哎呀!這一頁你看過後請記得:404Error，本頁不存在。

今天要講的對象不是設備、不是制度，不是手法或技術，而是人，處理人的問題往往耗費的功夫遠大於技術或設備，而且提到人處理得不好就會像在婊人，更甚者還可能會傷了皇城內的河蟹，安全警語先寫在最前頭哩。

不論是公司內員工主管，還是公司外的合作夥伴/供應商，人永遠是最多變數也最難以控制的風險來源。這些變數往往成為重要的破口，由於人為的疏忽、輕忽、錯誤配置、管理不當、操作不當、便宜行事等等，攻擊者或有心人士往往也鎖定這樣的人為弱點，讓企業的"人"屢屢成為資安事故的突破點。

當然，攻擊者的資源和時間也有限，因此往往會鎖定位居要角、key man、握有系統特權，這些人具有高度的攻擊價值，不幸的是她們也常缺乏資安意識，因此以下就簡分成五類高風險高價值的人，容易成為破口，提供給您檢視一下:

1.IT人員(含infra/Devops/Help Desk/實習工讀生...etc的資訊人員)

【要刮別人的鬍子，先把自己的刮乾淨】

是的，要講別人前先反省一下自己有沒有阿，各位IT人員手上多少都握有管理者權限的特權帳號，前些日不是提到特權帳號管理和身分盜用嗎，許多IT人員自己缺乏安全意識的行為(ex:在主機上大逛購物網站和論壇)，又或是圖方便濫用admin權限處理工作大小事，這已直接導致身分帳號和系統暴露在高度風險中。不論IT人員是自己跳坑還是被強力釣魚，IT人員都具有高攻擊價值性的亮點對象。

2.高階主管(含VVIP/特助/秘書/顧問...等)

【挾天子以令諸侯】

相信這點大家能認同，高階主管能接觸到的商業機密、營業秘密、營運財務資料或未公開的計畫皆具有高度機密性，但是談到資安意識大家可能也都很頭痛:

• 1.長官高齡，不諳資訊操作，系統密碼都以超簡單、好記為原則。(人之常情)
• 2.長官繁忙，不克來上教育訓練，員工都上兩輪了他...(不好說不好說)。
• 3.長官權重，系統使用上要求暢行無阻，因此帳號權限幾乎近似admin等級。(合情合理)
• 4.圍繞在這些太陽旁邊的衛星(特助/秘書/顧問)同樣的因備受長官的信任愛用，且能接觸到相關資訊，攻擊者亦可利用衛星打太陽，成為攻擊高價值人員的跳板。

3.研發RD/PowerUSER

【生命會找到自己的出口】

公司內RD人員，手握開發中的產品、技術、專利、配方，是高攻擊價值人員實至名歸。
高科技產業通常是網路攻擊的首選目標。目的是竊取這些彌足珍貴的智慧財產 (IP)。單是一個原型的研發成本，可能達到數百萬美元之譜，高科技產業所展示的最大資產，包括商業機密的智慧財產、科技藍圖、硬體設計、軟體原始碼以及開發下一代產品和技術的機密研究與生產製程。
另又或是許多熟悉IT技術的各部門員工，喜好嘗試用各種方式突破公司內部封鎖/控制/資安保護措施，這樣的人在企業內著實成為不定時的隱形破口。

4.財務人員/負責金錢相關的承辦人員

有在關注資安觀念相關的人就會明白，這些【有經手錢的承辦/財務主管】無非是BEC商業金融詐騙的絕佳key man，他們持有的各種報價、付款、議價等紀錄都可成為高價值戰利品，悲劇的是他們在財務上有防舞弊措施，但資訊的資安意識上還沒完成銜接，這些高價值人員可能會覺得:【資安?我錢沒少就好其他資安啥的交給你啦。】

5.合作夥伴/供應商/外包人員

承上述第四點來說，這些3th party的廠商人員，因合作關係常具有金錢往來，或是授予相關權限，一開始大家都還會謹慎，久而久之就信任/鬆懈了，若能從廠商人員的破口取得關鍵資訊，則更有助於去打通企業內財物人員的心房與信任。此外，許多承包廠商人員多半可能由小公司組成，無專責人力/制度去維護資安，因此攻擊者可望先從此薄弱的資安防護，透過跳板式的攻擊手法滲入目標內網。試問:
①.貴司的廠商人員，有通過ISO27001認證嗎?有沒有資安稽核制度?
②.貴司的合作夥伴，其企業內如何做合理的保護措施以保障我方的營業秘密?
③.貴司的對供應商管理規範中，有無提到相關資安確保的法律文件簽署?
如果發現這些人員漏洞百出的話，那他將可能因你而成為高價值攻擊目標。

基於上述五點可以觀察到，公司內的人可以被分級分類，建議先把高重要性、高風險、高價值的人員分類出來，給予強化教育、更進階的保護機制以及明確的行為規範準則，讓有限資源的資安優先投入到這些層級、分類的重要人士身上，把風險降下來。

人真的很難控制，必須經由訓練進一步認知資訊安全的重要性，藉由定期訓練、演練、稽核，可檢視防禦心的水準，驗證實際防禦成效，並且要搭配獎懲制度(或是政治手腕)，讓棒子和糖果一起下，才能漸漸將人引導到正確的方向。

(圖片引用自ITHOME)

延伸閱讀:
資訊安全的最大威脅-人員安全
如何扮演一個稱職的企業資安人員