信息安全成了各大公司进行全员培训的热点课程

昆明亭长朗然科技有限公司赞助进行的最新一项企业大学的调查表明:信息安全培训成为各企业大学向全体员工提供的热点课程之一。

“信息安全基础培训”课程成为了IT领域最热门的课程并不意外,这表明各类型的组织越来越信赖信息系统和信息数据,这些信息系统和数据的破坏或丢失都会对组织的正常业务运作造成严重影响,表明信息安全越来越受到重视。

同时,这项调查也发现,不少受访者表明,组织越来越认识到信息安全保护不仅是IT部门的职责,所有的员工都应该保护他(她)所能接触到的各类信息资源,所有的经理们都应该对其部门的各类信息资产的安全负责。而且,除了IT部门之外,质量管理部,人力资源部,安全部、职业健康及生产安全等等部门也都积极参与信息安全工作。

亭长朗然公司的培训专员Alice Wong简单解释了这一现象:“信息时代,信息是各类组织成功的血脉,确实很有必要对这些信息进行恰当的保护,特别是在今天迅速变化的商业环境之下,数据量飞速增长,在针对员工的安全培训上进行适当的投入是积极主动防御各类安全威胁的重要措施,不管组织的规模大小及所属行业,都会有信息安全的需求,而长期以来,各类组织过于信赖技术手段来进行信息安全控管,这在新的云计算、移动应用等新的环境下面临巨大的挑战,同时各类组织也意识到在员工的安全防范意识和安全操作技能上进行适当的培训,可以让员工们认识到信息安全对组织成功的重要性,并配合各类安全控管工作,进而用较小的花费获得最大的安全收益。”

此外,这项针对企业员工安全培训人员的调查也表明,量化培训效果是一件比较困难的事情,的确,向员工提供了安全培训之后,即使能或多或少看到员工的安全行为有所改善,但是也不好对这些进行必然性的关联,对此,Alice Wong说:“安全教育培训应该有它的目标,对培训效果进行量化式的衡量,看有没有达到保护组织信息安全的终极目标并不容易,毕竟其它的安全控制措施可能也会提升组织的信息安全水平,不过仍然可以参考信息安全的成熟度衡量模型,通过抽样评估了解培训前后员工对安全基础认知的差异,由员工的信息安全意识不足造成的安全事件所占安全事件总数的比率等等指标来进行衡量。”

据悉,亭长朗然公司推出的系列“信息安全基础培训”课程都有配合适当的测试题,以便安全培训负责人员及时了解员工对信息安全知识的学习和掌握情况,并且帮助信息安全培训负责人员衡量培训的成效。

实实在的信息安全综合解决方案拒绝忽悠

APT,Advanced persistent threat,高级可持续性威胁,是目前信息安全领域比较热门的一个词汇,不过不要被它那华丽的字眼和恐怖的描述所吓倒,当然,在遭遇黑客攻击之后也不要立即宣称受到APT攻击,企图受到谅解或蒙混过关。

让我们先看看它的定义,它通常指一个群体,例如外国政府,有能力和意图长期而有效地针对特定的目标(发动渗透攻击),这样说来单个黑客甚至小型的黑客团队即使再厉害,也算不上APT,因为他们力量微薄,攻击的方式方法有限,也不具有持续性。

除了在国家政治军事层面,目前比较公认的震网(Stuxnet)病毒属于APT,在商业领域,APT也经常会被用称呼基于互联网的商业间谍攻击,具体的方式包括:病毒感染、供应链渗透、社会工程等。

想主动利用病毒感染这种传统的方式入侵目标系统并不容易,多数商业组织都有安全网关,它往往使用特定的安全操作系统,只要更新及时并做好基本的安全加固,并不容易受到病毒的感染,而在网关的保护下,内网的计算系统往往不会被互联网直接访问到,直接进行病毒攻击也很难得逞,所以在国外流行扔U盘或其它终端计算设备,利用它们来感染拾到者的电脑,当然我们相信正常的防病毒系统会查出已知的病毒程序,而且新型防病毒系统也有些未知病毒的识别功能,不过要彻底防范,还需更多安全控制措施,更需要教育用户的安全防范意识。

通过供应链渗透则更是费事,多数组织在供应链及合作伙伴的安全管理上并非无所作为,通常会设置防火墙访问控制策略,并且在应用系统中设置帐户和数据的访问权限,所以想借助供应链从网络和应用系统层面入侵的成功性很小,但是不排除利用组织内部员工,比如假借供应链关系,通过收买或贿赂等手段在组织内部安放潜伏人员,这些招数也只能通过安全意识教育、安全行为监控、安全人员管理比如员工背景审查、签定保密协议等手段来约束。

社会工程防范基本上不能信赖技术控管措施,对组织并不熟悉的网络钓鱼、诈骗电话等等伎俩实际上很容易被内部员工识别出来,但前提是他们要有相关的安全防范意识,敢怀疑和挑战可疑的信息索取请求。

接连几年,知名信息安全公司Verizon持续进行着数据安全泄漏情况的调查,结果显示每年的数据泄露原因都无差别,大部分的受害者并没有受到未知的不明的或不可阻止的攻击,而是员工不小心插了受到感染的拇指硬盘、在电话里向坏家伙们提供了敏感信息、向“朋友”分享了进入系统的密码、点击了邮件中的钓鱼链接、或者放“合同工”或“同事”进入了组织的设施内部。

诚然,我们可以通过技术手段来控管这些ATP所借助的攻击渠道,比如禁用USB接口、过滤和实时监听电话交谈内容、使用多因素认证系统、监控邮件外发和接收、实施防尾随及防带人安保措施等等,然而这样做的代价太大,成本太高,而且仍然防不胜防,比较经济实用的防范方式是加强员工在安全防范方面的意识认知,提高其警惕性和对可疑人物及行为的识别能力。

亭长朗然科技有限公司的安全研究员James Dong称:“尽管企业很难成为APT的攻击目标,但是仍然可以从APT攻击手法中吸取适当的教训用于防范各类安全攻击,最重要的是要员工认识到安全不是其他人的问题或职责,而是自己的职责,只有每位员工都保护好了自己,并且积极帮助他人,组织才能获得全面的安全。”

别再拿APT忽悠一般商业客户了,他们根本不会成为APT攻击的目标,而且信息安全防范并不需要什么故弄玄虚的高招,脚踏实地遵循业界最佳操作实践,真心诚意为客户解决安全问题的方案,即使您的产品和服务并不能全面帮助客户,也应该让客户了解事实真相,这才是获得客户长久信赖的上策。