軟件安全專家Hugh Thompson指出，企業(yè)往往過于依賴安全技術，而忽視“人類防火墻”對安全的影響。在接受SearchSecurity.com采訪時，Thompson解釋說社會工程攻擊讓員工很難辨別合法郵件和那些誘騙用戶透露敏感數(shù)據(jù)的郵件。

數(shù)據(jù)丟失防護、Web過濾和反惡意軟件技術能夠提高安全保護，但Thompson表示，企業(yè)應該致力于在企業(yè)內(nèi)部營造一種安全意識的文化，這可以讓員工成為安全保護的最后一道防線。

IT安全團隊需要平衡風險緩解工作和員工工作效率，確保員工可以使用他們喜歡的工具來完成工作，同時保護敏感數(shù)據(jù)的安全。Thompson表示，從數(shù)據(jù)管理的角度來看，文件共享服務、網(wǎng)絡郵件、社交網(wǎng)絡和其他在線協(xié)作工具帶來了有趣的挑戰(zhàn)。

Thompson目前是網(wǎng)絡安全廠商Blue Coat公司的首席安全戰(zhàn)略師兼高級副總裁，他同時也是RSA大會程序委員會主席。他還是安全意識和安全編碼培訓公司People Security的首席安全戰(zhàn)略師。

在數(shù)據(jù)泄露事故中，我們經(jīng)常能夠看到社會工程的身影。在某些情況下，攻擊者甚至不需要利用軟件漏洞，他們只需要誘騙員工透露其賬戶登錄信息，就能入侵系統(tǒng)。這方面的用戶教育很失敗嗎？

Hugh Thompson：這正是目前安全領域的關鍵問題，即安全的人員因素。如果你是一名試圖入侵某企業(yè)系統(tǒng)的攻擊者，你是愿意花幾周時間甚至幾個月的時間來尋找他們系統(tǒng)中的特定未知漏洞，還是嘗試社會工程攻擊？通過社交網(wǎng)站查找特定員工的信息，然后給這些員工打電話或者發(fā)送電子郵件。你當然會選擇后者，因為它更加容易。

現(xiàn)在的問題是，大多數(shù)人每天在選擇信任或者不信任某些事物時，并沒有考慮到安全風險問題。而且這種信任/不信任的選擇變得比以前更加復雜。在過去，我們很容易判斷某個人是否在騙你。而現(xiàn)在，這些通過電子郵件或者網(wǎng)站的欺騙信息非?？菰铮拖裎覀兠刻毂仨毺幚淼乃衅渌菰锏臇|西一樣，我們越來越難以分辨攻擊信息和合法信息。我認為我們碰到這個信任危機問題是因為，即使是受過教育、具有安全意識且中度偏執(zhí)的人，也更難判斷好網(wǎng)站和不良網(wǎng)站或者合法郵件和不良郵件。我認為，教育仍然很重要，但企業(yè)還需要部署工具來幫助用戶做出判斷。

IT安全團隊未能創(chuàng)造一種安全文化嗎？在企業(yè)內(nèi)發(fā)展一種安全意識的文化需要很長時間嗎？

Thompson：在安全行業(yè)，這是個有爭議的話題。我是一個樂觀者，也是教育者，我的觀念是對于安全問題，人們的防御能力是可以提高的。如果給他們提供合適的教育機會，即在合適時間進行合適培訓，那么，隨著時間的推移，他們面對攻擊時，能夠變得更靈活更具防御性。但如果你去跟一些首席安全官交談，他們可能會告訴你他們糟糕的培訓經(jīng)歷，隨后他們放棄了，而只是保證合規(guī)工作。當發(fā)生這種情況時，這意味著你的企業(yè)已經(jīng)走上一條危險的道路。

這條危險的道路是什么樣的？

Thompson：不努力提高員工的安全防范意識的話，你將完全依賴于第三方工具或者加強環(huán)境中的安全控制。我認為現(xiàn)在這種人類防火墻變得越來越重要，這種防火墻意味著當你點擊或安裝從未見過的瀏覽器插件或事物時，你腦海中會出現(xiàn)的想法和安全意識。另外，你的企業(yè)和風險之間的安全控制非常重要，它們管理web，同時我也認為，你腦子里的安全意識也變得越來越重要，它們決定信任/不信任。

想一想像DLP這樣的技術，這種技術非常善于解決特殊用途的問題，以及查找結(jié)構(gòu)化數(shù)據(jù)以確定這些數(shù)據(jù)是否將被發(fā)送到不對的位置。但你可以假設有一些非常想得到這些數(shù)據(jù)（例如社會安全號碼等）的攻擊者，他們意識到某種DLP軟件正在環(huán)境中運行。他們可能會創(chuàng)造某種高度定制化的社會工程攻擊，發(fā)送紙質(zhì)的郵件給受害者，要求他們填寫表格中的信息，然后通過郵件寄回。這不僅不需要正面攻擊DLP系統(tǒng)，甚至不需要接觸這個技術。面對這種社會工程攻擊的危害，我們有必要打造人類防火墻，這是我們在安全行業(yè)中最大的挑戰(zhàn)之一。