如同居家保全的標準來守護企業：抵禦網路犯罪的 5 大步驟

—Microsoft 副主席暨總裁 Brad Smith

為了推行「網路安全認知月」，在 2022 年 10 月的小型企業網路高峰會 (Small Business Cyber Summit) 開幕典禮上，Microsoft 總裁 Brad Smith 與美國小型企業署 (SBA) 署長 Isabella Casillas Guzman 共同進行了一場座談會 (英文)。雙方探討了中小企業 (SMB) 可透過哪些方式，在有限預算下強化其網路安全能力。為了達成上述目標，在此邀請各位參加免費的資安評估諮詢，以了解您的企業該如何提高防護能力。另外，本篇部落格文章也將提供五項簡單行動，以協助任何企業立即抵禦網路攻擊。

1.全天候監控所有大小事

與 Guzman 署長對談期間，Brad Smith 曾強調邁向雲端架構的資安將如何消弭防護機制的相關疑慮，進而為您的企業帶來優勢。Brad Smith 解釋：「如果每個人各自在自家牆內的專屬硬體上執行軟體，即表示他們都得一手包辦維護該硬體的相關事宜。相較之下，只要邁向雲端，我們就會負責達成此一使命。」

目前，Microsoft Cloud 每天會追蹤和分析 65 兆筆威脅訊號²。當中涵蓋 35 個勒索軟體系列，以及超過 250 個民族國家、網路罪犯，以及其他威脅製造者。此一廣大且深入的保護機制已內建於 Microsoft 365 商務進階版中，可提供企業級的保護措施，以抵禦病毒、垃圾郵件、不安全的附件、可疑連結，以及網路釣魚攻擊。此外，您也可以在裝置中享有不間斷的勒索軟體和惡意程式碼攻擊保護，以及內建的防毒軟體和端點偵測與回應功能。如此一來，您就能專心帶領企業邁向成功，而無需分神追查網路威脅。

2.更新防護機制

住家附近的闖空門案例，往往會促使我們採取必要的行動，像是替換老舊的鎖鑰，或是增設一盞 (或兩盞) 保全燈。同樣地，協助您的企業抵禦網路攻擊，也始於一個簡單的步驟，也就是更新現有系統。Microsoft 和其他技術公司會於星期二修補程式日 (每個月第二個星期二的太平洋時間上午 10:00 起) 發布更新。Brad Smith 強調：「這些 [更新] 內容皆免費提供。不過，請確認您的電腦已妥善設定，才能進行下載。而這正是人們守護自身安全的關鍵措施之一。」

此外，請確認您的企業有維護最新的 IT 詳細目錄。隨著遠端和混合式工作型態崛起，由員工攜帶自己的裝置 (又稱為「BYOD」) 也成為相當普遍的現象。使用的裝置越多 (尤其是在家庭網路中)，端點和潛在資訊安全風險也會隨之增加，進而擴大受攻擊面。適用於企業的 Defender 會隨同 Microsoft 365 商務進階版提供，當中內建威脅和資訊安全風險管理功能，可讓您透過單一工具保護多個裝置。

企業能透過定期的資料備份來進一步保護自身安全。2021 年的勒索軟體攻擊數量增加多達 300%³。勒索軟體即服務 (RaaS) 的出現，可看出不法人士正信心十足地比照合法業務，將自身作為予以商業化⁴。不過，只要定期建立重要檔案的備份複本，即可破解以您企業資料為目標的勒索軟體攻擊。根據固定的時間表自動進行備份，可望協助您的企業充分運用有限的資源，同時避免潛在的人為錯誤。

3.妥善保管您的金鑰

許多人都會將家裡的備用鑰匙藏在石頭或盆栽下方，但大家都會避免直接將鑰匙藏在門口地墊下方。密碼也面臨相同的問題：如果模式過於簡單，就會被有心人士識破。署長 Guzman 表示：「密碼不應使用 ABC123。」但近期的調查結果顯示，在現行最常見的密碼清單中，「password」和「Qwerty」分別位居第一名和第二名⁵。現今每個網路罪犯的工具套件中，皆含有「密碼噴灑」類型的暴力破解攻擊手法⁶。簡單來說，攻擊者會取得帳戶清單，並對其執行一長串的常見密碼，以試圖找出相符密碼。由於多數企業都備有員工命名標準 (例如：名字.姓氏@公司.com)，惡意人士往往只需使用您網站上提供的資訊，就能達到一半目的。

Microsoft Edge 等熱門網際網路瀏覽器皆有隨附內建的密碼產生器，可為您建立並記住安全的密碼。或者，您的企業也能選用 Windows Hello 或 FIDO2 資安金鑰等解決方案，讓使用者使用生物識別技術、實體金鑰或裝置來登入，繼而完全捨棄密碼。如果無法導入無密碼模式，多重要素驗證 (又稱為「雙重要素驗證」) 則是為自身企業產生安全存取的最佳方法。多重要素驗證會要求使用者透過一項額外要素 (例如經由電子郵件或簡訊傳送的單次密碼 (OTP))，驗證其身分。額外的驗證要素則包括回答個人資安問題，或是使用臉部或語音辨識。

4.不要來者不拒地敞開大門

在不清楚門外為何方神聖的情況下貿然開門，為相當不明智的舉動；正因如此，視訊對講機才會如此熱門。基於相同原因，每家企業都應掌握不法人士試圖用來入侵企業的最新網路釣魚詐騙和社交工程詐騙手法。惡意程式碼 (22%) 和網路釣魚 (20%) 依舊蟬聯 2022 年常見網路攻擊手段的冠亞軍⁷。威脅製造者紛紛發現人為因素為最弱的環節 (85% 的現行外洩皆涉及人為要素)，且正大幅提高攻擊的頻率和縝密度⁸。不過，多數網路釣魚電子郵件仍仰賴著人人都能識破的「上鉤伎倆」，例如：

• 要求提供使用者認證或附款資訊：請絕對不要按下連結，並直接於瀏覽器中輸入該企業的 URL，然後前往您的帳戶。
• 陌生的語氣或問候語：網路釣魚電子郵件通常會於境外編寫，因此，請留意非比尋常的語法，或是過度正式、過度親暱或兩者兼具的語氣。
• 文法和拼字錯誤：合法企業會於傳送電子郵件之前，花時間校對當中的內容。
• 不一致的電子郵件地址或「看起來很像」的網域名稱：通常，網路釣魚電子郵件的地址或網域會稍有不同 (例如：使用com，而非 microsoft.com)。
• 威脅或急迫性：詐騙者經常試圖使用以下標題嚇唬您，以誘導您按下連結：「請立即更新您的帳戶資訊，否則將無法進行存取！」如有疑問，請直接於瀏覽器中輸入 URL 並前往網站。
• 不請自來的附件：如果您並未準備收到該寄件者的電子郵件，請不要按下附件，並改為開啟新的郵件 (而非回覆先前的郵件)，以詢問稍早的電子郵件和附件是否為真。

如果您收到網路釣魚電子郵件 (每個人都會收到)，請記得回報。請在 Microsoft Outlook 商務版中選取可疑郵件，然後選擇頂端功能區中的 [回報]，再選取 [網路釣魚]。此舉將自您的收件匣移除該郵件，並協助我們封鎖更多可疑的電子郵件。適用於企業的 Defender 和 Microsoft Defender for Office 365 方案 1 皆有提供抵禦進階網路釣魚、惡意程式碼、詐騙和商務電子郵件入侵的機制⁹。兩者都隨附內建原則來協助您快速上手，包括適用於 Windows 裝置、伺服器和應用程式，且採精靈架構的簡化上線功能¹⁰。

5.掌握防範入侵的相關知識

通常，當地員警和鄰里守望相助團體會彼此合作，以協助住戶了解什麼是闖空門，以及如何守護家園。無論您的企業為何種規模，都可取得適用的網路安全資源¹¹。SBA 提供了抵禦網路攻擊的最佳做法¹²，當中包括網路資安規劃工具¹³，以及適用於您所在區域的虛擬和面對面網路資安活動¹⁴。即使您的公司為一人公司，也不應將網路資安訓練視為一次性工作。鑑於威脅製造者會持續學習並更新其技巧，我們也該亦步亦趨加以防堵。

適用於中小企業的 Microsoft 虛擬資安訓練和 Microsoft 小型企業資源中心可協助中小企業運用知識來確保自身安全，進而抵禦網路釣魚攻擊、保護遠端裝置，並防範盜用身分。此外，我們的中小企業資安訓練也會提供在現地工作和在家工作期間確保安全的策略，包括如何更安全地與同事協同合作。如同 Brad Smith 在與 Guzman 署長進行的對談中所提到：「[網路資安] 就好比安全帶一樣：大家都知道它能確保生命安全，但若棄之不用，則一切免談。」

Microsoft 可在此提供協助

一言以蔽之，Brad Smith 在這場中小企業座談會所表達的主旨，在於：Microsoft 可化身您的強力後盾。小型企業構成 99% 以上的美國經濟，正因如此，我們將與您站在同一陣線¹⁵。請務必善加利用 Microsoft 的免費資安諮詢，能針對您環境中的資訊安全風險，提供可行的資料導向深入解析。

如需深入了解符合成本效益且易於使用的解決方案，歡迎造訪中小企業的資安並探索 Microsoft 365 商務進階版訂閱如何提供專為中小企業 (最多 300 名使用者) 最佳化的完整資安，或取得Microsoft Defender for Business，以做為獨立的裝置資安解決方案。兩款解決方案都能整合 Microsoft 365 Lighthouse；如此一來，Microsoft 雲端解決方案提供者 (CSP) 合作夥伴就能透過整合式入口網站，輕鬆檢視不同租用戶的資安事件。無論您有多少預算，或懷抱著何種願景，我們都會在此協助您無所畏懼地向前邁進。

如需深入了解 Microsoft 資安解決方案，請前往我們的網站。歡迎將資安部落格 (英文) 加入書籤中，一手掌握 Microsoft 專家所提供的資安建議。此外，也請透過 @MSFTSecurity 關注我們，以獲得網路安全的最新消息和更新資訊。

¹    為何小型企業容易受到網路攻擊 (Why small businesses are vulnerable to cyberattacks) (英文)，Linda Comerford，2022 年 5 月 25 日。

²    網路訊號：抵禦新的勒索軟體現況 (Cyber Signals: Defend against the new ransomware landscape) (英文)，Microsoft，2022 年 8 月 22 日。

³    美國國土安全部警告勒索軟體正大行其道，而中小型企業也淪為攻擊目標 (DHS secretary warns ransomware attacks on the rise, targets include small businesses) (英文)，Luke Barr，2021 年 5 月 6 日。

⁴    勒索軟體即服務：了解網路犯罪零工經濟和如何確保自身安全 (Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself) (英文)，Microsoft，2022 年 5 月 9 日。

⁵    暗網上最常發生資料外洩的前 20 大密碼：請務必避免使用 (These are the 20 most common passwords leaked on the dark web—make sure none of them are yours) (英文)，Tom Huddleston Jr.，2022 年 2 月 27 日。

⁶    協助您的組織抵禦密碼噴灑攻擊 (Protecting your organization against password spray attacks) (英文)，Microsoft，2020 年 4 月 23 日。

⁷    2022 年不可不知的 50 項網路釣魚統計資料 (50 Phishing Stats You Should Know In 2022) (英文)，Caitlin Jones，2022 年 9 月 7 日。

⁸    2022 年中不可不知的驚人網路統計資料 (Alarming Cyber Statistics For Mid-Year 2022 That You Need To Know) (英文)，Chuck Brooks，2022 年 6 月 3 日。

⁹    Microsoft 推出適用於企業的 Defender，以協助保護中小企業 (Microsoft launches Defender for Business to help protect small and medium businesses) (英文)，Microsoft，2022 年 5 月 2 日。

¹⁰  適用於小型企業的簡易伺服器資安 (Server security made simple for small businesses) (英文)，Jon Maunder，2022 年 11 月 8 日。

¹¹  適用於所有組織的防禦指引 (Shields Up guidance for all organizations) (英文)，CISA。

¹²  強化您的網路資安 (Strengthen your cybersecurity) (英文)，SBA。

¹³  Cyberplanner，FCC。

¹⁴  尋找網路資安活動 (Find cybersecurity events) (英文)，SBA。

¹⁵  小型企業如何帶動美國經濟 (How Small Businesses Drive The American Economy) (英文)，Martin Rowinski，2022 年 3 月 25 日。