有 14%。
  • 一些基本的危險行為還是發生在工作場合,例如開啟來路不明的電子郵件,在大中華區幾近三分之一員工(29%)會開啟來路不明郵件中的附檔,儘管有將近四分之三(72%)認為這是危險的行為。而在韓國雖然對這個行為的危險性感覺較低(63%),但會去開啟未經授權的電子郵件的比率也少了很多(11%)。
  • 全球有大約五分之二的員工(41%)上班時以個人原因使用社交網站,這對於企業來說是一個嚴重的威脅,因為網路罪犯會將惡意程式隱藏在短網址的連結裡,並利用加密流量的盲點來傳遞惡意程式的有效承載(payloads)。
  • 相較於全球 6% 的受訪者會利用工作裝置觀看成人內容,在大中華區則有近五分之一的比率(19%),而新加坡和澳洲則分別只有 5% 和 2%。
新聞稿

「這份研究發現員工在資安認知與實際行為上的知行不合一,很值得全世界的企業憂心。儘管 IT 專業人員們努力要防止網路攻擊的發生,但是同事們的行為不只傷害到員工自身的網路安全,而且最終還影響到工作。」 Blue Coat 首席技術長 Hugh Thompson 表示。「IT 的消費者化以及社交媒體潮流對於企業來說是喜憂參半,禁止員工使用消費者裝置以及社交媒體已經不合時宜,因此企業必須找出一方面能夠支援這些技術,另一方面又可以減輕相關安全風險的兩全其美的方法。」

(首圖來源:Flickr/United States Mission Geneva CC BY 2.0)