译者|刘涛审校|孙淑娟虽然我们常常庆祝技术的发展和创新的进步,但网络攻击的日趋复杂让情况不容乐观。网络安全措施需要比网络攻击领先一步,才有希望打击它们,但随着黑客和网络安全工具几乎同步发展,如果没有网络安全意识培训,技术不太可能发展得足够快以保护人们。企业度。黑客也在进行更加个性化的攻击,因此网络安全培训必须跟上。网络钓鱼可以针对个人,而不仅仅是利用受害者生活中的个人隐私来触发响应的“喷雾和祈祷”攻击。技术对这种威胁无能为力;唯一的保护措施是培训网络安全从业人员识别诈骗。增加风险网络钓鱼攻击的危险总是在增加。远程办公和混合工作的激增扩大了网络攻击的范围,因为许多人在办公室防火墙外工作,并且缺乏来自安全团队的持续威胁警告。根据普华永道(PWC)的调查,43%的首席信息官(CIO)最关心的是企业混合工作对数据隐私和网络安全的影响。如今,网络入侵不仅更加频繁,而且伴随着数字化浪潮,它们也更加昂贵和危险。今天黑客可以收集的信息比几年前重要得多。根据美国联邦调查局5月份发布的数据,自2016年以来,包括网络钓鱼和其他社会工程策略在内的商业电子邮件妥协(BEC)攻击已造成超过430亿美元的损失。乌克兰战争和西方对中国不断升级的网络侵略导致某些政治代理人越来越多地使用网络战,而不仅仅是出于贪婪动机的黑客。这些政治代理人在国家最高层的直接或默许下,试图改变全球力量平衡。与只想赚钱的网络窃贼相比,这类人往往有更多的自由来操纵和使用更好的黑客工具。网络战助长了供应链攻击,使小企业、公用事业和大公司成为攻击的主要目标。黑客知道数字化意味着所有公司都相互连接,因此他们瞄准了供应链中最薄弱的环节。Solarwinds黑客事件敲响了警钟:成功入侵小型企业可以为未来入侵大型企业打开后门。针对人员的网络攻击需要对员工进行特殊培训。虽然我们希望科技能够拯救人类,但黑客技术和破坏力的迅猛发展表明,只有人自己才是解决问题最有效的途径。数字加速带来了更先进的网络安全工具,但也带来了更新、更复杂的网络攻击。如今,黑客和首席信息官/首席信息安全官(CIO/CISO)陷入了一场正面交锋。黑客很清楚这种平等,所以他们故意以员工为目标。人为错误仍然是每个团队的弱点;ThoughtLab的一份报告指出,在未来两年内,安全主管预计来自社会工程(包括网络钓鱼)的攻击将会增加。与其他网络攻击不同,网络钓鱼攻击不针对防火墙或服务器,而是依靠人类的恐惧和希望来造成严重破坏。恶意行为者经常进行实际研究以发现针对个别目标的特定触发因素。俄乌战争事件、飞涨的生活成本、对大流行的焦虑以及长期冠状病毒疾病的影响,为网络入侵者提供了许多现有网络安全工具无法阻止的新策略。培训需要侧重于教育员工了解并抵制这些入侵手段。值得庆幸的是,这次培训非常有效。Hoxhunt的研究表明,随着员工完成模拟课程,他们识别网络钓鱼电子邮件的能力得到提高,已识别威胁的报告率也得到提高,仅在六次培训课程中就从零变为零。增加到65%。与此同时,平均故障率从14%下降到4%。员工培训不能只是技术性的。虽然基于模拟的培训很普遍且有效,但这还不够。如果网络钓鱼预防培训纯粹基于技术,那么仅靠预先配置的模拟将不足以培训员工应对真实世界的网络入侵情况。确保员工了解所涉及的入侵手段至关重要,而不是简单地以高失败率惩罚他们。真正的网络钓鱼通常比模拟仿真更有说服力。因此,如果模拟不完美,员工仍会在最重要的障碍上绊倒。要使网络钓鱼模拟足够引人注目,需要的不仅仅是技术,有效的培训还需要以行为科学为基础。因此,越是有意识的员工,就越难模拟。这需要了解每位员工的触发因素、文化共鸣以及他们可能点击网络钓鱼链接的原因。黑客为此付出了如此多的努力,因此模拟也必须这样做。技术需要与人类情感携手并进成功应对日益增长的网络安全威胁需要同时使用技术工具和人类情感。只有与真正的黑客携手并进,开发逼真的模拟,才能提高员工的警惕性,以防止网络钓鱼并保护公司。译者介绍刘涛,社区编辑,某大型央企系统在线检测管控负责人。原标题:科技只能做这么多来防止当今复杂的网络攻击,作者:GabrielleSadeh
