如今,针对信息基础设施和云计算的网络攻击越来越普遍。IT专业人员们使用各种技术和工具来保护重要信息和敏感数据,但是却经常忽视安全意识培训,并美其名曰:安全对用户应该是透明的,即看起来不存在的。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:安全不应该成为业务的负担,然而也不能为了追求透明极致的安全,就进行过度的甚至无止境的技术投入,毕竟最重要的还是业务的持续,这就需要在安全与效率之间,在投入和产出之间,寻求一个合理的平衡点。
随着越来越多的员工在家工作并使用他们的自有计算设备进行业务,安全团队的可见性已经降低了很多。因此,当攻击进行之时,有更多的盲点和暗角,使攻击无法被及时发现。与此同时,社会工程、钓鱼网站和商业欺诈越来越猖狂,造成的经济损失也来越来大。部署如防病毒、防火墙和入侵侦测等技术措施,在保障安全方面,不再扮演关键的幕后角色。这是因为企业级的安全边界已经淡化,传统的安全防线已经转移至用户及其终端设备。
在这种新形势下,IT团队若再花费少量的时间与病毒作斗争,将是得不偿失,甚至徒劳无功。保持终端网络设备的安全,减少人员安全风险,填充数字安全鸿沟,才是应对当下不断涌现的网络钓鱼电子邮件和社会工程攻击的良策。为应对黑客、恶意软件、勒索软件、钓鱼分子和欺诈分子的攻击,专家们通常会建议安全团队对用户进行足够的安全意识培训,以建立起第一道安全防线。
有技术极客可能认为在信息安全工作方面,想希望与用户建立协同工作机制,太困难,因为:用户太菜,难以沟通,不会听话,无法控制。这是典型的技术型的思维模式,最好是把人当成机器,一个计算机指令下去,就会忠实执行,有问题的话还会报错。没错,信息安全最具挑战性的方面是用户。同时,在事实上,人虽然有各种特性,甚至有些狡猾而复杂,但是人的问题若是得不到较好的解决,安全目标就更为渺茫。为什么这么说呢?组织机构都是由人员组成,即使许多人对安全有普遍的了解,但是只需要一两个“菜鸟”或“坏鸟”,就可能会危及整个组织机构。
在系统与人的弱点方面,业余爱好者愿意利用技术弱点,破解系统;专业级别的人士喜欢利用人性的弱点,对人员进行黑客攻击。所以,我们能够看到许多安全问题是由于糟糕的密码实践和缺乏普遍的安全意识而导致的,比如被扮演IT管理员的黑客电话或钓鱼邮件,轻松套得密码。
那么,该如何进行安全意识教育活动呢?从何下手?其实,不必要拘泥于形势,安全教育可以随时随处以任何方式进行。比如,随手转发一条安全新闻事件或警示案例,就是在潜移默化地进行安全教育。当然,如果想来点严谨的正式的做法,也可以弄些数字报告给管理层看,比如搞一些评估、测试、考核、巡访等等活动。一种方法是进行安全意识调查及考试,弄几十道测试题,使用一套在线评测系统,导入测试题即可发动员工们参与调查及考试,考题最好能及时给出正确答案的解释,这也是难得的激发安全思考及纠偏安全认知的教育机会。另一种方法是进行网络钓鱼模拟,可以显示网络钓鱼横幅,向“上钩”的用户警告有关实际事件后果的详细信息。多次的考试及钓鱼,可以得到不同的反馈和统计数值,以展示安全意识培训的有效性。
通常来说,第一轮测试或模拟钓鱼在发现不良安全实践方面相对成功。网络钓鱼模拟通常会捕获40%的普通非技术用户,这意味着多达40%的用户可能会给组织带来不利的后果。一旦培训开始,这些数字在半年后下降到大约15%,一年后下降到10%。然而,在这之后即使数字报告不会再有明显的提升,尽管如此,仍然有足够的原因继续下去,即使网络钓鱼模拟不再能够捕获用户之时。这是因为:一方面,人员会流动,要确保新员工得到他们需要的培训。另一方面,威胁在不断演变,需要有定期培训节奏,可确保员工们获得最新的安全知识。
除了在调查、考试和模拟测试时,可以借机启发用户思考安全,并对其进行警示教育之外,确保员工注意安全的另一种做法是吓唬他们。如同普法一般,要解释不遵守安全实践的风险,包括可能的罚款减薪、降绩效考核、终止劳动雇佣关系,甚至交由司法刑事诉讼处罚等等。在安全意识培训期间,与受众分享后果恐怖的故事案例,以传达不良安全实践的影响。此外,在教育团队员工时,请使用可以影响他们个人的示例。如果员工觉得他们的个人银行卡和信用卡信息可能存在风险,他们可能更有可能改进良好的安全习惯。
知识就是力量,多些知识从来都不是什么坏事。IT团队可以开展简短的教育活动,例如通过发送电子邮件列表,或在午餐区张贴、放置学习海报、易拉宝等,以告知员工基本的信息安全概念,例如勒索软件与恶意软件以及如何识别社会工程企图等等。说到社会工程学,其通常诱使人们泄露机密信息,与电信诈骗(在获取信任技巧方面)类似,该术语适用于使用欺骗手段获取信息、实施欺诈或访问计算机系统。员工通常会因无知而导致安全漏洞,因此通过相关的社会工程学攻击防范知识课程宣导及培育,能显著减少员工引发的安全问题。
提升员工们的警惕心至关重要。安全意识培训的核心概念是教育员工不要打开可疑链接或下载并运行奇怪的文件。无论是定期发送安全意识电子邮件,还是进行在线安全意识培训课程,都应该始终重复并执行这一核心理念。那就是:对不明来源的消息,保持怀疑的态度,不要打开奇怪的东西,不要打开意外到来的附件或链接。
还有一项经常被忽视的安全意识培训项目是教育员工不要使用奇怪的U盘、存储驱动器或不明的充电口(充电宝)。众所周知,数据窃贼会将USB留在公共场所,这些玩艺儿装有旨在窃取信息的病毒。不要忽视其破坏力,想想其能力甚至能破坏伊朗核设施,何况防范力量一般的组织机构。此外,USB设备体积小,非常容易丢失。公共USB充电桩甚至某些共享充电宝都有鬼,当插入移动设备的充电口之后,会尝试突破安全机制,并进行自动化的入侵破解和数据窃取。
提倡疑心和警惕心之外,还要强调安全事件的报告与响应。鼓励用户相信自己的直觉,并进行质询。持续了解攻击的发生方式以及攻击者可能如何选择目标有助于培养直觉。鼓励报告可疑事件有利于化解隐患和快速响应。如果是不经意间感染了病毒或恶意软件,请确保尽快报告,对网络造成伤害的员工通常会感到尴尬。但是,引入病毒或造成数据泄露通常只是工作失误,而不是恶意行为,因此没有理由隐瞒。如果认为自己可能成为网络钓鱼诈骗的受害者或下载了病毒,请迅速采取行动。让IT团队立即知道,并尽可能多提供帮助,以及时止损,甚至发起反击以减少和弥补损失。
科学地讲,安全事件难以100%避免,损失也是难以完全避免的。不管如何,要树立“安全第一”的心态。安全第一的心态有助于避免自满。毕竟,即使是最有知识的用户,也可以在脆弱的时刻被攻击者捕获。尤其是对于执行级别的高管。尽管他们的时间很宝贵,但他们对高价值信息的特权访问使他们成为攻击者和企业间谍的主要目标。因此,安全意识培训方案不应该有例外,即使是首席执行官和总裁也不能例外。
总而言之,IT团队在幕后做了大量的技术管控工作来确保网络安全,然而,用户因为安全知识方面的差距,仍然很容易被强大的网络犯罪分子攻破。因此,培育员工良好安全意识,是构建网络安全第一道防线的关键,武装起来的终端人员可以在很大程度上,帮助保护组织的信息资产,在攻击面转向针对用户弱点的新战场上,这一点尤其重要。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。