据某地区关键信息基础设施保护研究中心的一项新调查,某重点行业有51%的员工没有接受过工作单位安排的网络安全培训。同一项调查还显示,83%的受访专员在工作中处理机密数据,包括国家秘密、商业秘密或工作秘密。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:那些不培训员工如何识别潜在网络风险,也不教会员工如何避免常见网络风险的组织机构,正处于成为各种网络犯罪活动受害者的边缘,同时也将因为危害到国家安全,而为此付出巨大的代价。
在过去五年中,网络攻击的数量明显增加。威胁多种多样,新型威胁不断出现。其中,恶意软件和病毒仍然是最受关注的问题,同时,旨在搞停或破坏系统的分布式拒绝服务(DDoS)攻击的数量不断增加。此外,通过社会工程和网络钓鱼来利用人类弱点的攻击增加明显。
人为错误仍然是网络安全入侵事件和违规行为的罪魁祸首。数据泄露调查报告显示:由于员工犯错的原因,仍然占网络安全事件特别是数据泄露事故总数的53%。好消息是,只有12%的员工在工作中不使用任何网络安全工具。这对包括IT部门和财务部门来说都是个坏消息。为什么呢?当人们每天处理付款和敏感数据时,员工和流程成为攻击的主要目标,而成功的攻击行为可能会对业务造成持久的损害。
如果人们不小心在工作场所造成数据失窃或泄露,谁应该为此负责呢?雇主和雇员都该为此付出代价。由于人为因素是公司网络安全中最薄弱的环节之一,而黑客正在寻找可利用的漏洞,正因为如此,各类型的组织机构应该确保采取适当的措施来抵御网络威胁。
社会工程和网络钓鱼攻击近五年增长显著。网络钓鱼是指攻击者通过电子邮件联系员工,邮件经常包含操纵目标点击感染病毒或恶意软件的链接,或创建相同的网页以诱骗受害者泄露密码等机密信息。此外,社会工程欺骗也可以通过其他渠道发生,比如通过语音或电话进行钓鱼,通过短信、QQ、微信等及时消息进行诈骗。
威胁真的如此可怕?近两年,网络上出现“网络钓鱼即服务”,这是一个黑市行业,训练有素的网络犯罪分子以类似于“软件即服务”的方式提供进行网络钓鱼攻击所需的工具和信息。他们在地下暗网论坛上推广和销售网络钓鱼工具包,该工具包是包含发起电子邮件攻击所需的一切的工具包,包括策划的目标数据库和品牌电子邮件模板等等。如今几乎只要有心,任何接受过义务教育的人,包括“脚本小孩儿”都可以发动网络攻击。只需要兴趣和意图,不需要高级IT技能或知识,因为恶意软件和僵尸网络等预制工具可以在暗网上随时购买,并附有使用说明。
社会工程学之所以强大,是因为它利用了人类的弱点。它不需要先进的技术,经常被有组织的犯罪团伙和业余爱好者使用,还因为它非常有效。这些攻击不仅用于短期收益,还可以用于长期渗透和勒索计划。网络钓鱼可用于植入恶意软件,然后窃取内部信息并将其出售给竞争对手,甚至勒索受害者,它可以跨越国界、从任何地方进行,无疑,这是一个全球性问题。
新型的攻击包括人工智能造假,包括面部和声音的伪造,以及远程桌面攻击,攻击者可以在其中接管员工笔记本电脑或智能手机的视频或麦克风并监听他们的对话、监视他们的屏幕活动,甚至截取他们的网络银行及支付验证码。
对员工的网络意识培训在减少此类情况方面是有效的,而且犯的错误越少越好,因此这应该继续成为优先事项。记住:意识教育适用于所有人员,从下到上,不要假设最高管理层精通网络安全。相反,研究发现,领导层并不总是了解网络安全工作要求。冒充高管的经济诈骗“常胜不衰”就是最好的明证,当犯罪分子准备发动攻击时,他们会冒充首席执行官、首席财务官或权威人士发送电子邮件。该过程可以通过被黑或欺骗的电子邮件账户来完成,也可能通过虚假的QQ群、微信群。该电子邮件或群消息可能会指示员工披露敏感的公司信息或将付款转账到欺诈性账户,对企业来讲,该诈骗的发生频率简直高到令人惊讶。
总之,网络犯罪分子变得越来越狡猾,他们日以继夜地工作以开发新方法并磨练和改进他们的入侵技术。应对之策重点在于提高网络意识。组织机构应该确保所有人员都意识到风险和警告信号,尤其是在涉及社会工程和网络钓鱼攻击时。员工不应该害怕质疑电子邮件、短信、社交媒体消息或电话,即使自称来自更高权威的人员,如警官、法官、总监、老板,也应如此。
缺乏培训的公司通常会认为网络安全意识培训过于复杂、耗时且成本高昂。这真是不会算账,与企业声誉受损、大量客户离失和监管机构的罚款来比,任何培训费用都将相形见绌。此外,针对员工的网络安全培训不仅可以降低发生这种情况的可能性,还可以实现更高的成本效益。俗话说:知识就是力量,但是要拥有这些力量,不是一时半会儿就能到达的,需要一个长期的训练过程。
昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有关于信息安全与隐私保护相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。