人为错误仍然是攻击者进行网络渗透和数据泄露的最有效途径。SANS研究所安全中心周三发布了年度安全意识报告,该报告基于1,000名信息安全专业人员的数据,发现员工及其缺乏安全培训仍然是数据泄露和网络攻击的常见故障点。该报告还追踪了受访者安全意识计划的成熟度及其在降低人身风险方面的有效性。“今年的报告再次证实了我们在过去三年中看到的情况:最成熟的安全意识计划来自那些拥有最多人员致力于管理和支持它的组织,”网络安全培训和教育组织表示。更大的团队更有效地与安全团队合作,以识别、跟踪和优先考虑他们的首要人为风险,并更有效地参与、激励和培训他们的员工来管理这些风险。”SANS研究所的研究将成熟度分为五个级别,从从最低到最高:不存在、以合规为重点、促进意识和行为改变、长期维持和文化改变以及指标框架。报告发现,虽然大约400名受访者表示他们的计划促进了意识和行为改变(最高回应在所有成熟度级别),该数字比上一年的报告下降了10%。该报告还指出,虽然许多公司正在将资金投入昂贵的IT安全产品和投资,但对企业而言,最好的投资可能是将资金花在培训和培训员工如何发现和制止欺诈。“人类,而不是技术,现在对组织构成最大的风险,因为人类有b成为全球网络攻击者的主要攻击媒介,因此人类已成为网络攻击者的主要攻击媒介,”SANS研究所表示。“安全意识计划以及管理这些计划的专业人员是管理人类风险的关键。”研究发现,公司面临的三大威胁中有两个依赖于社会工程学策略。网络钓鱼攻击位居榜首,商业电子邮件妥协(BEC)攻击位居第二,勒索软件位居前三。虽然勒索软件攻击可以通过脚本攻击自动进行,但网络钓鱼和BEC需要攻击者的“人情味”,他们可以诱骗员工交出敏感的账户信息和路由号码。该报告还指出,绝大多数勒索软件攻击都是从网络钓鱼电子邮件或利用弱密码开始的。这就是为什么SANS说公司需要更多地投资于培训员工以发现攻击并在网络漏洞发生之前将其切断。SANS表示,要做到这一点,企业需要重新思考他们如何以及为何对最终用户和高管进行安全培训,以了解他们接受培训的内容及其重要性。“很多时候,安全意识被认为是一项合规性工作,或者安全意识专业人员被认为是从事‘娱乐’业务,专注于让员工对网络安全感到兴奋,但对商业利益没有影响,”报告称。“为了有效地吸引领导层,关注并使用能引起他们共鸣的术语,并展示对他们战略重点的支持。”SANS表示,部分问题在于IT部门缺乏参与。该报告表明,将时间投入到安全研究和报告中可以帮助高管和IT决策者了解培训和员工警惕性的重要性。“每月花两到四个小时收集关于你的意识计划的影响和价值的指标,并将其传达给领导层,”SANS说。“这些信息可以包括非正式指标、既定的关键绩效指标,甚至是成功案例。”
