通过确定何时更可能发生错误,从而能够更有效地预测、缓解和解决问题,可以大大改善网络安全策略。从本质上讲,大多数网络安全问题都有一个共同点,那就是人员(用户)。因此,对人为因素的研究是一个新兴且重要的领域。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:当人工智能被越来越多地应用于防诈、反恐、舆论监控甚至危机预测,业界开始对网络安全环境中人为因素进行数字化、虚拟化的应用。
互联网的普及为我们提供了同时存在于物理空间和数字空间中的机会,这意味着我们可以始终保持在线联系。因此,人们很容易忘记我们的在线安全责任始于我们自身,同时也且止于我们自身。但是,有几个因素会影响我们保护自己免受威胁并最终维护数据完整性的能力。涵盖这些考虑因素的一个关键领域是人为因素。最近,该领域出现了一些自动化提高用户的网络安全意识的产品和服务。当然,人脑的复杂度远非这些试水的产品和服务所能轻易理解并恰当处理,然而话说回来,任何创新都不是一步登天一蹴而就的。当人们有了一定的前进方向,就会持续不断地改进,最终必定能达到且超越那个目标。对大脑意识认知的“操控”是近年来新兴的话题,通常是通过各种教育培训活动来实现。不过,随着人脑数字化与生物芯片科技的发展,人脑如计算机一样被读写,“操控”他人的认知便不是什么魔术或神话了。
网络安全中人为因素的主要问题是当前在网络安全中积极使用它的状态。而且,在确实存在的研究中,其范围常常是有限的,模棱两可的并且是变化的,或者仅承认人为因素的概念。网络安全既包括安全的在线行为(例如,扫描下载的文件),也包括使用工具和资源来实现此目的(例如,防病毒、防火墙)。因此,从根本上讲,与解决或引起网络安全问题有关的所有行为都需要一定程度的人工投入。例如,用户对网络钓鱼诈骗及其影响的认识可能会因多种原因而有所不同,例如不知道网络钓鱼诈骗是什么,或者在打开文件之前不对其进行扫描。使用情境方法是当前心理学专家、教育专家以及网络安全专家达成的人为因素解决方案,其中引用了网络安全范围内的12种人为因素,包括:缺乏沟通、自满、缺乏知识、分心、缺乏团队合作、疲劳、缺乏资源、外部压力、缺乏自信、内部压力,缺乏意识和标准规范等等。在网络安全的背景下,这12种人为因素中的任何一种都可能起到关键的作用。例如,知识的缺乏会导致员工向诈骗者泄露敏感信息;缺乏团队合作可能会损害每个人都扮演特定角色的系统,从而导致额外的外部压力和内部压力,从而导致更多的网络安全错误及事件。
许多跨国供应商(例如:KnowBe4、Terranova、PhishLabs、Ninjio、Barracuda PhishLine、Cofense PhishMe、Global Learning Systems、PhishingBox、Inspired eLearning PhishProof、Sans Institute、Broadcom Symantec、Infosec IQ、LUCY Security、Proofpoint Wombat)提供的解决方案侧重于降低员工点击网络钓鱼电子邮件中 URL 的频率。尽管每家供应商提供了独特的解决方案,但基本方法是相同的,即如下步骤:
- 向员工发送模拟网络钓鱼电子邮件。
- 单击其中 URL 的员工会立即被推送到电子学习。
- 记录点击率和拒绝点击 URL 以进行纵向趋势分析。
国际上的一些使用证明,上述这种方法可有效降低网络钓鱼攻击的成功率。通过将点击 URL 与参与在线电子学习紧密耦合,这些解决方案能够提供人员的认知与行为改变之间因果关系的有效证据。反过来,这为对此类解决方案的投资带来正投资回报率的主张提供了支持。不过,这主要是国际方面情况,在国内,很多机构,特别是政府机关单位和中小型企业,基本上没有独立的企业级电子邮件服务,在线学习方面的实践也很落后。不过,这倒给云计算方案带来了利好,直接走上基于云端的在线学习系统,是最快捷的方案。当然,这里面也有安全保密方面的顾虑,特别是政府机关往往受各种政策限制,偏好使用私有云;而中小企业则更有可能考虑到商业秘密如员工信息的保护,对云服务持有一些警惕。
不管如何,以最终用户为中心的安全教育和培训市场正在迅速增长。安全和风险管理领导者需要影响人们(员工、公民和消费者)的安全行为,这推动了对这些产品的需求。交互式基于计算机的培训 (CBT) 是综合安全教育和行为管理计划的核心组成部分。 CBT 通过计算设备提供学习体验,例如笔记本电脑、平板电脑、智能手机和物联网 (IoT) 设备。市场上有关安全意识的 CBT 供应商产品包括即用型交互式软件模块。这些模块可作为基于互联网的慕课服务,或通过客户端管理的学习管理系统 (LMS) 和供应商对可共享内容对象参考模型 (SCORM、AICC、H5P) 标准的支持进行内部部署。
正如所建议的那样,在人员安全领域内的研究还为威胁建模领域提供了一个绝好的机会,这可能有助于确定可能损害数据安全性的行为的前兆。例如,如果我们可以确定压力、工作场所规范、缺乏知识等,那么我们就可以使用此信息来实施减少它们的策略,并预测人为因素何时会影响系统安全性的可能性。展望未来,我们的工作需要着眼于改善和发展这种关系,并考虑到预期,缓解和解决与人为因素有关的问题。
昆明亭长朗然科技有限公司是国内定制信息安全培训课程的领先提供商,这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务,来为帮助客户成功地发起安全意识宣教活动,进而为工作人员做好安全知识和能力的准备,以便保护组织机构的成功。包括如下两种在线电子学习方案:
一站式的学习管理计划,这是使用基于互联网的托管解决方案。在内容方面,您可以选择我司现有的课程内容,也可以提供一些内部培训素材和课程需求,我司按照您的想法创作电子课件并上传到在线学习系统。在学员账号管理方面,您只需定期或不定期将学员清单发给我们,包括初次一次性的全员名单,后期入职和离职的人员名单,以便我们及时创建和删除学员学习账号。在学习进度推进方面,可以定时推送详细的学习进度报表报告,格式为Excel电子表格,非常容易使用。
基于自建平台的学习管理计划,即使用自主管理的学习管理系统。在培训平台方面,如果有的话,可以直接使用已有的;如果没有现成可用的平台,可以自行搭建系统,也可以使用我司的培训系统技术服务。在内容方面,我司提供电子课件的创作,包括业界标准的SCORM格式及Web格式,可以无缝集成到学习管理系统平台。在学习进度跟踪方面,您可以通过学习管理系统,获得详细的完成进度跟踪,以确保审计方面的合规要求。
如果您有相关的兴趣或需求,欢迎不要客气地联系我们,预览我们的作品,试用我们的平台,以及洽谈采购及合作事宜。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898
