现代企业网络安全防御体系中,人员是最薄弱的环节,同时也是最不被重视的环节。也就是说,人员是黑客最容易突破和利用的“漏洞”,也是企业安全投入最少、提升最慢的短板。GoSecurity2020年全球企业安全调查的结果直观地反映了这个问题:长期以来,那些手套里有六颗零日宝石、头上戴着三顶博士帽的国家级黑客长期被认为是网络空间黑客。最危险的物种,而企业界也热衷于采购最先进的网络安全技术和解决方案,并努力提高安全工具的集成度和自动化程度。但现实与上述调查数据相同:最有效的网络安全措施是提升员工安全意识,但员工安全意识培训得到的预算最少。这导致了一个全球性的网络安全盲点和悖论:人员漏洞最危险,最容易修复(不需要昂贵的技术产品和顶尖技术人才),但也是最难修复的(不被重视,缺乏预算)。不难理解,聚焦最前沿网络安全技术产品的RSAC2020网络安全大会将“人的因素”作为大会主题。这为2020年网络安全行业的发展主题定下了基调:长期被忽视的人员安全意识及相关管理问题,成为网络安全行业乃至企业界最大的“安全债”。2020年网络犯罪最显着的趋势是产业化和“市场化”、“云犯罪”、“犯罪即服务”、“共享犯罪”、“事件犯罪”、“精准犯罪”等,将持续减少APT、勒索软件、人工智能、僵尸网络以及BEC邮件等网络攻击技术门槛让更多善于利用“人为漏洞”的攻击者如虎添翼,同时也补齐了短板企业网络安全——人员意识——比过去更加脆弱。更复杂和危险的威胁。2020年危害最大、成本最高的安全威胁(如勒索软件和BEC邮件攻击)和安全事件往往与“人员漏洞”或内部威胁有关,从微盟数据库删除到大规模推特账号劫持,从本田停产到全球超级计算机集体挖矿……疫情在全球肆虐,未来十年远程办公将成为“新常态”。一次人为漏洞发起的网络攻击,很容易使跨国公司的全球业务陷入瘫痪。据《华尔街日报》报道,70%的企业都担心内部威胁。员工仍然是网络攻击的最大安全威胁,但传统的安全技术和措施无法有效缓解这种网络威胁。2020年,人依然是最大的弱点。据绿盟科技今年3月发布的《2019安全事件响应观察报告》数据显示,2019年三分之一的安全事件与安全管理疏忽或员工安全意识淡薄有关。其中,弱口令事件占22%,钓鱼邮件相关事件占7%,配置不当事件占3%,与人和管理相关的安全事件占1/3。缺乏意识是最容易被攻击者利用的。2020年上半年,疫情引发的全球远程办公进一步放大了“人为漏洞”的威胁,安全感知服务的市场需求也开始快速增长。在全球最大的网络安全市场美国,网络安全意识教育领域的初创公司KnowBe4年营收超过1亿美元,一季度业务同比增长40%2020年疫情期间。2020年,人为失误仍将是数据泄露的主要原因。根据Tessian的一份报告,美国和英国有33%的员工在工作中犯过安全错误,对自己或公司造成网络安全或数据安全威胁(如下图)。该报告指出,人为错误是当今数据泄露的主要原因,并进一步研究了人们犯错的原因以及如何在错误发生之前预防它们:人为错误对网络安全的影响当被问及犯了哪些类型的错误时,有四种三名员工承认在工作中点击了网络钓鱼电子邮件中的链接。31至40岁的员工点击网络钓鱼电子邮件的可能性是51岁以上员工的四倍,而男性点击网络钓鱼电子邮件的可能性是女性的两倍。47%的员工认为分心是网络钓鱼诈骗成功的主要原因。其次是电子邮件看起来真实合法(43%),其中41%的电子邮件假装来自高级管理人员或知名品牌。除了点击恶意链接外,58%的员工承认将工作电子邮件发送给了错误的收件人,其中17%的电子邮件发送给了错误的外部人员。这个简单的错误可能会对个人和公司造成严重后果,他们必须向监管机构及其客户报告该事件。事实上,五分之一的受访者表示他们的公司因发送错误的电子邮件而失去了客户,而12%的员工失去了工作。电子邮件安全事件的主要原因是疲劳(43%),紧随其后的是分心(41%)。57%的受访者表示,他们在家工作时会更加分心,突然转向远程工作可能会使企业更容易受到人为错误造成的安全事件的影响。《工作压力如何影响网络安全》报告的调查结果要求企业了解压力和工作文化对人为错误和网络安全的影响,尤其是考虑到2020年发生的事件。员工透露他们犯了更多错误(52%),感到疲倦(43%)、感到压力时会分心(41%)和快速工作(36%)。因此令人担忧的是,61%的受访者表示他们的公司有一种强调奉献的文化,导致他们的工作时间比平时更长,46%的员工感到倦怠。企业还应该注意全球流行病和远程办公如何影响员工的福祉,以及它与网络安全的关系。“了解压力如何影响行为对于改善网络安全至关重要,”斯坦福大学教授兼社会动力学专家杰夫汉考克说。2020年的工作场所比以往任何时候都压力更大,但更糟糕的是,黑客正在利用这个漏洞。因此,组织需要培训员工了解黑客在此期间使用压力的方式以及人为错误可能导致的安全事件。忽略的年龄差距报告揭示了不同年龄、性别和行业的网络安全行为的显着差异,并且“一刀切”的网络安全培训和意识方法并不能防止人为错误事件的发生。调查结果包括:18至30岁的人中有一半表示他们犯了一个可能危及公司网络安全的错误,而51岁以上的人中这一比例为10%。18至30岁的人中有65%表示他们曾犯过错误错误的公司。收件人发送电子邮件,51岁以上的人中只有34%发送了错误的电子邮件。在接受和点击钓鱼邮件的员工中,70%是年轻人,年龄在18到40岁之间。相比之下,只有8%的51岁以上的人表示他们做过同样的事情。科技行业的员工最有可能点击网络钓鱼电子邮件中的链接,该行业47%的受访者承认他们曾经这样做过。紧随其后的是银行和金融业的员工(45%)。Tessian首席执行官蒂姆·萨德勒(TimSadler)表示:“网络安全培训需要尊重这样一个事实,即新一代员工在网络安全方面的行为截然不同,并且希望每位员工在任何时候都能100%地发现欺诈行为或做正确的事情及时。安全决策也不现实。”为了防止简单的小错误演变成严重的安全事件,企业必须在人的层面上优先考虑网络安全。这需要了解个别员工的行为并定制培训和政策,使安全的网络安全实践成为企业文化不可或缺的一部分,而不是例行公事。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
