数字世界的珍珠港事件

2020年12月，一个震惊全球的网络安全事件悄然发生——太阳风(SolarWinds)供应链攻击。这场攻击被许多专家比作”数字世界的珍珠港事件”，因为它展示了攻击者如何通过供应链渗透，在全球数千家组织中安装后门程序。受影响的组织包括美国政府机构、军方、财富500强企业以及多个关键基础设施运营商。

这场攻击的特别之处在于，它利用了软件开发商的更新机制。攻击者通过渗透太阳风公司的内部网络，在其Orion平台的软件更新中植入恶意代码。当客户下载并安装这些更新时，恶意代码也随之安装，为攻击者提供了持久的访问权限。这种攻击方式被称为”供应链攻击”，因为它利用了组织对供应商的信任。

根本原因分析：安全意识的盲点

技术层面的漏洞

1. 软件开发生命周期的缺陷：太阳风公司的软件开发和发布流程存在严重缺陷。攻击者能够在开发环境中植入恶意代码，说明公司缺乏严格的代码审查和发布控制机制。

2. 多因素认证的缺失：许多受影响的系统没有实施多因素认证(MFA)，使得攻击者能够通过窃取的凭据轻松获取访问权限。

3. 日志记录和监控的不足：许多组织没有实施全面的日志记录和实时监控，导致攻击者能够在系统中长期活动而不被发现。

安全意识的不足

1. 对供应链风险的忽视：许多组织过于信任其供应商，没有对供应商的安全实践进行充分的审查和监督。这种盲目信任是供应链攻击得逞的重要原因。

2. 员工安全意识的缺乏：太阳风公司的员工可能没有接受足够的安全意识培训，导致他们没有识别出异常的开发活动或可疑的网络行为。

3. 管理层的安全意识不足：高层管理人员可能没有充分认识到网络安全的重要性，导致资源投入不足，安全政策执行不力。

组织文化的问题

1. 安全与业务的脱节：许多组织将网络安全视为IT部门的责任，而不是整个组织的责任。这种思维导致安全措施没有得到全面的支持和执行。

2. 风险管理的不足：许多组织没有建立全面的风险管理框架，导致它们无法识别和缓解供应链攻击等新兴威胁。

网络安全控制的教训

技术控制

1. 实施多因素认证：所有关键系统和账户都应实施多因素认证，以防止凭据被窃取后被滥用。

2. 加强日志记录和监控：组织应实施全面的日志记录和实时监控，以便及时发现和响应异常活动。

3. 实施软件配置管理：组织应实施严格的软件配置管理，包括代码审查、发布控制和变更管理。

行政控制

1. 建立供应链风险管理框架：组织应建立全面的供应链风险管理框架，包括供应商安全评估和持续监控。

2. 制定明确的安全政策和程序：组织应制定明确的安全政策和程序，并确保所有员工都了解和遵守这些政策。

3. 定期进行安全审计和评估：组织应定期进行安全审计和评估，以识别和缓解安全漏洞。

预防性控制

1. 实施零信任架构：组织应实施零信任架构，确保所有访问请求都经过严格的验证和授权。

2. 加强网络分段：组织应加强网络分段，限制攻击者的横向移动能力。

3. 实施安全开发实践：组织应实施安全开发实践，如安全编码标准、代码审查和渗透测试。

响应控制

1. 建立应急响应计划：组织应建立全面的应急响应计划，包括攻击检测、隔离和恢复流程。

2. 定期进行应急演练：组织应定期进行应急演练，以确保响应团队能够有效地应对网络攻击。

3. 建立威胁情报共享机制：组织应建立威胁情报共享机制，以便及时了解新兴威胁和攻击手法。

安全意识计划的创新解决方案

1. 互动式安全剧场

为了提高员工的安全意识，我们可以创建互动式安全剧场。这种剧场可以模拟各种安全场景，如钓鱼邮件、社会工程攻击和供应链风险。员工可以通过参与这些剧场，学习如何识别和应对这些威胁。这种方法不仅能够提高员工的安全意识，还能够让学习过程更加有趣和有趣。

2. 游戏化学习平台

我们可以开发一个游戏化学习平台，让员工通过完成各种安全任务和挑战来赚取积分和奖励。这个平台可以包括各种安全主题，如密码管理、社会工程攻击和供应链风险。通过游戏化学习，我们可以让员工在轻松愉快的环境中学习网络安全知识。

3. 安全意识社区

我们可以建立一个安全意识社区，让员工可以分享安全经验和知识。这个社区可以包括论坛、博客和社交媒体平台。通过这个社区，员工可以互相学习，分享最佳实践，并提高整体的安全意识。

4. 定制化安全培训

我们可以为不同的员工群体提供定制化的安全培训。例如，IT部门的员工可能需要更深入的技术培训，而非技术员工可能需要更基础的安全意识培训。通过定制化培训，我们可以确保每个员工都能够获得适合他们的安全知识。

5. 安全意识挑战赛

我们可以定期举办安全意识挑战赛，让员工通过完成各种安全任务和挑战来赢取奖励。这些挑战可以包括识别钓鱼邮件、发现网络漏洞和应对社会工程攻击。通过挑战赛，我们可以让员工在竞争环境中提高安全意识。

6. 安全意识故事会

我们可以创作和分享安全意识故事，这些故事可以基于真实的网络安全事件或虚构的安全场景。通过故事，我们可以让员工更好地理解网络安全的重要性，并学习如何应对各种威胁。

7. 安全意识黑客马拉松

我们可以组织安全意识黑客马拉松，让员工和安全专家一起合作，开发创新的安全解决方案。这些解决方案可以包括新的安全工具、技术和流程。通过黑客马拉松，我们可以鼓励创新，并提高整体的安全意识。

8. 安全意识实验室

我们可以建立安全意识实验室，让员工可以在安全的环境中进行各种安全实验和测试。这个实验室可以包括各种安全工具和技术，如渗透测试工具、安全扫描工具和漏洞利用工具。通过实验室，我们可以让员工更好地理解网络安全技术，并提高他们的技能。

9. 安全意识沙盘演练

我们可以组织安全意识沙盘演练，让员工可以在模拟的网络攻击环境中进行决策和响应。这些演练可以包括各种攻击场景，如钓鱼攻击、恶意软件感染和供应链攻击。通过沙盘演练，我们可以让员工更好地理解网络攻击的过程，并提高他们的响应能力。

10. 安全意识奖励计划

我们可以建立安全意识奖励计划，奖励那些在安全意识方面表现突出的员工。这些奖励可以包括金钱奖励、奖品和认可证书。通过奖励计划，我们可以鼓励员工积极参与安全意识活动，并提高整体的安全意识。

结论：从灾难中学习，构建更安全的未来

太阳风供应链攻击为我们敲响了警钟，提醒我们网络安全不仅仅是技术问题，更是组织文化和员工意识的问题。通过加强技术控制、行政控制、预防性控制和响应控制，我们可以显著提高组织的安全水平。同时，通过创新的安全意识计划，我们可以让员工成为组织安全的第一道防线。

让我们记住，网络安全不是一场比赛，而是一场马拉松。我们需要持续不断地努力，不断适应新的威胁和挑战。只有通过不断的学习和改进，我们才能构建一个更安全的数字世界。

昆明亭长朗然科技有限公司是国内定制信息安全培训课程的领先提供商，这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务，来为帮助客户成功地发起安全意识宣教活动，进而为工作人员做好安全知识和能力的准备，以便保护组织机构的成功。

如果您有相关的兴趣或需求，欢迎不要客气地联系我们，预览我们的作品，试用我们的平台，以及洽谈采购及合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

多数中国人到职场社交网络中混的目的似乎只是招聘或求职，不过仍然有不少人是去找商业合作机会。

实际上，能上得了互联网的人力资源市场几乎都在高端用户和发达地区。尽管在三四线城市，城市建设有了很大的改进，不少村镇人口向城市迁移，但是人才中介生意并不好做。究其原因，不仅仅是稳定的可以养老的工作心态阻碍了人员的流动，慵懒的不求上进的心态影响了职业发展的空间，传统的靠关系托门路找工作更是让招聘缺乏透明公平。

在这种环境下，闻名全球的领英LinkedIn也只有低头称败，国内的克隆者也只能苦苦求生。不过光明就在眼前，移动化和信息化入侵到了乡村，今天一线城市利润丰富的招聘生意和运营模式，总会强大的优势获得证明之后，渐渐被二三线城市所接受。

最快响应职场社交变革的无疑是私营商业机构，以及最需要工作体验、最缺乏职场经验、最能接受互联网新事物的毕业生。年轻人很有热情缺乏冷静，单纯轻信缺乏警惕，很容易被职场社交给迷住了眼睛，更容易被社交骗子利用。麻烦的是受伤的不仅仅是职场社交人士，因为网络犯罪分子的目标可能更大——社交人士背后的商业公司。

除了LinkedIn主打的招聘、会员特权以及付费广告的赢利模式之外，专注于社交商机的Salesforce模式无疑会让职场人士更容易掌握更多商业机会，对商业成功和工业化信息化带来巨大影响。只是多数商业人士对云计算特别是数据安全的顾虑很重，又有既得利益群体的阻碍，所以这么大的中国尚未有被成功克隆的软件应用。

虽然可惜，但是显然职场社交工具并非是第一生产力，供需平台很多，什么阿里巴巴B2B、58同城O2O之类的玩艺儿也不少。只是没能进入到职场社交领域，发挥人脉的作用。

为什么我们总是逃不开网络安全和信息安全呢？在好人们享受职场社交便利之时，坏人们也总是在想着如何获利。攻击和防御是一个不断博弈的过程，作为职场人士，我们需要了解这一点——谁都可能成为职场社交网络攻击的受害者。

在我们了解了社交职场的安全危险了之后，我们才能有动力去学习基本的社交网络安全知识和掌握必备的职场社交生存能力。昆明亭长朗然科技有限公司的信息安全培训顾问董志军说：对于职场人士来讲，社交网络中第一项重要的信息安全工作无疑是保护个人隐私，真实姓名和公司名称公开倒无妨，但是诸如住宅电话、手机号码、办公电话、家庭住址、银行卡号等等应该得到适当的保护，不能轻易让任何直接获得这些信息。

其次则是职场交友的安全防范意识，绝大多数职场人士和你我一样，都不是什么成心害人的坏人。但是也不能轻信陌生人，毕竟网络上什么人都有，轻信他人可能会被恶意利用，特别是不能轻易向其借钱、转帐或单独去偏僻的场所会见。

最后，我们要讲是的职场社交的安全和公司的安全分不开，尽管我们可以查询一些公司的商业信誉，但是商业安全特别是交易的安全并非由职场人士之间的喜好而决定。我们还是要遵守常规的商业交易流程，不要完全沉迷于职场社交之中。公司的财务负责人员以及信息安全管理人员需要特别对员工们进行社交网络安全防范意识教育，一个案例是QQ盗窃团伙竟然冒充财务总监，骗取了1200万元的巨款！另一个案例是骗子冒充董事长诈骗上市公司3000万。而数十百数百万元的案例也比比皆是。

永远不要以为这些事情不会发生在您的身上或您的公司，防火墙和防病毒软件帮不上您防止这类冒充公司老总的社交坏人，但是信息安全意识教育可以帮您防范这类社交网络骗术。如果您有话说，请不要客气地与我们联系。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898