全方位資安意識培訓平台,整合釣魚演練與教育訓練,有效洞察企業內部人因資安風險,強化企業資安警覺性!

駭客攻擊全面襲來,根據統計台灣政府單位與企業每天總計遭受到12億次的駭客攻擊,在2017年因資安攻擊事件造成的經濟成本損失,高達新台幣8100億,相當於台灣GDP總值的5%,主要的原因就是企業員工資安意識不足。根據媒體報導,企業認為超過五成的資安風險來源是來自於員工的疏忽丶欠缺資安意識,進而提高企業遭駭的危險,台灣資安意識排名更是連續3年都全球倒數第一,企業應如何改善員工資安意識與作業行為,避免引發重大的資安危機、造成無法彌補的後果?

HEIS(Human Error Insight System)資安意識人因分析系統為精誠集團在全球資安市場重要的代表性方案,具備了以駭客思維為設計基礎的釣魚郵件與假網站範本,提供高彈性化社交工程演練的任務設定,以及完善的資安意識培訓課程、資安宣導測驗等,協助企業加速提升員工的資安意識,讓企業於日常工作中融入資安文化,為企業建立最後一道資安防線。曾協助某企業單位導入服務,使員工對於未知的郵件點擊率從56%降低到37%,並對於非工作與假域名等信件,多了一份提防心態。

優勢及功能

【產品優勢】

HEIS資安意識人因分析系統,建構全方位的社交工程演練與資安教育訓練,有效平衡IT單位的投入資源,快速且清楚掌握內部受測員工的人因意識風險,降低單位人員因資安意識不足遭駭的風險機會。

即時任務演練儀表板
彈性化釣魚演練設定
顧問級演練任務報告
【功能特點】
視覺化動態介面

即時呈現釣魚郵件演練狀態與受測者回應數據,透過視覺化介面與互動式圖表,讓 IT人員快速掌握演練狀態與任務進度。

自定義群組設定

彈性化編輯受測人員群組清單與欄位,並依照公司員工資料新增個人資料欄位,例如生日、性別丶年齡、星座等等。

彈性化演練規則

依據釣魚演練的目的與組織型態,彈性化設定寄件時間、寄件頻率、寄件方式與釣魚郵件範本,模擬不同情境下的演練狀況,產出多樣性的演練行為結果。

客製化郵件範本

資安管理者可透過系統內建的郵件與網站編輯器,快速設計範本內文、上傳圖片、嵌入連結,彈性調整字體、圖文、大小及顏色以及寄件者信箱,可輕鬆模擬駭客情境進行BEC變臉詐騙。

顧問級演練報告

與國內資深資安顧問及專家學者合作設計報告範本,依照演練的結果不同,產出高度專業性的中英文顧問報告,可滿足各級政府單位、企業內外稽核需求。

導入效益】
培養企業員工長期養成完善的資安意識與觀念

在資訊安全防護網中,人是最薄弱的環節,駭客利用人的感知行為弱點進行攻擊。因此,企業應該超前思考,避免在資安防護產生失衡,過度仰賴引進資安技術 工具,卻遺漏了企業員工資安意識提升。HEIS資安意識人因分析系統可透過有計畫性的釣魚演練與資安訓練課程,建立企業長期培養員工資安意識的學習階梯,協助企業強化整體資安防禦能力。

減少IT單位社交演練作業負擔

過往IT人員必須花費大量的時間成本,在沒有自動化系統的幫助下,採人工的方式來逐步計畫與執行社交工程演練任務,譬如:(1)演練範本客製化設計 (2)執行演練任務過程的作業監督 (3)演練完成後受測者回應資料收集與整理 (4)演練任務報告製作。多項非自動化的演練過程,皆大大影響到企業資安與IT單位運作的人力資源。

HEIS資安意識人因分析系統提供最佳化的社交工程演練實務體驗,了解企業與資安管理人員的需求與期待,以輕鬆的自動化詢答式步驟,即可導引完成演練任務設定,並在任務完成後一鍵式快速產出顧問級中英文報告。

與國際資安框架與規範接軌

HEIS與國際資安框架接軌,協助企業與資安合規看齊。

  • 中華民圈個人資料保護法施行細則-第12條之七:單位需進行認知直導及教育訓練。
  • 中華民國資通安全法資通安全事件通報及應變辦法第四章-第18條:各機關每年辦理1次通報演練及 2次電子郵件社交工程演練
  • NIST-PR.AT(Awareness and Training)-1: All users are informed and trained
  • CIS CSC (Critical Security Control)#l7 : Implement a Security Awareness and Training Program
  • ISA 99 /IEC 62443-2-1:2009 3.2.4.2 : Element group : Security policy, organization and awareness
  • ISO/IEC 27001:2013 A.7.2.2 (Information Security Awareness, Education & Training): All employees and relevant contractors must receive appropriate awareness education and training to do their job well and securely

成功案例

2021年台灣疫情爆發時,台灣某跨建築、飯店、商場的上市集團的MIS發現駭客攻擊事件突增,大量釣魚郵件利用疫苗與紓困金等名義發送到企業內部,且許多郵件都是利用合法且知名的郵件代管系統轉寄,成功地繞過了垃圾郵件系統的檢查機制,導致最後判斷威脅與否的決定權在於員工本身。
該客戶立刻與精誠HEIS團隊討論,進行社交工程演練的施作與培訓。由於HEIS系統採取雲端訂閱模式,企業IT不須自建環境,即可彈性自定義受測人員群組以及演練規則,進而協助企業模擬不同情境下的演練狀況,產出多樣性的演練行為結果,此外IT也可以透過系統內建的郵件與網站編輯器,輕鬆模擬駭客攻擊情境進行BEC變臉詐騙,最終在疫情期間,精誠團隊與該客戶透過遠端協作方式,就成功執行了多場社交工程演練,幫助員工提升判斷能力,並能主動回報IT假郵件訊息,成功抵禦駭客入侵。

  • 業務聯絡窗口

智慧資安股份有限公司
吳建和
Tel:02-87986088 ext.1167
Email:fosterw@unixecure.com.tw