安全意识活动

通过安全意识活动提高整体安全态势

admin

对于网络安全专业人员来讲,安全意识活动是针对最终用户的教育培训活动,似乎主要是些“软技能”方面的沟通与交流活动,没有多少技术含量。甚至有网络安全技术专家认为,安全意识活动就是通过展开一次又一次的小型安全研讨会,在互相聊天与吹牛之间,便可将安全知识“灌输”给最终用户,让用户在经过一番安全意识的“洗脑”之后,便完成华丽的安全知识“升级”——从无知小白变成无敌战士。

的确,如今,企业以及企业级的组织机构(机关单位)必须考虑使用安全意识活动来提高整体安全态势。因此,有很多公司和顾问了解有关安全意识活动的些许内容。有提供平台服务的,有提供内容服务的,也有提供咨询及活动服务的,但是成系统的做法很少。作为信息安全意识方面的先行者,我认为重要的是首先考虑一些驱动因素,搞安全意识活动只是简单的随大流吗?这样做的商业原因是什么?衡量安全意识活动成功的关键组成部分是什么?我们如何证明这项投资的商业价值是合理的?从2010年开始,昆明亭长朗然科技有限公司就一直专注于信息安全意识这个课题,并持续进行着理论研究与实践探索,至今以来一直在进行。

人类进入了全球局势动荡的大时代,网络威胁不仅来自于黑客和间谍活动,甚至还有国家力量支持的网络战争,我们是否有办法保护关键基础设施和公司免受犯罪活动的侵害?国家网络安全宣传周活动提出“网络安全为人民、网络安全靠人民”的有趣口号,仅仅只是想让人民认识和防范网络电信诈骗吗?我们相信全球以及各个国家的组成部分——各类组织机构可以用来以非常切实的方式提高其整体安全状况,进而促进全球整体的网络安全。

我们发现许多公司和安全团队都在努力解决安全问题,总体上网络安全仍是一个向上的产业,是因为新型的网络威胁仍在不断出现和发展,并且比以前更加活跃,我们看到这种趋势仍在继续,并且以非常惊人的速度演进。说起来这些威胁的部分特点与新型冠状病毒非常相似。当我们看到大量成功的攻击,以及研究表明它们之所以成功的原因之时,我们很快就确定,成功的攻击实际上利用了某种形式的社会工程或者其他类似的使攻击更易成功的因素,基本上来说,社会工程可以让网络犯罪、黑客、间谍利用人性的弱点,比纯粹利用系统中的漏洞,要容易成功得多。还有一点有趣的是,我们不仅在这些攻击中发现有社会工程学的成分,而且这些犯罪黑客利用的漏洞大多是旧漏洞,而且它们也是众所周知的攻击,例如SQL注入、基于Web的应用程序中不正确的身份验证机制执行的恶意代码、XSS攻击等。

此外,我们研究的结论还展示出一些更有趣的事情,包括攻击成功的其他原因。因此,我们研究了防病毒防火墙,包括基于个人和网络的入侵检测系统和入侵防御系统。我们发现,事实上,在很多情况下,这些传统的防火墙和入侵防御系统并没有阻止那些成功的攻击发生。这其实非常容易理解,传统的安全防线很多会失效,尤其是配置不当,比如使用默认配置或过时的配置之时。简单说,那些防火墙防入侵的安全设备没有得到很好的使用,效力极差。这就类似在新冠不断变种、传播力感染性持续强化的情况下,人们却仍然不正确佩戴口罩,乐于成群结队地参与聚集活动,一个道理。

其中一些原因是社会工程的组成部分。这也是我们将了解安全意识活动如何提高整体安全态势的地方,在几乎所有类型的组织中,实施社会工程攻击,都能收获非常可观的商业价值。所以安全团队需要安全工具来搭建“全民”安全保护架构,以免受黑客犯罪和基于间谍活动的黑客攻击,“全民”用户需要大量的培训。

通常,除了针对最终用户进行安全意识培训之外,还需要让用户能够理解和意识到攻击何时发生(重大事件、敏感时期),如何根据证据和警报识别攻击正在发生(异常情况),如何强化安全策略的执行(安全抉择与行为)。当我们对此进行调查时,更详细地了解它们如何提高安全态势,我们发现很多公司实际上并没有对工作人员进行网络安全培训,更没有以安全意识活动形式实施的安全培训计划。这些计划至少会要求每年进行一次全员的安全宣教活动,该安全刷新应作为员工的年度进修计划获得实施。

十年前,还有一些反对的声音,认为在安全方面,应该尽量实现安全“透明化”,不该打扰用户。而现今,从社会层面看,系统操作越来越“傻瓜化”,脆弱的小白用户可以在数字世界中生存,却因为不懂系统原理,就很容易遭遇诈骗。从组织机构层面看,系统的弱点能够通过技术手段最大程度地修复,而人性的弱点,越来越被放大地应用于社会工程攻击。而要修复“人性的弱点”,无疑需要在安全意识活动中发力。而今,包括NIST、SECUREMYMIND、CSI、工信、科技、网信、保密、公安、FBI、OWASP、ISACA等等在内的多家安全机构的研究表明:大多数知名企业及跨国公司已经将安全意识活动提到了前所未有的高度,成为了网络安全工作的一项重要内容。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

解剖信息安全意识活动的成败要素

admin

根据安全意识报告,超过80%的安全意识专业人员具有信息安全或信息技术背景。不到 15%的人拥有培训、营销或沟通等软技能的背景。这就暴露出安全意识工作面临的一个困境:现有人才在安全意识的技术部分是没有问题的,但是却缺乏用户行为改变的软技能。

作为安全意识培训的项目主管,我参与过数百个组织的安全意识宣教建设活动,帮助数百万员工了解信息安全的理念和要义,通过供应链传播、职场流动和员工家庭与亲友们的辐射作用,这将带动数亿国民提升和强化安全防范意识,无疑有助于建立一个更安全更和谐的网络社会。

我们一直说,安全文化需要的是潜移默化,暴风骤雨似的宣传“运动风”来的快速也去的忽然,这正是在建立全面的意识计划需要防止的,文化建设是为了改变人员的不安全行为,这注定是一场长期而艰苦的战争,非运动式的战斗和战役所能取得的。 由于网络安全专业人员(包括意识领导者)精通技术技能,因此他们了解需要改变哪些行为,但是在如何尝试改变这些行为方面却表现不佳。毕竟,人无完人,术业有专攻。

改变一个人的行为是很难的,安全意识培训不应该如此。一般来说,许多组织都会犯“认知超载”的错误,即向员工倾倒太多知识内容,以至于他们在学习后没几天就完全忘记了。这听起来是不是有点熟悉的味道?好的办法是保持安全意识培训的简短而轻松,并专注于真正能够降低风险的内容。因此,需要负责人员提前花时间确保学员的参与度和内容的相关性,避免认知超负荷。

类似日常生活中人们行为改变的触发因素,安全行为的改变也源自安全认知的改变,有些员工会在安全事件发生后自省,然而这种代价太高。前车已覆,后车当戒。学习并吸取他人的教训,避免重蹈覆辙,是当今职场人士几乎都具备的生存能力。这就需要我们加强沟通,去展示一些安全事件案例,去发动一些模拟攻击,借机向受众解释为什么他们应该关心网络安全。然后,我们需要用简单的语言传达我们需要他们做什么,并确保人们能够表现出这些行为。然而,说起来简单,做起来难,很多IT或安全专业背景的人士都会受到知识诅咒的困扰——他们对某件事非常了解,却因为自己是专家而无法准确地沟通传达。我们看到很多媒体主持人在专家面前侃侃而谈,而专家却显得很笨拙,就类似这种情况。因此,我们需要投入一定比例的时间来琢磨沟通事宜,来改进传达关键意识信息的方式。

沟通不是单向的,对于全员安全意识计划来讲,专家的单打独斗并不足够,这就需要协同合作,与各个利益相关者沟通的内容以及沟通方式对于获得支持、认同和行为改变至关重要。建立可靠的计划需要大量不同的技能以及与不同部门的协调。 例如,与沟通部门合作以帮助员工参与,与人力资源部门合作以更好地了解目标群体,与法律和审计部门合作以确保培训计划合规。一起合作的人员越多,成功的机会就越大。当然,沟通合作的群体也可以是外部咨询服务团队,毕竟术业有专攻,有了外部的专业资源的加入,更利于探索启动安全意识计划,该计划不仅可以扩展行业人脉资源,还可以在整个行业中树立安全意识工作的标杆。

信息安全意识专业人才缺乏问题的解决方案是创建安全意识计划。该计划旨在教育员工了解网络安全的重要性,以及他们保护自己免受网络攻击的各种方法。该计划还应重点教育员工了解其行为的后果,例如打开网络钓鱼电子邮件或泄露个人账户的密码。当然,计划也不能忽略变化,即有应对措施。如下我们将简要谈一谈。

网络钓鱼:这里的重点是我们需要交互式的模拟行为,以便人们了解网络钓鱼攻击的迹象、检测到此类攻击时应采取的措施,以及如何报告此类攻击。需要重点关注的是阻止攻击所需的安全行为,而不是模拟钓鱼测试。不幸的是,模拟网络钓鱼不仅是许多意识计划的开始,同样也是结束。要知道,网络钓鱼培训是建立整体安全意识计划的重要组成部分,但其本身还不够。

密码安全:密码安全最关键的方面是人们如何使用密码。更广一点说,人们如何保护他们的身份免于盗用,他们是否与同事分享密码?他们是否为每个站点设置唯一的密码?是否使用密码短语和密码管理器?因为使用一些助记的小窍门和小工具是解决个人密码安全的基本行为要素。当然,也要教导用户启用尽可能安全的身份验证解决方案比如:生物特征鉴别和两步(双因素)验证。

意外应对:虽然恶意的攻击行为是不可避免的,但是大多数的安全问题都是由简单的员工事故或疏忽引起的。例如:将手机忘在出租车上、随意共享文档而没有意识到其中包含高度敏感的数据、或者由于邮件客户端中的自动完成功能将收件人设置为错误(但相似)的人员而意外向其发送邮件。这些问题需要人们养成谨慎对待安全并加强安全检查的行为习惯。

搞好这三项,就有了一个良好的开端,重要的是管理组织内部和周围人员带来的风险,这种风险文化不是一朝一夕能够建立的,文化不仅仅是行为,还包括人们对网络安全的看法、态度和信念。文化以及融入情感的过程对于技术人员来说可能是一个挑战。现有的企业文化对于沟通和协作方式以及最终成功安全改变行为起着关键作用。企业文化有外向和内向两大类,开放式的外向文化(例如科技公司中的文化)通常更喜欢让员工们按照自己的时间表观看和消费的幽默内容,而保守式的内向文化(例如保险、金融和政府)通常更喜欢让职员们阅读的更温和或“专业”的内容和材料。因此,我们需要研究企业文化,了解组织的价值观和信念,为信息安全意识计划规划提供信息。与人力资源人员进行交谈,他们通常最了解组织的文化以及如何影响安全意识计划。

总之,创建成熟的意识计划,需要利用技术技能和以人为本的软技能。大多数安全意识专业人士在技术方面没有问题,通过解决软技能方面的问题,无论是发展自身技能、跨部门协调还是引进外部人员,都将在改变安全行为和组织文化方面大有帮助。最后是小广告时间,笔者就职于昆明亭长朗然科技有限公司,专注于为各类型的组织机构提供信息安全意识产品和服务,我们有大量的知识内容和平台工具,欢迎有兴趣的人员联系我们,洽谈合作事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com