从安全事件反思安全政策与人员因素

根据雇主联盟的一项评估,95%的信息安全事故都涉及人员因素。没错,从广义上看,即使极端气候、自然灾害,或者战争瘟疫、封闭隔离等等带来的安全事故,也很难与人为错误因素彻底分开。因此,信息管理风险经理和首席信息安全官(CISO)在创建和实施信息安全政策及程序时,应充分考虑人员因素——幼稚(无知)、懒惰(冷漠)和疲劳(麻木),以最大限度地减少人为因素带来的安全事故。

近年来,在一些最成功的攻击中,威胁行为者利用了幼稚、懒惰和疲劳等人性弱点。一项调查显示,在遭受恶意数据泄露的大型企业中,有五分之一因账号被盗或受损而被渗透,使这些企业的平均泄露总成本达到人民币3000万元。对此,昆明亭长朗然科技有限公司信息安全管理专员董志军表示:组织机构应该积极努力消除人类幼稚、懒惰和疲劳带来的风险,这反过来又有助于消除社会工程和网络钓鱼攻击带来的威胁。

幼稚无疑是缺乏足够的文化教育,懒惰可能也是缺乏信息的结果,如果沟通不明确或缺乏,则员工们不知道组织在安全方面的立场。因此,组织的规则及其存在的原因必须清晰透明,否则,人们很容易忽视它们。可以通过向员工们提供信息安全意识培训来帮助防范惰性。

计算机系统可以无休止地工作,人类却是肉身,时间较长的工作就容易疲劳,这使得他们更容易出错。因此,防范疲劳也应该成为组织安全政策的一部分,如同交规强调不可疲劳驾驶一样,组织需为员工提供疲劳对策,比如通过强制休息、轮岗等措施,以防范机械和麻木。

组织需要向员工们提供一份安全政策清单,其中包括所有重要的强制性常规任务和一个自我执行的指标,以确定他们是否已完成常规的安全任务。一方面,在网络安全、数据丢失预防以及信息系统程序方面,组织需要制定强有力的政策和程序以保护免受各种威胁;另一方面,组织应通过教育培训活动,以确保所有员工都熟悉公司安全政策并有动力遵守规则。这两方面缺一不可,没有强制性的技术、流程等管控措施,教育培训只能流于形式;同样,没有教育培训,技术和流程等控管措施不会获得好的效果、不会生效甚至适得其反。

为帮助降低人为错误带来的风险,安全策略应明确概述如何处理关键数据、如何保护密码安全、使用哪些安全软件等等。组织应确保所有员工都熟悉安全政策并有动力遵守安全规则,仅在需要时根据具体情况允许特权访问,并监控用户活动以检测恶意活动。对此,董志军补充说:安全政策的缺乏,或实施方面的差距都会导致安全漏洞(弱点)。此外,安全环境和威胁不断演变,定期审查关键政策对于有效实施它们也是必不可少的。

工作场所中的任何人为错误都会对组织的设施、运营、客户关系和信誉产生级联影响。因此,制定稳健的政策和流程以减少人为错误至关重要。所有用户必须采取预防性措施来保护自己和他们负责的数据。组织机构和员工们必须保持警惕,不要让幼稚、懒惰或疲劳对工作环境的信息安全带来隐患。在信息安全方面,当用户们拥有了知识、责任感和警惕心,那些通常会导致人为失误的无知、冷漠、麻木等人性弱点就会被修复、压制和磨灭。

总之,在信息安全事件中,人为失误因素带来的损失不容小觑,为了防范人性弱点,必须建立强有力的政策和程序,同时提供足够的安全意识教育培训,以加强员工们对安全策略的理解、认可和贯彻实施。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

数据安全调查报告解读

Verizon发布第六期的数据泄漏调查报告DBIR,本期的看点显示出75%的网络攻击活动都有明显的金钱动机。显然,现在网络犯罪分子的入侵动机多数不再受传统的黑客精神影响,他们已经不再满足炫耀和破坏,他们更看重的是商业利益。

让我们简单看一看报告的更多内容并且为您解读一番,其中92%来自外部攻击者,14%来自内部人员,当然有内外夹击的情形,这期的报告特别提到来自中国的对被调查对象知识产权的窃取占到了19%。尽管来自外部的数据窃取占了大部分,Verison仍然认为内部人员的风险不容忽视——80%的风险源自内部。

数据泄漏是如何发生的呢?报告显示半数源自黑客攻击,与黑客攻击相对应的剩下的一半则无疑源自权限误用和滥用等等,比如内部人员有意或无意间泄露了机密数据。类似将公司窃取知识产权转卖给竞争者的内部违规行为占了近13%,如此可见保障商业信息数据安全仍然需要“外防黑客、内防家贼”两手一起抓。

我们还看到数据泄漏中有76%源自脆弱的或被窃取的身份权限,说到底可能是用户们使用了弱密码、相同的密码、被网络钓鱼、分享了权限等等,这些显然不是强化密码策略或使用多重身份验证措施可以简单而有效解决的。帐户与访问权限的管理一直是一项看似简单,但工作量巨大的信息安全运维管理工作,这项工作不仅和各类信息系统的帐户管理员密切相关,更和最终用户、数据所有者、IT支持等等密不可分。帐户与访问权限管理工作的重点不应该只是建立帐户权限申请流程,更应该关注权限的定期审核以及相关人员之间的协同沟通。

我们还注意到使用类似网络钓鱼的社交骗术有了四倍的增长,而且40%的攻击掺合了恶意代码的利用。未安装的防病毒软件比例显然要远低于40%,问题的原因在于仍然在于恶意代码的构建和传播已不再以感染电脑为目标,前面也提到网络犯罪分子更看重的是商业利益,这让防病毒软件很难及时获得目标针对性很强的定制代码的恶意软件特征。

商业化的攻击目标中有71%针对最终用户的设备,有了大幅提升,而针对服务器的攻击比例有所减少,这无疑和云计算、大数据以及IT消费化有关。

报告显示数据泄露事故的发现可并不乐观,69%是被外部第三方发现的,而66%并没有立即被发现,而是过了几个月之后才被发现,这显然让那些片面强调实时安全入侵探测、监控、分析和报警的安全事件监管系统很没面子,其实报告也表明:其实78%的入侵都是很低端的攻击。

该如何应对呢?建立强大的入侵检测与报警、开发即时的安全应急响应体系?显然不是,再智能的信息安全监控系统也无法足够聪明到解决复杂的人类问题,保障数据安全应该更多依赖管理的手段,摘抄几条Verizon的建议如下:

实施基本的安全控制措施,并且定期检查和确保它们的有效性;
收集、分析和分享事件数据,创建足够的入侵数据来源,以便驱动安全计划的有效性;
不要过度强调防范,综合使用人员、流程以及技术措施来更快更好的进行侦测和响应;
建立安全事件衡量矩阵和指标,使用它们来驱动最佳安全实践;
强化安全技能评估并且提供必要的安全意识培训以填补信息安全认知差距;

报告中关于政府赞助的入侵事故特别是关于中国窃取知识产权的部分说辞可能有些偏颇,昆明亭长朗然科技有限公司认为:在民族复兴的过程中,难免会借鉴一些发达国家的科学技术。实际上,很多发达的技术也是我们用市场换来的,国外政府和机构更多是在窃取我们的市场情报,这些无疑需要引起重视。

data-breach