果核積極拓展經銷通路,共創 SPKITA 社交工程演練生態系
據統計,2023 年第三季全球釣魚事件數量 4,932 億起,較第二季 1.804 億成長 173% ,增幅甚高。顯示存在世間已久的釣魚攻擊,絲毫未見緩解跡象,成為備受駭客青睞的攻擊途徑,更是重創企業營運持續性的頭號大敵。
果核數位副總經理張懿慶表示,依照果核資安顧問團隊協助客戶處理資安事件的經驗,綜觀當前駭客入侵樣態,社交工程攻擊佔比高達 9 成,釣魚攻擊尤其是箇中最大宗。主要是因為,社交工程攻擊門檻低、效果大;駭客只需送出釣魚郵件,總有缺乏資安意識的企業員工被騙上當,一旦有人誤點或亂連駭客製作的誘餌,馬上形成破口,讓駭客輕鬆突穿企業資安防禦工事。「若員工的資安意識不足,企業就算花再多錢佈建防護系統,仍可能釀成資安危機!」張懿慶強調,既然提升資安意識十分重要與迫切,果核便投注研發能量,悉心打造 SPKITA Socal Engineering 平台,期望透過 SaaS 訂閱模式,協助廣大的小型與微型企業,能藉由較低進入門檻、合理財務負擔來執行社交工程演練。值得一提,果核為促進 SPKITA 廣泛使用,未將重點擺在直客行銷,而是積極建立 SPKITA 生態系,爭取大型經銷商、產業公會、供應鏈上游、電腦公司共襄盛舉,一起扮演「中間服務商」角色,幫助小微企業形塑安全文化。
免費試用: https://se.spkita.com/
標榜操作簡單,讓小微企業輕易上手
談及許多企業之所以無法有效防範釣魚攻擊,果核數位產品經理林宥瑩解釋,係因駭客善於利用更先進技術或更精巧策略,使攻擊手法不斷精進,增加受害者的信任感所致。追根究底,眾多小微企業未曾接受過真正的資安教育訓練,以致資安意識不足,面對釣魚攻擊自然沒有抵抗力。她進一步指出,因實施釣魚演練模擬演練的成本高,小微企業礙於人力、財力與技能相對匱乏,所以長期欠缺參與訓練、強化意識的機會,故身陷惡性循環。果核數位研發長陳鵬光補充說,由於有大批潛在受害者一直存在,導致社交工程攻擊歷久不衰,成為駭客心目中最有效的攻擊手段;當務之急,唯有廣泛提高小微企業的安全意識,才有望遏止釣魚攻擊者的猖狂氣焰,驅使果核決定開發 SPKITA 平台。
藉由平台來執行社交工程演練,可幫助員工更熟悉被攻擊的過程,得以加強反應能力,知道今後萬一收到什麼樣的信件,就該利用什麼樣流程進行反應與回報,或對可疑寄件者 Domain 來源再三驗證。而企業亦可以從中察覺資安漏洞,藉此改善安全措施或修正防範策略,建立更完善安全文化,提升員工的安全素養。回過頭來說明從前實施演練的困難性。在發動演練前,企業需要花時間進行專案規劃,接著建立環境、開發釣魚工具。所謂的釣魚工具,意指企業須動員具駭客思維的好手,著手製作假域名、假信件,此事具有一定的專業度,小微企業當然缺乏這樣的能力。反觀 SPKITA 的核心價值,即是將駭客思維變成 SaaS 平台化,使用者只要完成註冊登入,便能直接啟用,利用平台上預置的完整資源來執行演練,完全不需要由駭客級高手來操盤,使進入門檻急遽降低,因而能讓小微企業開始能夠參與資安訓練。
具體來說,SPKITA 最大優勢在於操作簡單,非資安人員也可執行;企業先設定任務名稱後,再選擇受測者、選擇範本(平台提供大量演練範本,但經銷商或客戶亦可自訂範本)、設定演練時間、發送信件,即可執行演練,最終產出結果報告,讓管理者針對不同單位、範本、點擊行為進行數據分析和比較。值得留意的,SPKITA 的範本堪稱完整,可廣泛涵蓋多國語系、多種攻擊行為、多種主題內容、不同難易度等豐富選項。
免費試用: https://se.spkita.com/
釣魚演練+教育訓練,為服務商創造新收益
至於要讓小微企業廣為周知有這樣的平台可以使用,張懿慶認為,關鍵就在長期提供小微企業資訊委外服務的電腦公司,他們正是果核 SPKITA 的最主要 TA。假使電腦公司加入 SPKITA 推廣行列,日後可向客戶說明,只要在原定一年維護費外增加若干金額,就能協助其做好演練、提升資安能量。張懿慶指出,果核基於原廠立場,當然期望 SPKITA 平台受到廣泛採用;假使延攬 100 家中間服務商,而服務商又各自掌握 100、200 或 300 家客戶,就能快速發揮 1 萬家、2 萬家、3 萬家⋯等等擴散效果。他也強調,演練後的教育訓練至關重要,意即唯有演練結合教育訓練,才是完整配套;所以今後果核資安顧問團隊會協助經銷商培養講師,讓夥伴有能力為客戶提供教育訓練服務,順勢創造新的營收來源。按果核規劃,SPKITA 的目標市場除小微企業外,還包含中型製造業、小型政府機關,因此擅長經營這些客群的服務商,都是果核爭取合作的對象。
最後陳鵬光分享 SPKITA 命名的由來,它取材自原住民語泰雅族,為「大家聚在一起」之意,也蘊藏大家一起提供服務的動機。總體而言,SPKITA 生態系涵蓋 A、B、C、D 四種角色。A 為原廠、也就是果核,B 是大型經銷商、電腦公會或供應鏈上游,C 是小型服務商,D 是受測客戶。果核希冀藉由四種角色彼此合作,讓所有員工意識到資安重要性,並積極參與安全防護,大幅降低所有組織被社交工程攻擊成功的機會。為求提升品牌能見度,果核特別提供試用方案,凡註冊為 SPKITA 會員者,可免費使用一個月。此後可選擇升級 Standard 或 Enterprise 版本,依每封信件 NT79/NT99 計價基礎,彈性選擇購買封數,定期實施演練。
免費試用: https://se.spkita.com/
iThmoe 原文報導: https://www.ithome.com.tw/pr/165086