信息來源:安全內(nèi)參
根據(jù)SANS最新發(fā)布的2022年安全意識報告,人為錯誤仍然是網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的最主要和最有效媒介。舉一個淺顯易懂的例子:迄今為止后果最為嚴重的幾次超大規(guī)模(影響用戶數(shù)超過1億)數(shù)據(jù)泄露事件大多與ElasticSearch數(shù)據(jù)庫配置錯誤有關(guān)。
SANS研究所安全中心上周三發(fā)布的年度安全意識報告基于對1000名信息安全專業(yè)人員的調(diào)查數(shù)據(jù),結(jié)果發(fā)現(xiàn)缺乏安全意識培訓(xùn)員工仍然是數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的最常見故障點。該報告還跟蹤了受訪者安全意識計劃的成熟度及其網(wǎng)絡(luò)安全措施在降低人為風(fēng)險方面的有效性。
企業(yè)安全意識成熟度模型的五個等級
“今年的報告再次驗證了我們在過去三年中看到的事實:企業(yè)安全意識計劃的成熟度往往與企業(yè)投入的人員和資源成正比?!眻蟾嬷赋?。
“更大規(guī)模的安全意識團隊能更有效地與安全團隊合作,以識別、跟蹤和優(yōu)先考慮他們的首要人為風(fēng)險,并在參與、激勵和培訓(xùn)員工管理風(fēng)險方面更加有效?!?
SANS研究所將企業(yè)網(wǎng)絡(luò)安全意識成熟度從最低到最高分為五個等級:
1. 零基礎(chǔ)
2. 以合規(guī)為重點
3. 促進意識和行為改變
4. 長期維持和文化改變
5. 形成指標框架
受訪企業(yè)安全意識成熟度等級分布如下:
按地域劃分,全球企業(yè)安全意識成熟度等級分布如下:
報告發(fā)現(xiàn),雖然大約400名受訪者表示他們的計劃促進了安全意識和行為改變,達到第四級較高成熟度級別,但這一數(shù)字比上一年的報告下降了10%。
該報告還指出,雖然許多企業(yè)正在將資金投入昂貴的IT安全產(chǎn)品和投資,但花錢培訓(xùn)和訓(xùn)練員工如何發(fā)現(xiàn)和阻止詐騙可能才是是企業(yè)的最佳投資。
SANS研究所表示:“人已成為全球網(wǎng)絡(luò)攻擊者的主要攻擊媒介,因此對企業(yè)構(gòu)成最大風(fēng)險的不是技術(shù)而是人員。而安全意識培訓(xùn)計劃以及管理計劃的專業(yè)人員是管理人類風(fēng)險的關(guān)鍵?!?
企業(yè)面臨的三大威脅都與人員風(fēng)險有關(guān)
研究發(fā)現(xiàn),在企業(yè)面臨的最大威脅中,網(wǎng)絡(luò)釣魚攻擊位居榜首,商業(yè)電子郵件泄露(BEC)攻擊位居第二,勒索軟件位居前三。前三名中有兩個依賴于社會工程策略,雖然勒索軟件攻擊可以通過腳本漏洞利用實現(xiàn)自動化,但也經(jīng)常會利用社會工程策略或勾結(jié)內(nèi)部人員。
此外,該報告還指出,絕大多數(shù)勒索軟件攻擊也都是從網(wǎng)絡(luò)釣魚電子郵件或利用弱密碼開始的。
企業(yè)需要反思和重新認識安全意識培訓(xùn)
報告指出,企業(yè)需要投入更多資金來培訓(xùn)員工,以在網(wǎng)絡(luò)漏洞發(fā)現(xiàn)和攻擊實施之前將其切斷。為了做到這一點,SANS表示,企業(yè)需要重新考慮他們?nèi)绾芜M行安全培訓(xùn),以及為什么要對最終用戶和高管進行培訓(xùn),以了解他們接受培訓(xùn)的內(nèi)容以及培訓(xùn)的重要性。
報告稱:“很多時候,安全意識被認為是僅僅是一種合規(guī)工作,或者安全意識專業(yè)人員被認為是從事"娛樂"業(yè)務(wù),專注于讓員工對網(wǎng)絡(luò)安全感到興奮,但對企業(yè)來說似乎沒有肉眼可見的商業(yè)利益。”
如何提高安全意識培訓(xùn)的成功率?
-
吸引領(lǐng)導(dǎo)的關(guān)注和支持。增加領(lǐng)導(dǎo)支持力度的主要方法之一是從管理風(fēng)險而非合規(guī)性的角度說話,并解釋你為什么做某事,而不是你在做什么?!盀榱擞行У匚I(lǐng)導(dǎo)層的關(guān)注,安全意識團隊需要使用能引起他們共鳴的術(shù)語,并展現(xiàn)自己如何能夠支持企業(yè)的戰(zhàn)略重點?!贝送?,通過利用數(shù)據(jù)創(chuàng)造緊迫感,并通過展示與領(lǐng)導(dǎo)層的優(yōu)先事項保持一致來傳達價值。
-
擴大安全意識項目團隊規(guī)模。記錄和對比安全團隊中有多少人專注于技術(shù)與團隊中有多少人專注于人類風(fēng)險,創(chuàng)建一個文檔來充分解釋人員需求,并與關(guān)鍵部門建立合作伙伴關(guān)系,并建議開發(fā)宣貫項目價值的方法。
-
提高培訓(xùn)頻率。建議企業(yè)至少每月與員工溝通、互動或培訓(xùn)一次。保持培訓(xùn)簡單易行是增加參與和培訓(xùn)員工機會的關(guān)鍵。
-
提高IT部門參與度。SANS表示,安全意識培訓(xùn)計劃的常見問題之一是IT部門缺乏參與。報告顯示,在安全研究和報告上投入更多時間可以幫助高管和IT決策者了解培訓(xùn)員工的重要性。
-
定期收集、整理并匯報指標報告?!懊吭禄▋傻剿膫€小時來收集有關(guān)您的意識計劃的影響和價值的指標,并將其傳達給領(lǐng)導(dǎo)層。這些信息可以包括非正式的指標、既定的關(guān)鍵績效指標,甚至是成功案例?!?
總結(jié)
報告指出:最成熟的安全意識計劃不僅改變了員工的行為和文化,而且還通過指標框架量化和展示了他們對領(lǐng)導(dǎo)力的價值。企業(yè)每年一度的形式化安全培訓(xùn)顯然并不合理,也不充分。對于企業(yè)來說,安全意識不是合規(guī)的套路,而是企業(yè)風(fēng)險管理中生死攸關(guān)的關(guān)鍵任務(wù),只有投入足夠的人員、資源和工具才能有效地管理人為風(fēng)險。