多年来您可能一直听说过,人类是安全链中最薄弱的环节。 大量文章指责人类在点击一切事物的时代点击了一些东西。 我们现在有了这个工具,整个系统都是建立在点击链接的基础上的。 它甚至是日常办公室用语的一部分, “......让我们双击一下那个。” 当然,人类经常会做出一些愚蠢的信息安全事情,比如将笔记本电脑留在未锁的汽车中、将密码记在计算机上,或者成为充满情绪化的求助电子邮件的受害者。
人非圣贤,孰能无过,我们都会犯错。 但将责任归咎于你最强大的环节和组织防御的重要组成部分也是一个错误。
员工常常对公司的安全政策感到失望,而且一般来说,大多数人的主要工作与安全无关。 他们可能不明白他们的行为会带来怎样的更大影响。 难以遵守的复杂政策只会导致以提高生产力为名采取危险的变通方法。 制定有利于员工而不是阻碍员工的安全政策非常重要。
Gurucul 在 2019 年 RSA 大会上对 650 多名 IT 专业人士进行了调查,据其显示,近 75% 的人感到容易受到内部威胁。 其中,用户错误是最受关注的问题,占 39%,其次是内部恶意攻击(35%)和账户泄露(26%)。 除此之外,只有 34% 的受访者认为他们能够实时检测到威胁。 33%的人专注于在事件发生后检测内部威胁,而不是在事件发生之前进行预测。 最后,40% 的人根本无法判断数据是否已经离开建筑物。
《关键基础设施技术》报告称,大多数网络安全事件(无论是故意的还是意外的)都是内部人员的某些行为造成的。 多年来,我们看到过很多这样的事件,人们被愚弄点击附件或被欺骗点击欺诈性链接。 网络钓鱼如今尤为盛行,正如F5 实验室指出的那样,它已被证明非常成功,现已成为最主要的攻击媒介。 事实上,反网络钓鱼工作组报告称,过去 12 年间,网络钓鱼数量增加了 5,753%。 F5 实验室发现,他们调查的 48% 违规案件的根本原因是网络钓鱼。
您能做什么?
嗯,确实有一些技术可以帮助降低威胁的潜在性。 F5 Labs 2018 年网络钓鱼和欺诈报告建议采取几种防御措施,包括对来自外部来源的电子邮件进行标记,以便提醒员工谨慎行事。 防病毒、网络过滤和欺诈防护、单点登录、多因素身份验证、机器人阻止等技术,甚至利用蜜罐令牌(可监控的虚拟用户帐户和电子邮件地址,以检测攻击者何时发送全面的网络钓鱼电子邮件。 解密和检查入站和出站流量以发现潜在的加密威胁也至关重要;68% 的恶意软件从加密的命令和控制服务器获取指令。
所有这些都可以减少威胁面,但并不能消除有人潜行的可能性。 社会工程学策略早已存在,远在互联网出现之前。
这就是培训的作用所在。
人类是情感动物,习惯于常规。 如果他们习惯于点击所有内容,他们将需要帮助来识别什么是安全的,什么是危险的。 因此,安全意识培训至关重要。 至少他们会意识到过度点击的后果,并对攻击的狡猾手段做好准备。 还应敦促用户在运行外部软件或提供登录凭据之前报告任何可疑电子邮件并与 IT 或安全部门核实。
F5 Labs 2018 年网络钓鱼和欺诈报告指出,Webroot 测试表明,进行的安全意识培训越多,员工发现和避免风险的能力就越强。 开展 1 至 5 次培训活动的企业的网络钓鱼点击率下降了 33%;开展 6 至 10 次培训活动的企业的网络钓鱼点击率下降到了 28%;而开展 11 次或更多次培训活动的企业的网络钓鱼点击率则下降到了 13%。 此外,当内容是最新且相关的时,网络钓鱼模拟和活动被发现是最有效的。 这意味着,没有进行安全意识培训的公司可以合理地预期用户会点击至少三分之一的网络钓鱼尝试。 培训总是比违规更便宜。
在培训方面, F5实验室建议培训应简短、相关、个性化、可解决。 将安全视为一个可管理的问题,但需要所有相关人员积极、知情的参与。 安全意识培训是直接与所有用户对话并鼓励他们参与共同事业的最佳机会。
这是一个有趣的方法,你可以和你的朋友一起尝试一下。 说, “我是网络专家,如果你告诉我你的密码,我就可以告诉你它是否安全。” 看看有多少人给你答案!