通过更新人脑来防范网络安全人为错误

众所周知,人为错误是目前网络攻击的最大原因。当组织面临网络威胁时,如果员工从未接受过适当的培训以了解如何处理威胁,就不能责怪他们。这也就意味着,在与科技技术交互时,人类很容易出错,在网络安全方面,仅仅一次错误的点击都有可能是有害甚至致命的。对此,昆明亭长朗然科技有限公司网络安全研究员董志军补充说:有调查显示十分之九的网络事故是人为错误的结果,组织机构的第一道网络防线是受过适当教育的工作人员,我们也可以将其视为人类防火墙。通常情况下,成功的网络入侵或钓鱼攻击是组织没有对其员工进行适当安全意识培训的结果,仅此一点,组织机构就应该为员工提供更多的网络安全意识认知及最佳实践方面的培训。

当然,确保安全防范技术保障措施到位仍然很重要。但是也需认识的技术的局限,环顾当前大部分的入侵行为,威胁者利用的更多是人性的弱点,并非系统的漏洞。正常来讲,兵来将挡,水来土掩,有漏洞(弱点)修复即可。麻烦的是人性的弱点可不是简单地安装修复程序就可以的,想要克服人性的弱点,要困难的多。更为麻烦的是,许多职场员工并没有意识到他们有多么脆弱,也没有意识到他们可以产生多大的影响,无论是消极的还是积极的。没有多少职场人士会觉得自己在网络安全方面很笨,或者至少需要加强学习来填补知识空缺或人类本性方面的弱点。

尽管客观问题和困难是存在的,我们仍然可以做一些事情,以确保员工们能够跟上网络安全的步伐。虽然在传统上,网络安全看起来像是一个特定于IT的问题,不过其越来越像技术、人员和管理的问题,这就使其不再局限于特定的IT技术,更应该是整个组织安全文化的优先事项。谈到网络安全,经历过几十年的IT基础建设及应用开发的热潮之后,最薄弱的环节已经不再是软件或硬件,不再是技术和流程,而是数据和人员。研究表明,通过为员工提供正确的网络意识培训,可以显着减少数据泄露等安全威胁。然而,现实情况是,大多数组织机构,包括机关单位和公司企业,并不具备设置和执行全面培训的专业知识。他们错误地以为,网上找一些网络安全PPT素材,PS一些图片配上文字形成海报及壁纸,或者使用一些公开的网络安全宣传视频,就可以搞得有声有色。的确,有声有色并不难,难的是有效,难的是证明有效。

可以通过运行网络钓鱼模拟来测试员工对网络钓鱼邮件的辨识能力,以确定薄弱环节所在。员工们能够发现网络钓鱼邮件吗?模拟钓鱼能够给出答案,据调查,最终用户打开网络钓鱼邮件的比例高达30%,因此最终用户通常是诈骗行为者最容易成功利用的薄弱。最好的证明方式当然还需要对比,在最近的一项研究中,那些只运行网络钓鱼模拟(没有伴随安全培训)的组织中,用户点击恶意网站的平均率为36%,然而,在那些将安全培训与网络钓鱼模拟相结合的组织中,点击率下降到13%,这还不到前者的一半。此外,在进行了持续的安全意识培训的组织中,被发现的网络钓鱼模拟链接的点击率降低至2%。

组织要知道,并非所有员工都是一样的,对网络安全的基本理解可能会有所不同。尽管网络安全知识并非一刀切,但是可以根据部门量身定制培训,使其更具相关性和成功性。如果组织决定运行网络钓鱼模拟,显示测试的统计结果可能是吸引员工并让他们意识到风险的一个好方法。人们在摔倒过之后,才会知道走路是要小心。通过模拟的网络钓鱼,也可以让员工们获得类似的教训,以便他们在面临真实的网络钓鱼时,知道要注意些什么。

通常,从技术上来讲,成功的网络入侵行为源自于某位员工的账号被盗。然而,网络犯罪分子可以通过多种方式使用网络钓鱼,进而盗取人员的账号和权限,更不幸的是,这些攻击不断发展,变得更加复杂且更难以检测。仅此一点,了解威胁的趋势和演变,非常重要。因此请记住,安全意识培训是一个持续的过程。毕竟,培训和教育需要随着时间的推移保持一致才能改变行为。如同每个月都有软件的更新一样,也需持续不断地对员工们进行适当的安全意识培训和更新,来抵御大多数新型威胁和花样变换不同的攻击方式。网络攻击花费了威胁者们很多钱,防范网络威胁,也占用了大量的IT资源,不仅用来解决问题,也包括重建和恢复系统的开支。在这些花费里面,最经济有效的,最划算的,可能就是安全意识培训,因为其修复的是人为错误方面的漏洞,而当今员工和组织面临的最大网络安全威胁之一就是利用人为错误的网络钓鱼。

安全威胁态势不断深化,网络治理法规不断出台,合规遵从性成为各类型组织机构的重要工作。即使依据法规要求,制定了最好的安全政策和操作流程,如果没有员工们的理解和认可,也可能很难让其遵守。如果能衡量员工们对网络安全措施的了解程度,就可以奖励那些遵循最佳实践的人员,奖励的结果可能会刺激其他员工也这样做。通过奖励负责任的网络安全行为,可以帮助塑造企业安全文化,安全应该是企业文化的一部分,因此需要时间,并且应该经常重复安全培训和奖励。衡量的方法,可以包括模拟钓鱼结果、安全巡查以及安全测试,通常来讲,在线培训模块包括考试评估功能,以测试员工的现有知识,并确保培训针对他们的特定知识差距进行量身定制。

如果组织决定实施员工安全意识培训计划,那么确保随着时间的推移,能够有效减少用户的人为错误。前期可以考虑一个高风险环境,如在研发部门、工厂或仓库,定期进行安全意识培训活动。同样,网络安全培训应该持续进行,特别是因为各种类型的攻击在不断发展。在形式和内容方面,也需要创新,量身定制是比较高级的方案,可以结合视频和互动材料,以及进修模块,帮助员工们将网络安全放在重要地位。每个模块都以测试结束,只有在评估成功后才能通过课程的学习,最终获得课程学习证书。学习证书是一种知识认可和精神奖励,有利于刺激员工们的安全行为和实践。

网络钓鱼威胁越来越严重,说“安全始于意识”一点都不夸张。通过修复人为错误来应对网络威胁,防范安全事件,已经是当下各类型组织非常紧迫的任务。使用昆明亭长朗然科技有限公司的在线安全意识培训平台,组织机构可以快速发起在线安全意识培训计划,学员们可以随时随地通过电脑、手机、平板等访问在线培训模块,涵盖的安全意识主题包括网络钓鱼、社会工程学、密码安全、计算设备保护、在外工作与远程工作、数据保护和社交媒体使用等等。欢迎有兴趣的客户及行业合作伙伴联系我们,体验我们的平台以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

员工安全培训帮助实现终端安全以及法规遵循

当今的各类组织面临着一系列的安全挑战,包括终端安全、法规遵循和自带计算设备BYOD等等。通过实施必要的网络安全控管措施,比如常见的内网安全套件、桌面安全套件,网络信息系统管理员可以实现一定程度的控管目标,但是通常并不足够充分。

网络信息安全技术和产品呈现整合趋势,各类控管措施的功能越来越强,随之的软件设置也越来越复杂,这将导致实现一种控管目标需要庞大的工作量,特别是细力度和动态的控管需求会让负责任的信息系统管理操作员精疲力竭,日程月累,最终系统管理员只能选择放弃那些复杂的系统设置。

实际上,多数网络安全控管系统并没有发挥其主要的功效,有的甚至成了摆设,终其原因,不是网络管理员技术不足或偷懒,而是没有处理好与相关人员之间的关系。拿上网行为管理系统来说,多数组织都没有明确的互联网使用安全政策,全凭IT部门的经理主管和系统管理员拍脑袋来制定各类网站的安全访问规则,这显然是很搞笑和不靠谱的。

此外,还有技术层面的问题,不少网络信息安全产品为了渗透市场,往往会添加同类产品的部分功能,但是又非核心功能,所以控管力度不精细,这就会出现为实现一个目标有多个控管措施,而多项 控管措施之间互相冲突和碰撞的问题,比如为了控制员工使用某些互联网聊天软件,有管理员喜欢添加到聊天服务器的虚假路由;有管理员喜欢从防火墙层面设置访问列表,屏蔽即时通讯服务的认证服务器和网络协议;有管理员喜欢在代理服务器设置访问限制,阻断相关的网络通讯流量;当然也有管理员喜欢使用上网行为管理或上网审计系统来进行相关的控制;还有管理员喜欢从桌面应用安全策略上进行相关的设置……

不要指望这些冲突和碰撞在科技不断创新的大潮中会减少,相反,在竞争日益白热化的市场,即使冲突和碰撞不会变得严重,也会增加信息系统、网络信息安全控管和法规遵循的复杂度,最终让控管本身变得得不偿失。

实际上,市面上多数的网络安全产品都是多余的,至少并没有太大的必要去实施,特别对那些没有明确的安全方针政策和标准的组织更是如此,安全服务价值的接受度不高逼使安全厂商拼命研发和制造安全控管产品,进而通过忽悠客户来“创造”新的市场需求,这显然是本末倒置,“屁股指挥大脑”的一种网络信息安全市场怪相。

要解决终端安全以及信息安全相关的法规遵循问题,就要摆正信息安全中关于流程Process、技术Product和人员People的关系,三者相辅相成,缺一不可。不过现状是在安全控管流程Process方面,市场对安全管理咨询服务和安全解决方案设计服务等等的接受度高,但愿意花钱的不多;在人员People的安全资质和防范技能方面,认识到通过必要而适当的安全意识教育来提升员工安全水平的很多,但知道如何有效建立和实施信息安全培训方案的很稀少。

相比被市场牵着鼻子实施安全硬件设备又将其闲置,加强信息安全方面的软实力,对员工进行信息安全意识教育和培训,可以减轻网络信息安全系统管理员的工作负担,更能在节省资源的情况下获得更良好的终端安全控管绩效。而信息安全法规遵循不仅重点看各类安全方针政策和标准流程,更注重核查相关的记录和结果,以及否有人员参与必要的安全意识培训和流程沟通活动之中。