人为错误依然是最重大的安全威胁

根据SANS最新发布的2022年安全意识报告,人为错误仍然是网络攻击和数据泄露的最主要和最有效媒介。举一个浅显易懂的例子:迄今为止后果最为严重的几次超大规模(影响用户数超过1亿)数据泄露事件大多与ElasticSearch数据库配置错误有关。

SANS研究所安全中心上周三发布的年度安全意识报告基于对1000名信息安全专业人员的调查数据,结果发现缺乏安全意识培训员工仍然是数据泄露和网络攻击的最常见故障点。该报告还跟踪了受访者安全意识计划的成熟度及其网络安全措施在降低人为风险方面的有效性。

企业安全意识成熟度模型的五个等级

“今年的报告再次验证了我们在过去三年中看到的事实:企业安全意识计划的成熟度往往与企业投入的人员和资源成正比。”报告指出。

“更大规模的安全意识团队能更有效地与安全团队合作,以识别、跟踪和优先考虑他们的首要人为风险,并在参与、激励和培训员工管理风险方面更加有效。”

SANS研究所将企业网络安全意识成熟度从最低到最高分为五个等级:

1. 零基础

2. 以合规为重点

3. 促进意识和行为改变

4. 长期维持和文化改变

5. 形成指标框架

受访企业安全意识成熟度等级分布如下:

按地域划分,全球企业安全意识成熟度等级分布如下:

报告发现,虽然大约400名受访者表示他们的计划促进了安全意识和行为改变,达到第四级较高成熟度级别,但这一数字比上一年的报告下降了10%。

该报告还指出,虽然许多企业正在将资金投入昂贵的IT安全产品和投资,但花钱培训和训练员工如何发现和阻止诈骗可能才是是企业的最佳投资。

SANS研究所表示:“人已成为全球网络攻击者的主要攻击媒介,因此对企业构成最大风险的不是技术而是人员。而安全意识培训计划以及管理计划的专业人员是管理人类风险的关键。”

企业面临的三大威胁都与人员风险有关

研究发现,在企业面临的最大威胁中,网络钓鱼攻击位居榜首,商业电子邮件泄露(BEC)攻击位居第二,勒索软件位居前三。前三名中有两个依赖于社会工程策略,虽然勒索软件攻击可以通过脚本漏洞利用实现自动化,但也经常会利用社会工程策略或勾结内部人员。

此外,该报告还指出,绝大多数勒索软件攻击也都是从网络钓鱼电子邮件或利用弱密码开始的。

企业需要反思和重新认识安全意识培训

报告指出,企业需要投入更多资金来培训员工,以在网络漏洞发现和攻击实施之前将其切断。为了做到这一点,SANS表示,企业需要重新考虑他们如何进行安全培训,以及为什么要对最终用户和高管进行培训,以了解他们接受培训的内容以及培训的重要性。

报告称:“很多时候,安全意识被认为是仅仅是一种合规工作,或者安全意识专业人员被认为是从事’娱乐’业务,专注于让员工对网络安全感到兴奋,但对企业来说似乎没有肉眼可见的商业利益。”

如何提高安全意识培训的成功率?

  • 吸引领导的关注和支持。增加领导支持力度的主要方法之一是从管理风险而非合规性的角度说话,并解释你为什么做某事,而不是你在做什么。“为了有效地吸引领导层的关注,安全意识团队需要使用能引起他们共鸣的术语,并展现自己如何能够支持企业的战略重点。”此外,通过利用数据创造紧迫感,并通过展示与领导层的优先事项保持一致来传达价值。
  • 扩大安全意识项目团队规模。记录和对比安全团队中有多少人专注于技术与团队中有多少人专注于人类风险,创建一个文档来充分解释人员需求,并与关键部门建立合作伙伴关系,并建议开发宣贯项目价值的方法。
  • 提高培训频率。建议企业至少每月与员工沟通、互动或培训一次。保持培训简单易行是增加参与和培训员工机会的关键。
  • 提高IT部门参与度。SANS表示,安全意识培训计划的常见问题之一是IT部门缺乏参与。报告显示,在安全研究和报告上投入更多时间可以帮助高管和IT决策者了解培训员工的重要性。
  • 定期收集、整理并汇报指标报告。“每月花两到四个小时来收集有关您的意识计划的影响和价值的指标,并将其传达给领导层。这些信息可以包括非正式的指标、既定的关键绩效指标,甚至是成功案例。”

总结

报告指出:最成熟的安全意识计划不仅改变了员工的行为和文化,而且还通过指标框架量化和展示了他们对领导力的价值。企业每年一度的形式化安全培训显然并不合理,也不充分。对于企业来说,安全意识不是合规的套路,而是企业风险管理中生死攸关的关键任务,只有投入足够的人员、资源和工具才能有效地管理人为风险。

前一篇周刊 | 网安大事回顾(2022.6.27—2022.7.3)
后一篇英国陆军社交帐号被劫持用于宣传加密货币骗局