對于企業(yè)用戶,,安全建設(shè)從來都不是一件輕松的事情,,因?yàn)榧炔荒苤竿ㄟ^堆積安全設(shè)備就能解決所有問題,也不能指望請幾個(gè)頂尖的安全專家就能保證自己安然無憂,,畢竟安全實(shí)在過于復(fù)雜,除了外部威脅之外,,還要將眼光放在那些不論是在辦公室,,還是在任意地點(diǎn)辦公的員工們。
根據(jù)Proofpoint在2022年早些時(shí)候發(fā)布的《2022年內(nèi)部威脅成本全球報(bào)告》顯示,,因內(nèi)部人員導(dǎo)致的安全事件數(shù)量正在顯著增長,,而在這些事件當(dāng)中,有56%的比例是源自于員工疏忽,,憑證管理問題是員工最容易出現(xiàn)的安全問題之一,,有18%的威脅是源自于這一點(diǎn)。另外,,2022年5月國內(nèi)某知名互聯(lián)網(wǎng)企業(yè)遭受釣魚郵件攻擊事件可謂是一個(gè)典型,,由此也引發(fā)了業(yè)內(nèi)的思考,包括員工在內(nèi)的企業(yè)內(nèi)部人員,,怎么樣才能不會成為整個(gè)企業(yè)安全建設(shè)中的短板,。
說到這里,很多人都提到了安全培訓(xùn),,但所謂培訓(xùn),,指的是培養(yǎng)和訓(xùn)練,兩者其實(shí)缺一不可的,。事實(shí)上,,安全培訓(xùn)經(jīng)常被視作應(yīng)對包括網(wǎng)絡(luò)釣魚攻擊、惡意軟件或其他安全危害的有效方法,,因?yàn)楹芏喙芾碚邥硭鶓?yīng)當(dāng)?shù)卣J(rèn)為,,只要告訴內(nèi)部人員這個(gè)東西是危險(xiǎn)的,那個(gè)東西是一種威脅,,然后他們就不會成為受害者,,從而形成了對企業(yè)的防護(hù)。這種想法可能有點(diǎn)一廂情愿,,因?yàn)樵谖覀兛磥?,這幾乎就等同于告知行為,它對于企業(yè)的安全建設(shè)會有幫助嗎,?肯定會,,因?yàn)槟呐轮挥?%的成果我們也不能說它是無用的,,但從效果來看,相信它距離預(yù)期一定會比較遙遠(yuǎn),。
應(yīng)付差事的事情我們見得多了,,因此難免也會有這種安全培訓(xùn)往往只是為了滿足一些企業(yè)的要求而不得不參與的情況,但實(shí)際效果如何呢,?根據(jù)Egress此前發(fā)布的一份報(bào)告顯示,,有98%的IT管理者表示,他們會在企業(yè)內(nèi)安排進(jìn)行安全培訓(xùn),,超過一半的受訪企業(yè)表示每年都會進(jìn)行幾次安全培訓(xùn),,甚至有近1/3的企業(yè)表示幾乎每個(gè)月都會有,而幾乎所有的受訪者認(rèn)為安全培訓(xùn)能夠帶來積極的變化,。
但該報(bào)告的另外幾個(gè)調(diào)查選項(xiàng)的結(jié)果卻表現(xiàn)得有些“打臉”,,有84%的受訪者承認(rèn),在過去一年中他們是成功的網(wǎng)絡(luò)釣魚攻擊之下的受害者,。而在原因方面也不出人意料——大多都是因?yàn)閮?nèi)部員工的行為,。最常見的情況就是,員工被網(wǎng)絡(luò)釣魚郵件成功欺騙并做出錯(cuò)誤的行為,,導(dǎo)致數(shù)據(jù)丟失,、將企業(yè)信息發(fā)送到某個(gè)人賬戶等等。
這一結(jié)果也驗(yàn)證了結(jié)論——通常的安全培訓(xùn)并沒有起到有效減少安全事件的發(fā)生,。同時(shí)可以看到,,甚至連定期培訓(xùn)這種長期一貫的方式也沒有收獲預(yù)期的成效。
如何才能提高安全培訓(xùn)的效果,,讓其體現(xiàn)出應(yīng)有的價(jià)值,,并進(jìn)而影響到整個(gè)企業(yè)所有人呢?在我們看來,,應(yīng)主要聚焦于兩點(diǎn):
所有的安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為導(dǎo)向
而不只是一項(xiàng)工作或統(tǒng)計(jì)數(shù)據(jù)
對員工進(jìn)行安全培訓(xùn)的目的要保持清晰,,那就是為了幫助他們在未來面臨可能出現(xiàn)的風(fēng)險(xiǎn)是能夠做出正確的選擇。因此,,安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為考量,,而不是在讓員工在安全培訓(xùn)的場地中簽到就算完成。應(yīng)當(dāng)以盡可能接近真實(shí)的風(fēng)險(xiǎn)狀況去考驗(yàn)培訓(xùn)成果,,以確定企業(yè)內(nèi)部人員在經(jīng)過安全培訓(xùn)之后是否會讓自己的行為更加規(guī)范,,這有這種良性的變化出現(xiàn),才能認(rèn)為是有用的,。
大體上看,,這些行為主要包括能夠正確區(qū)分郵件類別,并對敏感郵件進(jìn)行如加密等防護(hù)性操作。同時(shí),,還會遵循常態(tài)化的安全規(guī)則,,避免落入網(wǎng)絡(luò)釣魚郵件陷阱以及和后續(xù)可能會出現(xiàn)的一系列人為錯(cuò)誤。這些都可以通過測試來確定你的訓(xùn)練是否真的有積極的效果,。
一般來說,測試可以分為兩種形式:一種是公開組織的,,類似于中考,、高考,無論如何都是一定要進(jìn)行的,,人們對此也有預(yù)期,;另一種則是投入在日常的工作之中,在真實(shí)場景中通過模擬測試的方式去進(jìn)行考察,。
公開組織的測試必須要有,,可以和培訓(xùn)周期進(jìn)行配套,但不建議培訓(xùn)完成之后馬上進(jìn)行測試,,而是間隔一段時(shí)間為宜,。相比之下,真正需要加強(qiáng)的是在日常中的模擬測試,,以觀察員工在日常工作當(dāng)中遭遇風(fēng)險(xiǎn)場景時(shí)是否能夠按培訓(xùn)內(nèi)容進(jìn)行應(yīng)對,,這種方式更能檢驗(yàn)培訓(xùn)成果。
基于對員工的安全評估結(jié)果
對不同群體進(jìn)行有針對性的安全培訓(xùn)
這一點(diǎn)也可以被視作為定制式的安全培訓(xùn),,雖然對于所有員工的安全培訓(xùn)是非常重要的,,但由于每一個(gè)人經(jīng)歷、能力以及在企業(yè)內(nèi)的工作角色不同,,為了保證安全培訓(xùn)的效果,,我們建議如果有能力最好是根據(jù)情況進(jìn)行分類定制。
比如可以先期用一份通用的安全能力調(diào)查問卷來評估所有員工的安全意識水平,,然后根據(jù)員工的資歷和工作角色,,確定他們遭受風(fēng)險(xiǎn)的概率和級別,隨后進(jìn)行整體評估,,以確定對不同員工群體進(jìn)行更有針對性的安全培訓(xùn),。
這里可以看出,初期的調(diào)查和評估對于后期的培訓(xùn)安全至關(guān)重要,,這種相對較高成本的針對性安全培訓(xùn)能否起效,,關(guān)鍵在于前期調(diào)查和評估是否準(zhǔn)確,如員工是否存在通過特殊權(quán)限在敏感系統(tǒng)或?qū)χ匾獢?shù)據(jù)等方面引發(fā)安全事件風(fēng)險(xiǎn)的可能,;員工是否有隨意訪問各類網(wǎng)絡(luò)信息(如打開惡意網(wǎng)站或惡意郵件的附件等)的行為,;員工對工作賬戶的口令管理態(tài)度是嚴(yán)格還是松懈等等。這些都將有利于準(zhǔn)確的評估相關(guān)員工應(yīng)該屬于哪一類以及應(yīng)著重進(jìn)行哪些方面的安全培訓(xùn)。
盡管這對于管理者而言提升了成本,,但從總體來看,,員工不會因?yàn)楸黄冉邮芘嘤?xùn)自己已掌握的東西而困倦甚至產(chǎn)生懈怠等消極心態(tài),相信在收獲的效果方面也會對應(yīng)提升,。
安全培訓(xùn)的價(jià)值和意義不言自明,,它對于提升企業(yè)整體的安全水平有莫大幫助,但結(jié)合近期諸多結(jié)構(gòu)的報(bào)告結(jié)果,,不及預(yù)期的居多,。因此,還是應(yīng)當(dāng)抓住問題的核心——一方面是教育培養(yǎng),,另一方面是實(shí)戰(zhàn)訓(xùn)練,,兩方面其實(shí)是缺一不可的。
正如每次看到涉及大貨車的交通事故內(nèi)容時(shí),,下面總會有一堆人在評論“珍愛生命,、遠(yuǎn)離大貨”,但他們知道應(yīng)該怎么做嗎,?踩油門超越大貨車,?那不等于是在快速接近嗎,談何遠(yuǎn)離,?抑或是踩剎車?yán)_距離,,但這是否又會增加被追尾的概率?很多人都知道釣魚郵件中的東西不能點(diǎn)擊,,但為什么還會有人做出了錯(cuò)誤的操作,,也許他們?nèi)钡牟皇且庾R,而是如何準(zhǔn)確區(qū)分正常與風(fēng)險(xiǎn),,以及判斷接下來應(yīng)如何做,,這些光靠理論教育必然是收效甚微的,如果不通過真實(shí)場景下去親身體會,,員工恐怕仍不會真正掌握如何與這類風(fēng)險(xiǎn)對抗,,自然也就把企業(yè)置于一種潛在風(fēng)險(xiǎn)之下。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
