下面是小编为大家整理的安全意识提升攻略,供大家参考。
安全意识提升攻略 安全意识提升攻略
提升安全意识看似简单, 不过相信大家在实践后就会发现并非易事。
其不仅需要资源等客观条件准备到位, 对于人员的培训同样必不可少。
因此企业在进行安全意识培训时, 可能会遇到复杂度极高、成本不菲等众多问题。
不过, 通过科学的方法, 这些困难或许都能得到有效解决。
无论大企业还是小公司, 曾经都可能有过提升员工安全意识的计划。
尽管项目结果未必完美无缺, 但其中大部分仍会有收效。
从本质上讲, 保证项目获得成功的关键在于, 企业必须真正理解自身的目标规划。
在这一课题的研究过程中, CSO 网站曾对众多从业专家以及企业高管进行了调查。
一般而言, 企业高管会将信息安全与业务视为两项独立的事务, 而且尽管这种观点现在发生了一定转变, 但大多数管理者仍然很难将安全防护纳入整体业务流程。
虽然对于那些已经将安全与业务联系起来的高管们来说,许可更新、 支持与服务协议、 防火墙以及其他相关安全设备已经成为其必须深入了解的安全组件。
但即便如此, 对于管理者而言, 安全意识培训似乎更像是一种整体安全培训的扩展与延伸, 这类似于需要单独拨款的项目往往得不到管理者的认可。
不可否认的是, 伴随一些重大信息安全事件的发生, 一些企业管理层开始意识到事态的严重性, 很多企业在安全预算方面也确实增加了不少, 但大部分企业还没有意识到这一点。
安全意识培训是否必要?
安全意识培训的实际价值在专家眼中同样存在争议。
一部分人认为很有必要, 不过也有不少专家觉得这纯粹是在浪费时间和资源。
CSO 网站专栏作家 Dave Aitel 这样论述他的安全意识培训无用观点:
“与其投入时间、 金钱与人力资源尝试向员工传达安全意识, 企业还不如将注意力高度集中在业务环境保护以及网络隔离上。
这才是更科学的企业管理哲学。
员工应该可以点击任何链接或者打开任何附件, 而这些都不应该给企业带来安全风险。
”
“由于员工有可能这样做, 因此我们不妨以此为核心作好规划。
这是 CSO、 CISO 或者 IT 安全经理
的本职工作, 即确保威胁在接触到员工之前就受到扼止。
如果这些手段未能奏效, 那么网络隔离机制也必须有能力控制感染的进一步扩散。
” Aitel 说。
不过另一位专栏作家 Ira Winkler 则从反面提出了不同的见解:
“我们要关注的是, 安全意识培训所需要的成本是否低于由此可能带来的实际损失。
举例来说, 每一次成功的钓鱼攻击都会造成相应的经济损失, 如果大家能够通过培训将钓鱼攻击成功的机率降低 50%、 那就相当于降低了 50%的潜在损失。
”
“有观点指出, 科学有效的安全意识培训能够将攻击活动的成功率降低 90%甚至 95%。
很明显, 这足以证明安全投入的物有所值, 特别是在大多数安全意识培训方案甚至并不需要花费多少资金的前提之下。
” Winkler 表示。
安全意识培训存在的意义并不是为了取代传统的网络安全设备或者管理策略。
同样, 它也不是为了替代紧急事件的响应与处理机制。
事实上, 安全意识培训根本也起不到这样的作用。
安全意识培训的惟一作用在于提高业务流程的恢复成功率, 并在问题发生时显著缩短响应时间。
虽然通过培训能够使员工轻松识别并上报钓鱼攻击或者邮件恶意附件, 但这并不代表此类攻击会被彻底消灭。
其更多作用是帮助安全团队的技术人员更快发现问题,而这最终很可能成为决定事故到底是一场虚惊还是一场灾难的关键性因素。
从零开始分步实施
提升安全意识, 首先要构建起科学的安全意识培训机制。
值得注意的是, 一定要把安全意识培训与安全培训区分开来。
对于普通员工来说, 安全意识与安全事件的处理能力是完全不同的两类内容。
安全培训的目的在于提供一套目标明确的执行规则, 而这也是大多数审计工作人员在进行合规性检查时的考量重点。
安全意识培训则意在纠正员工的行为方式。
如果能够以正确的行为方式行事, 企业员工将成为现有安全体系的延伸与扩展。相比之下, 安全训练可以每年进行一次, 但安全意识培训则是一个漫长且持续性的过程。
安全意识提升实例
Amanda Berlin 在美国中西部一家中等规模的医疗企业负责安全相关的工作。
在过去几个月, 她在几乎没有任何资源的前提下构建起了一套行之有效的安全意识培训方案。
由于她所供职的企业无法提供安全意识发展与培训所需要的资源, 但安全意识培训又是必要的, 所以 Berlin 只能
选择自己解决。
虽然整个过程持续了很长一段时间, 但她的努力现在已经开始收到成效, 员工对于安全相关事务的关注让企业避免了不少损失, 而这部分工作也没有给财务支出带来大的压力。
“由此我们意识到, 安全事务当中最薄弱的一环就是员工本身, ” Berlin在接受 CSO 网站采访时指出。
“虽然对于企业而言, 我们可以部署IDS/IPS, 甚至大规模实施电子邮件过滤机制, 但员工的疏忽仍然会给恶意人士留下可乘之机。
”
正如前面所提到的, 员工培训从长远角度看能保证攻击活动始终被屏蔽在业务网络之外, 但这并不是万能的。
过去在尚未推动安全意识培训工作时, Berlin 所在企业需要应对众多不同类型的攻击, 主要包括随机来电及传真(例如虚假域名发来的催款账单), 因此在企业正式进行渗透测试之前, 一直没有认真考虑对员工进行大规模安全意识培训。
“我们进行了一次实验性测试, 其中包含某些钓鱼机制, 并由域管理员向被测试人员发送访问链接。
不到 15 分钟, 就开始有员工点击这些陷阱链接,这直接导致安全证书失效并让‘恶意人士’ 入侵到内部环境中来。
” Berlin 表示。
这是一次令人吃惊的测试。
除了接受过安全培训、 了解 HIPAA 以及其他相关监管要求的员工, 她所在企业中没有一个员工意识到这是一次针对钓鱼或者类似攻击活动的安全意识培训演练。
从此次活动可以看出, 如果人为因素能够得到强化、或者至少是做好更为充分的准备, 再配合网络层面的其他防御手段,那么攻击行为将更难获得成功。
<!--endprint--><!--startprint-->
利用有限资源构建科学的培训方案
对于 Berlin 而言, 从零开始构建安全意识培训方案经历了一系列步骤, 而第一步在于同她的老板以及企业的培训部门进行磋商。
该项目的基本思路在于开发出能够让所有员工受益的培训内容。
其前提之一是, 必须保证这些内容通俗易懂, 这样相关信息才能为员工所理解接受, 技术层面的话题也不至于让员工感到一头雾水。
“我们最终选择了能够被所有终端用户轻松理解的内容, 例如说明不要点击哪些类型的电子邮件。
我们不会在这方面做出太多深入的解释, 只是告诉大家应该怎么做, 不能怎么做。
” Berlin 解释道。
在通过各种正式与非正式员工会议将这些建议传达下去后, 接下来要做的就是对效果进行检验, 看他
们是否能够学以致用。
在项目开始运作的第一个月, 她们开始尝试以特定方式推行该培训方案。
Berlin 选择的是原本就已经公开的企业电子邮件地址, 并在其中选定了一部分员工作为潜在的攻击受害群体, 希望用这种方法了解培训项目的进展情况。
接下来,她利用社交媒体工具包编写了一封明显可疑的电子邮件, 并在其中留下一个能够收集安全证书信息的网页链接。
“这只是一封由短短两三行内容组成的 HTML 邮件。
我希望让员工们能明显感觉到它来自不合法的地址。
至于目的, 我打算借此了解大家的个人过滤机制效果到底如何, ” Berlin 在回忆起第一封发给同事们的测试邮件时解释称。
第一批电子邮件由某个特意为该测试所创建的 Gmail 账户发出, 内容中包含未经验证的信息, 并利用一个基本的 HTML 链接指向作为陷阱的某个本地 IP。
在发出数百封邮件之后, Berlin 说她已经收到了 指向目标中大约六成的安全证书信息。
这样的测试结果证明企业在安全领域确实存在重大缺陷, 但同时也反映出培训项目需要加以调整, 从而更好地对测试结果加以追踪。
整个测试周期持续了几个月, Berlin 才最终做好了正式实施该方案的准备。
通过奖励激发员工热情
虽然初步测试已经证明了安全意识培训的必要性, 但接下来的问题在于, 哪些员工应该被作为培训计划的首批对象。
事实上, 目前很多服务供应商都可以提供来自外部的安全意识培训方案, 然而雇佣外部人员的高昂成本可能令企业管理层望而却步、同时也会给现有财务预算带来额外压力。
Berlin 的做法是借助内部力量开展与培训相关的事务。
此外, 管理层也划拨了一笔由此节省的费用(共 1000 美元)
来建立员工奖励机制。
“也就是说,每当有人报告发现了钓鱼邮件, 无论来自我们的测试流程还是真正的外部攻击, 他们都可以将其转发到后台或者通过电话上报, 这样我们就能实际查看到这类邮件。
如果其确实属于不合法邮件, 我们会采取一系列措施将其屏蔽; 如果确认是误判, 我们则通知员工可以安心收取并查看该邮件。
”
这样的机制鼓励员工将真正的非法钓鱼邮件以及来自当前安全意识培训的考查邮件上报给相关部门。
而激励方案本身也非常简单, 以员工的个人兴趣为核心。
公司每月会准备几张面值为 20 美元的礼品卡, 季度礼品卡的面值则提升为 50 美元,
可用于在 Bass Pro 商店或者红龙虾餐厅的消费。
当然, 年度大奖则是面值达 400 美元的 Amazon 礼品卡, 这足以为获奖者本人或者亲朋好友选上几份不错的礼物了。
财务激励对于项目进展起到了显著的推动作为, Berlin表示企业中针对非法钓鱼攻击的上报数量“如火箭般持续攀升” 。
更令人欣慰的是, 员工们彻底摆脱了报告潜在问题或者承认被攻击所带来的紧张与不安情绪。
尽管回报相当显著, 但对于 Berlin 所在的企业而言, 追踪并衡量项目进展才是真正需要关注的重点。
在推行了很短的一段时间后, 她的项目就已经达到了较为理想的效果。
培训流程本身组织的攻击活动在成功率方面不断下降, 这样的成绩与当初第一次进行测试时的状况形成了鲜明的对比。
根据他们的统计报告显示, 1 月, 培训项目共向员工发出 985 封邮件,其中有 53%的受测试目标点击了 钓鱼链接。
在点击链接的员工当中,有 36%输入了安全凭证信息, 但只有 11%的员工报告称他们遭遇攻击。
2 月, 培训项目共向员工发出 893 封邮件, 其中有 47%的受测试目标点击了钓鱼链接。
在点击链接的员工当中, 有 11%输入了安全凭证信息, 另有 11%员工报告称他们遭遇攻击。
而在 3 月, 这一项目陷入了停滞阶段, 在发出 1095 封邮件后, 只有 3%的被测试目标点击了钓鱼链接。
而在点击链接的员工当中, 没有一个人输入过安全凭证信息。
且 3 月份每一位点击了 该链接的员工都报告称自己遭遇攻击。
“我认为 3 月份员工点击率变低的主要原因在于, 员工已经了解到培训设置的钓鱼测试主题, ” Berlin 在谈到统计结果时指出。
“我们在 3 月遇到了畸形儿基金会的活动高峰, 员工们收到大量关于捐赠或者相关销售主题的邮件。
我们认为不少员工可能在收到此类邮件时直接选择删除或者视而不见。”
4月则出现了另一种有趣的现象。没有一个员工在链接中输入安全凭证信息, 因此培训项目开始将关注重点放在了钓鱼链接点击方面。
任何点击了钓鱼链接的员工都会直接收到一条“你被攻击了!
” 的消息。
在这轮测试中, 共发出 1111封邮件, 其中 2%的受测试者进行了点击, 有 25%的点击者报告称他们收到了这条提示消息。
尽管 Berlin 的安全意识培训已经明显地改变了员工的操作习惯, 并大大提升了所在企业的整体安全观念, 但这并不足以让安全团队高枕无忧。
整套方案还有很多可供提升的空间,
而且项目本身也处于不断的调整当中。
举例来说, 他们计划进一步提升测试追踪效果, 并让整套流程更加易于管理。
就目前而言,追踪机制仍然依靠人力操控, 因此下一步的目标是将其全面推向自动化。
除此之外, Berlin 还打算将移动设备的测试引入到该项目当中,因为当前企业中已经有不少员工在利用平板电脑处理日常工作。
安全意识只是安全保卫战的一部分
安全意识培训还仅仅是信息安全保卫战中的一小部分。
当钓鱼邮件被发送至用户手中时, 就意味着一部分安全链接已经失效(被反垃圾邮件系统拦截), 接下来对抗攻击的任务就落在了整个体系中最为薄弱的人身上。
如果用户接受过培训或者拥有上报随机异常状况的习惯, 那这种被动型钓鱼攻击很有可能宣告失败。
然而人都不是完美的, 而且指向性明确的钓鱼攻击总能找到可以利用的突破口。
鉴于此, 管理层应该鼓励员工积极报告任何可疑的尝试乃至安全问题, 即使被认定为误报也不可对其加以惩罚。
摆脱了这种顾虑, 员工们将帮助企业大大缩短处理此类意外状况的时间, 在某些情况下甚至能够避免灾难的发生。
虽然企业要为安全意识培训调配一定的资源, 但相对于数据违约所造成的损失可以说是九牛一毛。
所以还犹豫什么呢? 构建起适合自己的安全意识培训方案已迫在眉睫。
CSO 网站专栏作家 Dave Aitel 这样论述他的安全意识培训无用观点:
“与其投入时间、 金钱与人力资源尝试培训员工的安全意识, 企业还不如将注意力高度集中在业务环境保护以及网络隔离上。
这才是更科学的企业管理哲学。
”
CSO专栏作家 Ira Winkler 认为:
“我们要关注的是, 安全意识培训所需要的成本是否低于由此可能带来的实际损失。
举例来说, 每一次成功的钓鱼攻击都会造成相应的经济损失, 如果大家能够通过培训将钓鱼攻击成功的机率降低 50%、 那就相当于降低了 50%的潜在损失。
”