信息來(lái)源：安全內(nèi)參

根據(jù)SANS最新發(fā)布的2022年安全意識(shí)報(bào)告，人為錯(cuò)誤仍然是網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的最主要和最有效媒介。舉一個(gè)淺顯易懂的例子：迄今為止后果最為嚴(yán)重的幾次超大規(guī)模（影響用戶(hù)數(shù)超過(guò)1億）數(shù)據(jù)泄露事件大多與ElasticSearch數(shù)據(jù)庫(kù)配置錯(cuò)誤有關(guān)。

SANS研究所安全中心上周三發(fā)布的年度安全意識(shí)報(bào)告基于對(duì)1000名信息安全專(zhuān)業(yè)人員的調(diào)查數(shù)據(jù)，結(jié)果發(fā)現(xiàn)缺乏安全意識(shí)培訓(xùn)員工仍然是數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的最常見(jiàn)故障點(diǎn)。該報(bào)告還跟蹤了受訪(fǎng)者安全意識(shí)計(jì)劃的成熟度及其網(wǎng)絡(luò)安全措施在降低人為風(fēng)險(xiǎn)方面的有效性。

企業(yè)安全意識(shí)成熟度模型的五個(gè)等級(jí)

“今年的報(bào)告再次驗(yàn)證了我們?cè)谶^(guò)去三年中看到的事實(shí)：企業(yè)安全意識(shí)計(jì)劃的成熟度往往與企業(yè)投入的人員和資源成正比?！眻?bào)告指出。

“更大規(guī)模的安全意識(shí)團(tuán)隊(duì)能更有效地與安全團(tuán)隊(duì)合作，以識(shí)別、跟蹤和優(yōu)先考慮他們的首要人為風(fēng)險(xiǎn)，并在參與、激勵(lì)和培訓(xùn)員工管理風(fēng)險(xiǎn)方面更加有效?！?

SANS研究所將企業(yè)網(wǎng)絡(luò)安全意識(shí)成熟度從最低到最高分為五個(gè)等級(jí)：

1. 零基礎(chǔ)

2. 以合規(guī)為重點(diǎn)

3. 促進(jìn)意識(shí)和行為改變

4. 長(zhǎng)期維持和文化改變

5. 形成指標(biāo)框架

受訪(fǎng)企業(yè)安全意識(shí)成熟度等級(jí)分布如下：

按地域劃分，全球企業(yè)安全意識(shí)成熟度等級(jí)分布如下：

報(bào)告發(fā)現(xiàn)，雖然大約400名受訪(fǎng)者表示他們的計(jì)劃促進(jìn)了安全意識(shí)和行為改變，達(dá)到第四級(jí)較高成熟度級(jí)別，但這一數(shù)字比上一年的報(bào)告下降了10%。

該報(bào)告還指出，雖然許多企業(yè)正在將資金投入昂貴的IT安全產(chǎn)品和投資，但花錢(qián)培訓(xùn)和訓(xùn)練員工如何發(fā)現(xiàn)和阻止詐騙可能才是是企業(yè)的最佳投資。

SANS研究所表示：“人已成為全球網(wǎng)絡(luò)攻擊者的主要攻擊媒介，因此對(duì)企業(yè)構(gòu)成最大風(fēng)險(xiǎn)的不是技術(shù)而是人員。而安全意識(shí)培訓(xùn)計(jì)劃以及管理計(jì)劃的專(zhuān)業(yè)人員是管理人類(lèi)風(fēng)險(xiǎn)的關(guān)鍵?！?

企業(yè)面臨的三大威脅都與人員風(fēng)險(xiǎn)有關(guān)

研究發(fā)現(xiàn)，在企業(yè)面臨的最大威脅中，網(wǎng)絡(luò)釣魚(yú)攻擊位居榜首，商業(yè)電子郵件泄露(BEC)攻擊位居第二，勒索軟件位居前三。前三名中有兩個(gè)依賴(lài)于社會(huì)工程策略，雖然勒索軟件攻擊可以通過(guò)腳本漏洞利用實(shí)現(xiàn)自動(dòng)化，但也經(jīng)常會(huì)利用社會(huì)工程策略或勾結(jié)內(nèi)部人員。

此外，該報(bào)告還指出，絕大多數(shù)勒索軟件攻擊也都是從網(wǎng)絡(luò)釣魚(yú)電子郵件或利用弱密碼開(kāi)始的。

企業(yè)需要反思和重新認(rèn)識(shí)安全意識(shí)培訓(xùn)

報(bào)告指出，企業(yè)需要投入更多資金來(lái)培訓(xùn)員工，以在網(wǎng)絡(luò)漏洞發(fā)現(xiàn)和攻擊實(shí)施之前將其切斷。為了做到這一點(diǎn)，SANS表示，企業(yè)需要重新考慮他們?nèi)绾芜M(jìn)行安全培訓(xùn)，以及為什么要對(duì)最終用戶(hù)和高管進(jìn)行培訓(xùn)，以了解他們接受培訓(xùn)的內(nèi)容以及培訓(xùn)的重要性。

報(bào)告稱(chēng)：“很多時(shí)候，安全意識(shí)被認(rèn)為是僅僅是一種合規(guī)工作，或者安全意識(shí)專(zhuān)業(yè)人員被認(rèn)為是從事"娛樂(lè)"業(yè)務(wù)，專(zhuān)注于讓員工對(duì)網(wǎng)絡(luò)安全感到興奮，但對(duì)企業(yè)來(lái)說(shuō)似乎沒(méi)有肉眼可見(jiàn)的商業(yè)利益?！?

如何提高安全意識(shí)培訓(xùn)的成功率？

• 吸引領(lǐng)導(dǎo)的關(guān)注和支持。增加領(lǐng)導(dǎo)支持力度的主要方法之一是從管理風(fēng)險(xiǎn)而非合規(guī)性的角度說(shuō)話(huà)，并解釋你為什么做某事，而不是你在做什么?！盀榱擞行У匚I(lǐng)導(dǎo)層的關(guān)注，安全意識(shí)團(tuán)隊(duì)需要使用能引起他們共鳴的術(shù)語(yǔ)，并展現(xiàn)自己如何能夠支持企業(yè)的戰(zhàn)略重點(diǎn)?！贝送?，通過(guò)利用數(shù)據(jù)創(chuàng)造緊迫感，并通過(guò)展示與領(lǐng)導(dǎo)層的優(yōu)先事項(xiàng)保持一致來(lái)傳達(dá)價(jià)值。

• 擴(kuò)大安全意識(shí)項(xiàng)目團(tuán)隊(duì)規(guī)模。記錄和對(duì)比安全團(tuán)隊(duì)中有多少人專(zhuān)注于技術(shù)與團(tuán)隊(duì)中有多少人專(zhuān)注于人類(lèi)風(fēng)險(xiǎn)，創(chuàng)建一個(gè)文檔來(lái)充分解釋人員需求，并與關(guān)鍵部門(mén)建立合作伙伴關(guān)系，并建議開(kāi)發(fā)宣貫項(xiàng)目?jī)r(jià)值的方法。

• 提高培訓(xùn)頻率。建議企業(yè)至少每月與員工溝通、互動(dòng)或培訓(xùn)一次。保持培訓(xùn)簡(jiǎn)單易行是增加參與和培訓(xùn)員工機(jī)會(huì)的關(guān)鍵。

• 提高IT部門(mén)參與度。SANS表示，安全意識(shí)培訓(xùn)計(jì)劃的常見(jiàn)問(wèn)題之一是IT部門(mén)缺乏參與。報(bào)告顯示，在安全研究和報(bào)告上投入更多時(shí)間可以幫助高管和IT決策者了解培訓(xùn)員工的重要性。

• 定期收集、整理并匯報(bào)指標(biāo)報(bào)告。“每月花兩到四個(gè)小時(shí)來(lái)收集有關(guān)您的意識(shí)計(jì)劃的影響和價(jià)值的指標(biāo)，并將其傳達(dá)給領(lǐng)導(dǎo)層。這些信息可以包括非正式的指標(biāo)、既定的關(guān)鍵績(jī)效指標(biāo)，甚至是成功案例?！?

總結(jié)

報(bào)告指出：最成熟的安全意識(shí)計(jì)劃不僅改變了員工的行為和文化，而且還通過(guò)指標(biāo)框架量化和展示了他們對(duì)領(lǐng)導(dǎo)力的價(jià)值。企業(yè)每年一度的形式化安全培訓(xùn)顯然并不合理，也不充分。對(duì)于企業(yè)來(lái)說(shuō)，安全意識(shí)不是合規(guī)的套路，而是企業(yè)風(fēng)險(xiǎn)管理中生死攸關(guān)的關(guān)鍵任務(wù)，只有投入足夠的人員、資源和工具才能有效地管理人為風(fēng)險(xiǎn)。