專案團隊面對社交工程的防禦心法
2024/6/1 作家:專案經理雜誌
2847
文/鄭惠如(RuRu Cheng), CC, CSM
鄭惠如
簡介
目前擔任上市櫃半導體產業財務暨人資主管,於2022年榮獲PMI-TW專案管理大獎(PTGA)傑出專案領袖獎,並擔任專案管理大獎副主委。2024年獲選為台灣僅10位左右的AWS Community Builder。其跨領域專業表現卓越,亦擔任台灣敏捷部落(TAT) Agile HR社長、ISC2 Taipei Chapter媒體公關委員以及DevSecOps Taiwan執行顧問,致力於敏捷、專案管理和資安知識推廣,並透過建立專業社群促進學習與成長。
隱形的駭客:社交工程
在資訊充斥的時代裡,社交工程(Social Engineering)成了隱形的駭客,巧妙地在我們的日常生活中遊走。你會驚訝地發現,與其說是技術漏洞,不如說是我們對身邊人的信任成了資安軟肋。那些熟悉的面孔,比如:日常接觸的同事,甚至我們自己,都可能在不經意間成為洩露資訊的源頭。
這些隱形的駭客擅長利用我們的好心、信任,甚至是小疏忽來進行攻擊。他們不需要破壞任何技術防護,僅僅是透過一句話、一封郵件或一通電話,就可能讓我們毫無戒心地打開心防,透露出重要的資訊。
他們的偽裝技巧高超,能夠化身為任何角色,從新同事到求助的客戶,甚至是公司高層。透過精心設計的互動,逐漸建立起信任,最終達到他們的目的—獲取敏感資訊。這場社交工程滲透戰,常常發生在我們最不警惕的時刻,就像日常生活中不經意間遇到的間諜一樣。不需要任何高超的駭客技巧,因為他們已經潛入我們的信任圈。
社交工程在專案過程中的風險
在專案各個階段,從規劃到執行,甚至在專案驗收,社交工程的威脅都可能悄悄伸向毫無防備的團隊,在專案執行的過程中,常常需要與內外部團隊、廠商與合作夥伴密切地溝通與協作,正是這些看似平凡的互動,有時會成為社交工程的跳板。
在需求蒐集過程中,有個可能發生的典型例子。假設有一位「客戶代表」透過電話或電子郵件與PM接觸,要求提供關於專案需求的「重要資訊」。在這種情況下,如果PM未能妥善驗證對方的身分,就可能無意中向冒牌的「客戶代表」透露關鍵的專案細節。這種資訊洩露不僅可能對專案造成嚴重影響,還會使整個組織面臨風險。
另一個案例,在專案執行期間,一位自稱是新上任的IT人員出現,要求獲得存取系統的權限,以進行「必要的維護工作」。如果團隊成員未經嚴格的身分核對程序,就輕信這位所謂的IT人員,那麼敏感的專案資料很可能就會落入惡意人員手中。
還有一種情境也很常發生,在商業分析階段有時會尋求專家意見,找外部顧問來進行專案效益分析。如果這位「顧問」的背景未經嚴格審查,那麼專案團隊可能就會將寶貴的專案資料交到不肖人士手中。
不論是在專案的哪個階段,社交工程都是一個不容忽視的威脅。透過資安政策、資安意識與教育訓練,專案團隊可以學習到如何辨識,並防範這些有跡可循的攻擊者,從而保護專案和組織的利益不受損害。識別這些風險並不容易,但透過提高警覺性和實施嚴格的身分驗證流程,專案團隊可以大幅地降低這些風險。
團隊沒有內賊,資訊還是洩露出去了?
除了刻意偽裝取得信任以竊取資訊外,資訊還會透過什麼方式洩漏出去呢?
以下場景你可能會有點熟悉,團隊成員在餐廳、電梯或便利商店無意間提到了即將發布的產品,或者討論到這個產品的Bug解不掉,公司訂單狀況如何等。雖然這些對話看似無害,但如果有心人士在場,這些敏感資訊很可能會被記錄下來並用於非法目的。這種看似日常的交流,實際上很有可能會對組織造成無法估計的損失。
此外,在人人都是自媒體的時代,分享成了一種習慣,當員工在線上分享工作相關的照片或訊息時,也可能會不經意地洩露商業機密。即使是一張辦公室的隨手拍或是會議的照片,也可能無意中洩露重要的策略文件或螢幕上的敏感資料。
為了解決這些問題,組織需要培養安全的警覺思維。包括定期的資安訓練、明確的溝通指引和嚴格的資訊分類制度。只有每一位員工都意識到自己在保護組織資產中扮演的角色時,才能真正地將社交工程風險降到最低。
專案團隊的社交工程防護策略
在資安即國安的時代,我們每個人都可能成為社交工程攻擊的目標。不論是在工作還是日常生活中,資訊安全是每個人的責任。以下提供一些簡單且實用的方法,可以幫助我們抵禦這些看似無形,卻極具威脅的攻擊:
1.確定身分:收到來自「熟人」的突然請求時,不要急於回應,先確認身分。
2.保護資訊:工作和個人資料不要輕易提供給他人,必須提供時也應適當地遮蔽機敏資訊。
3.小心分享:社交媒體上談論工作時要格外謹慎,避免透露可能被濫用的資訊。
4.心理警覺:對可疑行為,保持警惕、不輕信。
5.常識運用:日常安全知識時刻更新,防範未然。
6.檢查隱私:定期檢視各平台的隱私與安全設定。
結語
在面對不斷變化的資訊安全挑戰時,專案管理與資安防護之間的緊密結合變得尤為重要。安全意識的培養應該成為組織文化的核心。這意味著資訊安全不僅僅是IT部門的責任,更是每一位員工的共同責任。透過定期資安意識訓練,員工可以學習到辨識和應對社交工程的技巧,如:釣魚郵件、假冒電話等。也可分享真實的安全事件案例,讓員工更有感觸地理解資安的重要性。
此外,鼓勵開放和透明的溝通對於建立安全文化也非常重要。員工應被鼓勵在遇到任何可疑的行為或請求時進行回報,而不因為害怕受到懲罰而保持沉默。透過建立一個完善的回報機制,讓員工可以在不必擔心負面後果的情況下報告安全事件,共同維護組織的安全環境。
《專案經理》雜誌是華人最有影響力專案管理雜誌,宗旨為擴大專案管理應用傳播。
邀您一同為深耕專案管理努力,您的參與,相信能為您的產品/服務,擴展商機, 無形中,也為專案經理雜誌的永續經營注入契機。
您可能也喜歡這些文章