信息來源：安全內(nèi)參

根據(jù)SANS最新發(fā)布的2022年安全意識報告，人為錯誤仍然是網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的最主要和最有效媒介。舉一個淺顯易懂的例子：迄今為止后果最為嚴(yán)重的幾次超大規(guī)模（影響用戶數(shù)超過1億）數(shù)據(jù)泄露事件大多與ElasticSearch數(shù)據(jù)庫配置錯誤有關(guān)。

SANS研究所安全中心上周三發(fā)布的年度安全意識報告基于對1000名信息安全專業(yè)人員的調(diào)查數(shù)據(jù)，結(jié)果發(fā)現(xiàn)缺乏安全意識培訓(xùn)員工仍然是數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的最常見故障點。該報告還跟蹤了受訪者安全意識計劃的成熟度及其網(wǎng)絡(luò)安全措施在降低人為風(fēng)險方面的有效性。

企業(yè)安全意識成熟度模型的五個等級

“今年的報告再次驗證了我們在過去三年中看到的事實：企業(yè)安全意識計劃的成熟度往往與企業(yè)投入的人員和資源成正比?！眻蟾嬷赋?。

“更大規(guī)模的安全意識團隊能更有效地與安全團隊合作，以識別、跟蹤和優(yōu)先考慮他們的首要人為風(fēng)險，并在參與、激勵和培訓(xùn)員工管理風(fēng)險方面更加有效?！?

SANS研究所將企業(yè)網(wǎng)絡(luò)安全意識成熟度從最低到最高分為五個等級：

1. 零基礎(chǔ)

2. 以合規(guī)為重點

3. 促進意識和行為改變

4. 長期維持和文化改變

5. 形成指標(biāo)框架

受訪企業(yè)安全意識成熟度等級分布如下：

按地域劃分，全球企業(yè)安全意識成熟度等級分布如下：

報告發(fā)現(xiàn)，雖然大約400名受訪者表示他們的計劃促進了安全意識和行為改變，達到第四級較高成熟度級別，但這一數(shù)字比上一年的報告下降了10%。

該報告還指出，雖然許多企業(yè)正在將資金投入昂貴的IT安全產(chǎn)品和投資，但花錢培訓(xùn)和訓(xùn)練員工如何發(fā)現(xiàn)和阻止詐騙可能才是是企業(yè)的最佳投資。

SANS研究所表示：“人已成為全球網(wǎng)絡(luò)攻擊者的主要攻擊媒介，因此對企業(yè)構(gòu)成最大風(fēng)險的不是技術(shù)而是人員。而安全意識培訓(xùn)計劃以及管理計劃的專業(yè)人員是管理人類風(fēng)險的關(guān)鍵。”

企業(yè)面臨的三大威脅都與人員風(fēng)險有關(guān)

研究發(fā)現(xiàn)，在企業(yè)面臨的最大威脅中，網(wǎng)絡(luò)釣魚攻擊位居榜首，商業(yè)電子郵件泄露(BEC)攻擊位居第二，勒索軟件位居前三。前三名中有兩個依賴于社會工程策略，雖然勒索軟件攻擊可以通過腳本漏洞利用實現(xiàn)自動化，但也經(jīng)常會利用社會工程策略或勾結(jié)內(nèi)部人員。

此外，該報告還指出，絕大多數(shù)勒索軟件攻擊也都是從網(wǎng)絡(luò)釣魚電子郵件或利用弱密碼開始的。

企業(yè)需要反思和重新認(rèn)識安全意識培訓(xùn)

報告指出，企業(yè)需要投入更多資金來培訓(xùn)員工，以在網(wǎng)絡(luò)漏洞發(fā)現(xiàn)和攻擊實施之前將其切斷。為了做到這一點，SANS表示，企業(yè)需要重新考慮他們?nèi)绾芜M行安全培訓(xùn)，以及為什么要對最終用戶和高管進行培訓(xùn)，以了解他們接受培訓(xùn)的內(nèi)容以及培訓(xùn)的重要性。

報告稱：“很多時候，安全意識被認(rèn)為是僅僅是一種合規(guī)工作，或者安全意識專業(yè)人員被認(rèn)為是從事"娛樂"業(yè)務(wù)，專注于讓員工對網(wǎng)絡(luò)安全感到興奮，但對企業(yè)來說似乎沒有肉眼可見的商業(yè)利益?！?

如何提高安全意識培訓(xùn)的成功率？

• 吸引領(lǐng)導(dǎo)的關(guān)注和支持。增加領(lǐng)導(dǎo)支持力度的主要方法之一是從管理風(fēng)險而非合規(guī)性的角度說話，并解釋你為什么做某事，而不是你在做什么。“為了有效地吸引領(lǐng)導(dǎo)層的關(guān)注，安全意識團隊需要使用能引起他們共鳴的術(shù)語，并展現(xiàn)自己如何能夠支持企業(yè)的戰(zhàn)略重點?！贝送猓ㄟ^利用數(shù)據(jù)創(chuàng)造緊迫感，并通過展示與領(lǐng)導(dǎo)層的優(yōu)先事項保持一致來傳達價值。

• 擴大安全意識項目團隊規(guī)模。記錄和對比安全團隊中有多少人專注于技術(shù)與團隊中有多少人專注于人類風(fēng)險，創(chuàng)建一個文檔來充分解釋人員需求，并與關(guān)鍵部門建立合作伙伴關(guān)系，并建議開發(fā)宣貫項目價值的方法。

• 提高培訓(xùn)頻率。建議企業(yè)至少每月與員工溝通、互動或培訓(xùn)一次。保持培訓(xùn)簡單易行是增加參與和培訓(xùn)員工機會的關(guān)鍵。

• 提高IT部門參與度。SANS表示，安全意識培訓(xùn)計劃的常見問題之一是IT部門缺乏參與。報告顯示，在安全研究和報告上投入更多時間可以幫助高管和IT決策者了解培訓(xùn)員工的重要性。

• 定期收集、整理并匯報指標(biāo)報告?！懊吭禄▋傻剿膫€小時來收集有關(guān)您的意識計劃的影響和價值的指標(biāo)，并將其傳達給領(lǐng)導(dǎo)層。這些信息可以包括非正式的指標(biāo)、既定的關(guān)鍵績效指標(biāo)，甚至是成功案例?！?

總結(jié)

報告指出：最成熟的安全意識計劃不僅改變了員工的行為和文化，而且還通過指標(biāo)框架量化和展示了他們對領(lǐng)導(dǎo)力的價值。企業(yè)每年一度的形式化安全培訓(xùn)顯然并不合理，也不充分。對于企業(yè)來說，安全意識不是合規(guī)的套路，而是企業(yè)風(fēng)險管理中生死攸關(guān)的關(guān)鍵任務(wù)，只有投入足夠的人員、資源和工具才能有效地管理人為風(fēng)險。