信息安全意识培训之情景互动——黑客社交攻防大挑战

如何有效防范黑客的攻击?在不同人员的眼中方法各有不同,IT部门倾向使用入侵检测与防御系统,通讯部门乐于推荐加密电话,公关部门建议总裁高管们保持低调,安全部门希望能加强门禁控制和安全巡逻,人资部门则喜欢对可疑员工的背景进行审查,而大量员工则是认为面对黑客高手,常人应该束手无策,乖乖就犯。

实际上,不管组织大小,几乎所有员工都会面临各种类型的黑客攻击,这种广义的黑客攻击不仅仅包含黑客远程发现了组织的网络系统漏洞,并成功溢出这些漏洞和加以利用,实际上,更多的是形形色色的诈骗活动,在这些诈骗手段中,社交工程学Social Engineering则是非常主要的一种,而且是非常难以防范的一种。

这两年有一个比较热门的词汇APT,高级可持续性攻击,它实际上是一个有组织的黑客团队,在长时间内,综合多种攻击方式和手段,不断渗透组织的结果。而APT之中,社交工程学被运用到了极致。

因为社交工程学主要是针对人员的弱点,所以使用各类安全技术控管措施几乎难以帮忙,唯有通过有效的安全意识培训来提升员工们的安全警惕度和防范知识水平。而要提升社交工程防范,靠一些枯燥的专业说教帮助不大,员工们需要实实在在的案例。可是想展示组织内部的真实案例出来给员工,则成本高昂,原因是社交攻击伤不起。

如何才能让员工有社交网络攻击的亲身经历呢?使用模拟的社交攻击情景练习是最上策,展示他人的社交工程攻击案例并不足够,因为旁观者往往无法真实体验到受害者当时的心态特征和心理活动,而社交工程攻击者正是利用人们的这些心理弱点取得成功的。

此外,通过雇佣专业级的社交工程攻击黑客对公司职员进行入侵实战演练也是一种不错的方式,不过这种方式往往耗费不菲,昆明亭长朗然科技有限公司的安全培训讲师James Dong称:更容易接受的一种方式还是通过模拟的互动教学,这种方式已经在众多领域比如航空航天人员的技能训练里成功实施。

比如,如果雇佣黑客来通过电话渗透攻击组织的大量员工,所需耗费的电话资费和时间巨大,但是如果利用现代的信息技术,设计互动挑战游戏,便可轻松让全体员工参与到虚拟的黑客电话社交工程攻击防范活动之中。

我们有开发制作系列的“信息安全意识情景互动测试”,常规场景是黑客冒充官方人员比如公司高管,通过电话向员工套取密码的一个挑战,员工们只需完成一次参与,便终身难忘其中的教育意义,当然,安全教育的目标也就在轻松的娱乐游戏之中实现。

如果您对本互动游戏感兴趣,或想对此文谈谈您的观点,欢迎联系我们,以及洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

信息安全意识培训重要性骤升

近年来,针对职员们“人性弱点”的网络攻击越来越猖獗,最流行的莫过于网络钓鱼邮件,就连知名大学的学生和教职工也大量沦陷于网络钓鱼攻击测试活动之下。这无疑是网络安全圈内的一个又一个炸弹,这些组织机构都部署了大量的网络安全控制、监管和审计设备,尽管如此,用户在IT安全意识方面的薄弱还是让人们有些汗颜。对此,昆明亭长朗然科技有限公司网络安全专员董志军称:二十年前,网络安全的主要工作还停留在设备的铺设期,主要网络威胁还是病毒以及黑客,网络钓鱼刚刚进入人们的视野,很多CIO和信息安全总监级的人物对此都还没有概念,知名黑客 Kevin Mitnick 因为开始使用“社会工程学”骗术的方式,前后进出监狱三次,还出了一本书,反欺骗的艺术 The Art of Deception,尽管这已经是非常前沿的预警,然而很多机构并没有意识到问题的严重性——当强大的外部威胁冲击内部弱点时,“固若金汤”的安全措施,将变得“不堪一击”。

而针对大学教授千万级的转账诈骗,以及针对电网公司CFO的千万级的转账诈骗,都暴露于媒体之后,近几年,人们开始警醒电信诈骗这个问题,同时犯罪分子也越来越狡猾,太多具有持久意义的警示故事了,它们强调了对机构内外所有人进行安全意识培训的重要性。

最终用户的天真可能导致代价高昂的安全事件,这凸显了安全意识培训的重要性。不久前,国务院某机构的负责人收到了一封声称来自组织部门的电子邮件,它看起来完全正常,并要求他核实一些信息。那位领导开始依照要求填写并提交内容,然后突然意识到他将敏感的涉密信息数据直接发送给了网络犯罪分子。

在没有电话也没有网络的时代,骗子可以伪装成某某领导的亲戚朋友,到处行骗,骗个大官当也都不是什么难事。而如今,电话和社交网络这么普及,骗子行骗的成本非常低,可以轻松实现大规模化群发诈骗消息。基本上,人们需要用脑子思考,我们不希望人们不能随便轻信,对于电子邮件,不可随意点击链接,不能轻易开启邮件附件。

不得不说,点击这些东西是人类的基本本能,有时它们非常吸引人,特别是如果它们具有一定的社会背景的话。因此,利用社会热点话题的诈骗消息,往往很容易成功。而社会工程学骗子会研究目标机构,通过媒体搜索等等,找出该机构正在进行的一些活动,并定制化相关的诈骗消息,这样做,无疑会让员工们对消息真假难辨,进而轻易上钩。利用快递信息进行的诈骗也几乎就是这个招数,当人们发现购物信息正确时,几乎相信该事情是真实的。如果担心收不到货,钱财两失,那正中了诈骗分子的圈套。其实,明白人不管那么多,快递丢了,您重新发嘛!退款?直接通过平台退嘛!问题就是明白人不多,傻傻的网购者却不少。对于如机关单位和公司企业等类型的组织机构来讲,员工们的IT安全水平和意识,也是类似的,厉害的没几个。

因此,我们需要帮助用户们避免“陷阱”消息,在防范电信诈骗方面,有防诈APP可用,警示人们境外来电是可疑的。对于员工们呢?无疑需要从一个基本的、温和的安全宣传活动开始,发起基本安全意识培训必不可少。可以制定了一项多管齐下的IT安全意识战略,优先考虑所有员工的持续学习。 首先,新员工通过基于视频的在线课程,了解安全政策和最佳实践,审查并签署可接受的网络使用政策。其此,需要对员工们进行定期的安全意识考核,可以通过在线电子学习的方式,也可以使用竞赛活动的方式。当然,安全团队还通过内部沟通频道、微信企业号和内部通讯月刊,分享相关的安全意识教育内容。当然,可以设计更高阶一些的模拟网络钓鱼活动,或者使用更低级一些的桌面壁纸或屏保。我们不建议使用海报、手册等印刷品,那些物资不够环保,在移动工作时代,效果也不够好。

说到安全意识培训的效果,在信息爆炸的时代,单向的图文甚至动画视频对于用户的意识留存,越来越无力,增加互动就显得非常重要。如果受制于空间场地的不足,比如有分支机构有疫情影响等等,可以搞线上竞赛活动激发用户们的参与度,比如信息安全征稿、在线安全答题拼比等等,成本低,覆盖广。当与最终用户互动时,希望他们从经验中学习,感觉良好,需要认真设计线上活动。通常来讲,在经历几次活动之后,人们会真正开始享受识别可疑消息,这同时还能增强全体职员的士气。

即使员工们对信息安全越来越有信心,安全意识培训负责人也不可高枕无忧。持续的IT安全意识培训的价值远远超过了在新员工入职培训期间提供的典型一次性培训。一方面,安全意识培训材料需要不断更新,不能总是吃一个菜,那样营养不充分。另外,也需要有新的玩法,比如移动工作流行时,有些员工喜欢在手机上打开了这些电子邮件,这时,就可以考虑使用一套新的针对移动设备的安全意识培训方案。

安全意识活动的报表及报告非常重要,这也是我们建议使用电子学习系统、在线测试系统和模拟钓鱼系统的原因之一。没有衡量就没有绩效,多少人员参训?完成学习的情况如何?通过测试的情况如何?哪些知识领域不被大家掌握?网络钓鱼模拟的点击量下降了还是上升了?具体数字怎么样?这些都可以是考核点和改进点,也可以是安全培训团队的工作绩效证明。

不管如何,我们要注意安全意识培训的持续重要性,即使用户精明程度在不断提高,也必须持续进行强化培训。人们往往会忘记并回到他们的旧习惯,所以需要不断地这样做,比如:每月一次小型培训,每季度一次中型测试,每年一次大型活动。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com