對于企業用戶,安全建設從來都不是一件輕松的事情,因為既不能指望通過堆積安全設備就能解決所有問題,也不能指望請幾個頂尖的安全專家就能保證自己安然無憂,畢竟安全實在過于復雜,除了外部威脅之外,還要將眼光放在那些不論是在辦公室,還是在任意地點辦公的員工們。
根據Proofpoint在2022年早些時候發布的《2022年內部威脅成本全球報告》顯示,因內部人員導致的安全事件數量正在顯著增長,而在這些事件當中,有56%的比例是源自于員工疏忽,憑證管理問題是員工最容易出現的安全問題之一,有18%的威脅是源自于這一點。另外,2022年5月國內某知名互聯網企業遭受釣魚郵件攻擊事件可謂是一個典型,由此也引發了業內的思考,包括員工在內的企業內部人員,怎么樣才能不會成為整個企業安全建設中的短板。
說到這里,很多人都提到了安全培訓,但所謂培訓,指的是培養和訓練,兩者其實缺一不可的。事實上,安全培訓經常被視作應對包括網絡釣魚攻擊、惡意軟件或其他安全危害的有效方法,因為很多管理者會理所應當地認為,只要告訴內部人員這個東西是危險的,那個東西是一種威脅,然后他們就不會成為受害者,從而形成了對企業的防護。這種想法可能有點一廂情愿,因為在我們看來,這幾乎就等同于告知行為,它對于企業的安全建設會有幫助嗎?肯定會,因為哪怕只有1%的成果我們也不能說它是無用的,但從效果來看,相信它距離預期一定會比較遙遠。
應付差事的事情我們見得多了,因此難免也會有這種安全培訓往往只是為了滿足一些企業的要求而不得不參與的情況,但實際效果如何呢?根據Egress此前發布的一份報告顯示,有98%的IT管理者表示,他們會在企業內安排進行安全培訓,超過一半的受訪企業表示每年都會進行幾次安全培訓,甚至有近1/3的企業表示幾乎每個月都會有,而幾乎所有的受訪者認為安全培訓能夠帶來積極的變化。
但該報告的另外幾個調查選項的結果卻表現得有些“打臉”,有84%的受訪者承認,在過去一年中他們是成功的網絡釣魚攻擊之下的受害者。而在原因方面也不出人意料——大多都是因為內部員工的行為。最常見的情況就是,員工被網絡釣魚郵件成功欺騙并做出錯誤的行為,導致數據丟失、將企業信息發送到某個人賬戶等等。
這一結果也驗證了結論——通常的安全培訓并沒有起到有效減少安全事件的發生。同時可以看到,甚至連定期培訓這種長期一貫的方式也沒有收獲預期的成效。
如何才能提高安全培訓的效果,讓其體現出應有的價值,并進而影響到整個企業所有人呢?在我們看來,應主要聚焦于兩點:
所有的安全培訓應當以結果為導向
而不只是一項工作或統計數據
對員工進行安全培訓的目的要保持清晰,那就是為了幫助他們在未來面臨可能出現的風險是能夠做出正確的選擇。因此,安全培訓應當以結果為考量,而不是在讓員工在安全培訓的場地中簽到就算完成。應當以盡可能接近真實的風險狀況去考驗培訓成果,以確定企業內部人員在經過安全培訓之后是否會讓自己的行為更加規范,這有這種良性的變化出現,才能認為是有用的。
大體上看,這些行為主要包括能夠正確區分郵件類別,并對敏感郵件進行如加密等防護性操作。同時,還會遵循常態化的安全規則,避免落入網絡釣魚郵件陷阱以及和后續可能會出現的一系列人為錯誤。這些都可以通過測試來確定你的訓練是否真的有積極的效果。
一般來說,測試可以分為兩種形式:一種是公開組織的,類似于中考、高考,無論如何都是一定要進行的,人們對此也有預期;另一種則是投入在日常的工作之中,在真實場景中通過模擬測試的方式去進行考察。
公開組織的測試必須要有,可以和培訓周期進行配套,但不建議培訓完成之后馬上進行測試,而是間隔一段時間為宜。相比之下,真正需要加強的是在日常中的模擬測試,以觀察員工在日常工作當中遭遇風險場景時是否能夠按培訓內容進行應對,這種方式更能檢驗培訓成果。
基于對員工的安全評估結果
對不同群體進行有針對性的安全培訓
這一點也可以被視作為定制式的安全培訓,雖然對于所有員工的安全培訓是非常重要的,但由于每一個人經歷、能力以及在企業內的工作角色不同,為了保證安全培訓的效果,我們建議如果有能力最好是根據情況進行分類定制。
比如可以先期用一份通用的安全能力調查問卷來評估所有員工的安全意識水平,然后根據員工的資歷和工作角色,確定他們遭受風險的概率和級別,隨后進行整體評估,以確定對不同員工群體進行更有針對性的安全培訓。
這里可以看出,初期的調查和評估對于后期的培訓安全至關重要,這種相對較高成本的針對性安全培訓能否起效,關鍵在于前期調查和評估是否準確,如員工是否存在通過特殊權限在敏感系統或對重要數據等方面引發安全事件風險的可能;員工是否有隨意訪問各類網絡信息(如打開惡意網站或惡意郵件的附件等)的行為;員工對工作賬戶的口令管理態度是嚴格還是松懈等等。這些都將有利于準確的評估相關員工應該屬于哪一類以及應著重進行哪些方面的安全培訓。
盡管這對于管理者而言提升了成本,但從總體來看,員工不會因為被迫接受培訓自己已掌握的東西而困倦甚至產生懈怠等消極心態,相信在收獲的效果方面也會對應提升。
安全培訓的價值和意義不言自明,它對于提升企業整體的安全水平有莫大幫助,但結合近期諸多結構的報告結果,不及預期的居多。因此,還是應當抓住問題的核心——一方面是教育培養,另一方面是實戰訓練,兩方面其實是缺一不可的。
正如每次看到涉及大貨車的交通事故內容時,下面總會有一堆人在評論“珍愛生命、遠離大貨”,但他們知道應該怎么做嗎?踩油門超越大貨車?那不等于是在快速接近嗎,談何遠離?抑或是踩剎車拉開距離,但這是否又會增加被追尾的概率?很多人都知道釣魚郵件中的東西不能點擊,但為什么還會有人做出了錯誤的操作,也許他們缺的不是意識,而是如何準確區分正常與風險,以及判斷接下來應如何做,這些光靠理論教育必然是收效甚微的,如果不通過真實場景下去親身體會,員工恐怕仍不會真正掌握如何與這類風險對抗,自然也就把企業置于一種潛在風險之下。
更多信息可以來這里獲取==>>電子技術應用-AET<<
