10月是安全意识月,这是一个激动人心的时刻,因为世界各地的企业都在培训人们如何在工作和家中保持在线安全。但安全意识到底是什么,更重要的是,我们为什么要关心它?根据业务的不同,安全意识有许多其他名称:安全影响、文化、参与、培训、教育等。所有这些不同的名称可能看起来令人困惑,但归根结底,它们都在谈论同一件事-管理人为风险。传统方法行不通 企业、网络安全领导者和网络安全社区一致认为:在当今高度连接的世界中,人是最大的安全风险。最新发布的《威瑞森数据泄露调查报告》(DBIR)指出,全球80%以上的数据泄露都与人有关。这些事件可能涉及人们成为网络钓鱼电子邮件或诈骗的目标,或者人们犯了错误(例如,IT管理员错误配置了他们的云帐户并意外地与全世界共享了敏感数据)。如果人类处于如此高的风险中,应该怎么办? 传统的方法是在这个问题上投入更多的技术。如果网络攻击者成功利用电子邮件进行网络钓鱼,将部署安全技术来过滤和阻止网络钓鱼电子邮件攻击。如果网络攻击者泄露了人们的密码,将实施多因素身份验证。问题是,网络攻击者会绕过这些技术并以人为目标。随着我们更好地识别和阻止网络钓鱼电子邮件攻击,网络攻击者将目标对准人们的手机并通过SMS或SMS进行攻击。随着越来越多的企业部署MFA,网络攻击者开始用MFA请求缠扰人们,直到他们批准(最近发生在Uber上)。这是我们遇到第二个挑战的地方:安全团队经常将人归咎于人为风险问题的根本原因——正如“人是最薄弱的环节”和“如果我们的员工按照我们的指示行事”等经常使用的短语所证明的那样他们,他们和我们都很安全。”但从普通员工的角度来看网络安全时,安全社区往往是罪魁祸首。我们让网络安全变得如此混乱、可怕和难以抗拒,以至于我们让人们注定要失败。人们常常不知道该做什么,或者即使他们知道该做什么,也很难做正确的事,以至于他们做错了,或者干脆选择另一个选择。看看密码,这是入侵的最大驱动因素之一。多年来,人们继续以不安全的方式使用弱密码,但问题仍然存在,因为我们教授的密码政策令人困惑且不断变化。例如,许多企业或网站的政策要求复杂密码为15个字符,包括大小写字母、符号和数字。然后,我们要求人们每90天更改一次密码,但没有提供一种安全的方法来保护所有这些冗长、复杂且不断变化的密码。然后推出了MFA以帮助人们确保安全,但是,这又一次非常令人困惑(甚至对我来说也是如此!)首先,我们有多个不同的MFA名称,包括双因素身份验证、两步验证、强身份验证或一次性密码。然后我们有许多不同的方式来做到这一点,包括推送通知、短信、基于FIDO令牌的应用程序、身份验证应用程序等。您访问的每个网站都有不同的名称和技术实现,然后我们再次责怪人们不这样做使用它。从安全意识到管理风险 安全意识培训一直是传统的方法,涉及就如何实现网络安全对员工进行沟通和培训。虽然这是朝着正确方向迈出的一步,但我们需要走得更远:我们需要管理人为风险。管理人员风险需要更具战略性的方法。它建立在安全意识的基础上,包括:风险:安全意识团队需要成为安全团队不可或缺的一部分,甚至直接向CISO报告。他们的工作应包括与安全运营中心、网络威胁情报分析师和事件响应人员等其他安全部门密切合作,以明确识别组织面临的主要人为风险以及管理这些风险的关键行动。一旦确定了这些关键风险和行为并确定了优先级,我们就可以就这些行为对员工进行沟通和培训。策略:我们需要开始创建安全策略、流程和程序,让人们更容易遵守,我们应该在设计策略(以及支持它们的工具)时考虑到人。如果你想让人们使用强认证,你必须专注于人们容易学习和使用的东西。该过程越混乱和手动,网络攻击者就越容易利用它。安全团队:我们需要安全团队用每个人都能理解的简单、“人性化”的术语与员工沟通,包括解释他们为什么需要它:为什么密码管理器很重要,MFA对他们有什么价值,以及为什么自动更新有利于他们。我们必须改变员工对安全团队的看法:从傲慢到平易近人。管理人员风险正在成为每个安全领导者战略的基本组成部分。在我们尝试沟通、参与和培训我们的员工时,安全意识是朝着正确方向迈出的第一步,但我们需要更有针对性、更具战略性的努力来真正管理人类风险。也许有一天我们甚至会发展到足以用人类风险官取代安全意识官的角色。
