信息來源:安全內參
根據(jù)SANS最新發(fā)布的2022年安全意識報告���,人為錯誤仍然是網絡攻擊和數(shù)據(jù)泄露的最主要和最有效媒介���。舉一個淺顯易懂的例子:迄今為止后果最為嚴重的幾次超大規(guī)模(影響用戶數(shù)超過1億)數(shù)據(jù)泄露事件大多與ElasticSearch數(shù)據(jù)庫配置錯誤有關���。
SANS研究所安全中心上周三發(fā)布的年度安全意識報告基于對1000名信息安全專業(yè)人員的調查數(shù)據(jù),結果發(fā)現(xiàn)缺乏安全意識培訓員工仍然是數(shù)據(jù)泄露和網絡攻擊的最常見故障點���。該報告還跟蹤了受訪者安全意識計劃的成熟度及其網絡安全措施在降低人為風險方面的有效性���。
企業(yè)安全意識成熟度模型的五個等級
“今年的報告再次驗證了我們在過去三年中看到的事實:企業(yè)安全意識計劃的成熟度往往與企業(yè)投入的人員和資源成正比?��!眻蟾嬷赋?��。
“更大規(guī)模的安全意識團隊能更有效地與安全團隊合作,以識別���、跟蹤和優(yōu)先考慮他們的首要人為風險���,并在參與、激勵和培訓員工管理風險方面更加有效���?��!?
SANS研究所將企業(yè)網絡安全意識成熟度從最低到最高分為五個等級:
1. 零基礎
2. 以合規(guī)為重點
3. 促進意識和行為改變
4. 長期維持和文化改變
5. 形成指標框架
受訪企業(yè)安全意識成熟度等級分布如下:
按地域劃分���,全球企業(yè)安全意識成熟度等級分布如下:
報告發(fā)現(xiàn),雖然大約400名受訪者表示他們的計劃促進了安全意識和行為改變���,達到第四級較高成熟度級別���,但這一數(shù)字比上一年的報告下降了10%。
該報告還指出���,雖然許多企業(yè)正在將資金投入昂貴的IT安全產品和投資���,但花錢培訓和訓練員工如何發(fā)現(xiàn)和阻止詐騙可能才是是企業(yè)的最佳投資。
SANS研究所表示:“人已成為全球網絡攻擊者的主要攻擊媒介���,因此對企業(yè)構成最大風險的不是技術而是人員���。而安全意識培訓計劃以及管理計劃的專業(yè)人員是管理人類風險的關鍵���?��!?
企業(yè)面臨的三大威脅都與人員風險有關
研究發(fā)現(xiàn)���,在企業(yè)面臨的最大威脅中,網絡釣魚攻擊位居榜首���,商業(yè)電子郵件泄露(BEC)攻擊位居第二���,勒索軟件位居前三。前三名中有兩個依賴于社會工程策略���,雖然勒索軟件攻擊可以通過腳本漏洞利用實現(xiàn)自動化���,但也經常會利用社會工程策略或勾結內部人員。
此外���,該報告還指出���,絕大多數(shù)勒索軟件攻擊也都是從網絡釣魚電子郵件或利用弱密碼開始的。
企業(yè)需要反思和重新認識安全意識培訓
報告指出���,企業(yè)需要投入更多資金來培訓員工���,以在網絡漏洞發(fā)現(xiàn)和攻擊實施之前將其切斷���。為了做到這一點,SANS表示���,企業(yè)需要重新考慮他們如何進行安全培訓���,以及為什么要對最終用戶和高管進行培訓,以了解他們接受培訓的內容以及培訓的重要性���。
報告稱:“很多時候���,安全意識被認為是僅僅是一種合規(guī)工作,或者安全意識專業(yè)人員被認為是從事"娛樂"業(yè)務���,專注于讓員工對網絡安全感到興奮���,但對企業(yè)來說似乎沒有肉眼可見的商業(yè)利益?��!?
如何提高安全意識培訓的成功率���?
-
吸引領導的關注和支持。增加領導支持力度的主要方法之一是從管理風險而非合規(guī)性的角度說話���,并解釋你為什么做某事���,而不是你在做什么?��!盀榱擞行У匚I導層的關注���,安全意識團隊需要使用能引起他們共鳴的術語,并展現(xiàn)自己如何能夠支持企業(yè)的戰(zhàn)略重點���?��!贝送猓ㄟ^利用數(shù)據(jù)創(chuàng)造緊迫感���,并通過展示與領導層的優(yōu)先事項保持一致來傳達價值���。
-
擴大安全意識項目團隊規(guī)模���。記錄和對比安全團隊中有多少人專注于技術與團隊中有多少人專注于人類風險,創(chuàng)建一個文檔來充分解釋人員需求���,并與關鍵部門建立合作伙伴關系���,并建議開發(fā)宣貫項目價值的方法。
-
提高培訓頻率���。建議企業(yè)至少每月與員工溝通���、互動或培訓一次。保持培訓簡單易行是增加參與和培訓員工機會的關鍵���。
-
提高IT部門參與度���。SANS表示,安全意識培訓計劃的常見問題之一是IT部門缺乏參與���。報告顯示���,在安全研究和報告上投入更多時間可以幫助高管和IT決策者了解培訓員工的重要性���。
-
定期收集、整理并匯報指標報告���。“每月花兩到四個小時來收集有關您的意識計劃的影響和價值的指標���,并將其傳達給領導層���。這些信息可以包括非正式的指標、既定的關鍵績效指標���,甚至是成功案例���。”
總結
報告指出:最成熟的安全意識計劃不僅改變了員工的行為和文化���,而且還通過指標框架量化和展示了他們對領導力的價值���。企業(yè)每年一度的形式化安全培訓顯然并不合理,也不充分���。對于企業(yè)來說���,安全意識不是合規(guī)的套路���,而是企業(yè)風險管理中生死攸關的關鍵任務,只有投入足夠的人員���、資源和工具才能有效地管理人為風險���。
