CISO應如何主導網絡釣魚防護？

2025-12-17 benny

網路釣魚每年為全球企業帶來超過港幣3,800億元損失，影響不容忽視。資訊安全總監 (CISO) 必需採取全新思維及策略應對多通道攻擊手法，當中包括打撃網絡釣魚。

網絡釣魚策略不斷進化

網絡釣魚電郵已今非昔比，不僅數量更多，而且內容更具說服力。現今黑客的攻擊手段層出不窮，手機簡訊、語音通話、二維碼或社交媒體紛紛成為他們的攻擊工具，標誌著網絡犯罪的新紀元。面對日益複雜的威脅，CISO需要從以下三大範疇深入了解黑客在新時代的攻擊模式，以制定更全面的防禦策略。

一、AI 網絡釣魚
AI的迅速發展讓網絡釣魚攻擊愈來愈難以識別。透過生成式及自主式AI工具，黑客可以製作針對特定群體或個人的網絡釣魚訊息。AI深度偽造及語音合成等已成為現代黑客的重要工具，用於製作極其逼真的影片及語音內容。

二、社交工程
黑客善於操控情緒，他們通常會利用受害者恐懼、內疚或興奮等情緒，誘使他們採取預設行動，亦會利用人們對知名企業、管理層，甚至僅屬點頭之交者的信任，進一步加強攻擊的可信度。黑客深知員工在忙碌時更容易犯錯，因此更頻繁針對公司最繁忙的時段如假期季節、納稅時間、會計年度結算期等，發動網絡釣魚攻擊。

三、資訊收集
今時今日的黑客不再僅以謀財目的而進行網絡釣魚，他們也會利用網絡釣魚來獲取資訊。IBM一項報告指出，透過網絡釣魚電郵傳送的資訊竊取程式數量在2024年至2025年期間大增84%。

黑客使用網絡釣魚收集帳戶和密碼等登入資料後，可能出售資訊以獲利，又或滲透網絡進行間諜活動，甚至是發動更大規模、更隱蔽的攻擊。去年曾有俄羅斯支援的黑客組織發動網絡釣魚攻擊以獲取美國政府的敏感資訊。

讓員工安心舉報網絡釣魚行為

隨著黑客攻擊手段不斷進化，CISO的思維亦需與時並進，除技術專長外，他們亦需重視人際溝通與領導技巧。透過營造開放、非懲罰性的工作環境，員工能安心舉報網絡釣魚行為；運用領導能力建立安全優先的文化；以批判性思維協助員工識別攻擊最可能發生的位置及黑客最有可能使用的策略；並透過清晰溝通與合作，教育員工非常規網絡釣魚手法的應對策略，並鼓勵員工參與企業的防禦行動。

然而，僅僅改變思維並不足以應對不斷變化的網絡攻擊環境。CISO需改變策略，確保黑客無論採用哪種渠道或模式發動攻擊，企業都能因時制宜，以新方法防範網絡釣魚。同時亦需培養有助識別潛在威脅的新技能與視角，加強企業抵禦威脅的能力。

企業可以運用以下三個方法在應對多通道網絡釣魚時取得最大成效：

一、自動化：採用AI安全工具

運用 AI擴大攻擊規模和提升精密程度並非黑客的專利，企業也可以透過類似方式部署 AI，用於防範攻擊。

部分大型語言模型 (LLM) 能偵測電郵、簡訊、社交媒體帖文和其他論壇上的網絡釣魚跡象，它們可以透過自然語言處理 (NLP) 分析文字訊息是否存在可疑句子和其他警號，並在偵測到可疑威脅時自動發出警示。亦有其他大型語言模型能尋找異常情況或使用電腦視覺偵測可疑影像。

若CISO計劃使用AI安全工具，其企業解決方案應具備以下數項防範網絡釣魚的主要功能：

情緒及對話分析：使用自然語言處理自動偵測文字信息中的潛在威脅。
適應性驗證：根據高風險使用者行為調整驗證要求。
自動化回應：偵測並自動隔離可疑郵件或裝置。
威脅情報：將網絡釣魚指標與當前威脅資訊互相比對，盡早識別攻擊。

二、實時威脅分析：阻隔潛在風險

實時威脅分析是AI安全工具的其中一項重要功能，助企業迅速識別並遏制威脅。企業能夠實時監察的網絡釣魚指標包括：

可疑的寄件者行為：偽造網域、極為相似的電郵地址，以及突然嘗試聯絡眾多員工的新寄件者。
可疑的網址和網域：聲譽不佳的網址、來歷不明的連結、重新導向連結以及要求輸入個人資料的認證頁面。
惡意附件：包括含有巨集、可執行檔案，以及混淆指令碼的檔案。
使用者的高風險行為：點擊來歷不明的連結、從可疑來源下載檔案，以及在異常地點或時間登入。

三、培訓：提高安全意識

網絡釣魚詐騙往往針對人類行為及錯誤，因此，企業應提供相應培訓，協助員工識別不同攻擊手段中的網絡釣魚跡象，以有效遏制威脅。企業應參照以下實踐方法設計防網絡釣魚培訓課程：

每年一次合規培訓並不足以應對不斷變化的網絡釣魚威脅，因此企業必需頻繁且持續地提供培訓，以確保員工掌握最新及最準確的資訊。
員工工作繁忙，且網絡釣魚手法複雜。為避免員工分心，培訓課程應簡短易懂、重點明確，提升學習效率與參與度。
企業應注重情境式學習，讓員工更容易掌握並應用所學，企業可在培訓模擬真實釣魚攻擊場景，並在員工遭受模擬攻擊時提供即時回饋。
培訓應涵蓋全體員工，包括高級主管及管理層。他們容易成為黑客的主要目標，卻往往缺乏網絡安全培訓。
企業應持續追蹤培訓進度如點擊率、舉報率及回應時間，助其識別並改善不足之處，同時獎勵員工，鼓勵他們不斷進步。

保持韌性時刻警惕

網絡釣魚可謂「歷久不衰」的詐騙伎倆，即使科技不斷進步，網絡犯罪分子沿用這個方法，屢試不爽。除了電郵，現今的黑客也利用簡訊和視訊會議等新興手段，進一步提高網絡釣魚的成功率。面對多樣代攻擊手段，企業應以零信任安全模式，將防護範圍擴展至各類新型網絡釣魚攻擊手段。透過了解網絡釣魚攻擊在不同平台和應用程式上的運作方式， CISO及其網絡安全團隊可以針對潛在漏洞設計相應防禦機制，避免企業成為潛在安全風險。