最近筆者的郵箱充斥著各種IT供應(yīng)商的信件聲稱自己的產(chǎn)品是防止類似索尼數(shù)據(jù)泄露事故的“靈丹妙藥”，但現(xiàn)實(shí)是，并沒有靈丹妙藥。但這并不意味著你沒有辦法防止你的公司淪為網(wǎng)絡(luò)罪犯的受害者。重要的需要認(rèn)識的是，有些數(shù)據(jù)泄露事故可能幾乎不可能阻止，但這只是少數(shù)。

[[125407]]

首先，你要知道的是，雖然你不能通過技術(shù)完全解決數(shù)據(jù)泄露問題，你還是應(yīng)該繼續(xù)使用現(xiàn)有的技術(shù)(包括防火墻、電子郵件篩選設(shè)備、反惡意軟件和類似產(chǎn)品)來保持控制。這些技術(shù)確實(shí)有所幫助。通過利用最好的產(chǎn)品，你至少可以阻止大部分惡意攻擊，讓你可以專注于其他方面。

其次，雖然幾乎所有數(shù)據(jù)泄露事故都是因?yàn)榭尚艈T工或承包商犯錯(cuò)誤的結(jié)果，但你不能認(rèn)為他們很愚蠢，而無法預(yù)防泄露事故。

KnowBe4首席執(zhí)行官Stu Sjouwerman表示，“他們只是在另一個(gè)領(lǐng)域訓(xùn)練有素的人，但企業(yè)不能簡單地認(rèn)為這些安全問題是愚蠢的用戶無法避免的問題，“要知道，愚蠢的用戶可能是CFO。”

他的觀點(diǎn)是，企業(yè)中很多員工并沒有接受過IT方面的培訓(xùn);或者安全方面的培訓(xùn)，他們不一定會認(rèn)識到安全威脅。

戰(zhàn)略與國際研究中心的副主任Denise Zheng稱：“沒有辦法對愚蠢的用戶打補(bǔ)丁。”Sjouwerman并不認(rèn)同。事實(shí)是，對于在如何響應(yīng)網(wǎng)絡(luò)威脅方面犯錯(cuò)誤的用戶，企業(yè)是可以打補(bǔ)丁的，即培訓(xùn)，這并不需要太困難或者昂貴。只是需要連續(xù)培訓(xùn)。Sjouwerman的建議也得到很多安全專家的認(rèn)同，他們認(rèn)為，為了確保安全計(jì)劃的有效性，這需要涉及使用網(wǎng)絡(luò)的人。

雖然很明顯，你企業(yè)的員工是安全薄弱點(diǎn)，但我們也有辦法來減小(如果不能消除的話)這個(gè)問題，并且，這并不意味著你需要解雇所有員工。這就是說，企業(yè)應(yīng)該開展基本的一對一安全培訓(xùn)，讓企業(yè)每個(gè)員工都了解安全威脅是什么樣。他表示，這并不是茶話會式的年度安全講座。

這需要員工與IT人員坐下來，了解實(shí)際網(wǎng)絡(luò)釣魚電子郵件長什么樣，他們可以如何發(fā)現(xiàn)安全威脅在透支其銀行賬戶。而且，還需要實(shí)際操作。這種一對一安全培訓(xùn)應(yīng)該對每個(gè)新員工開展。

Sjouwerman解釋說：“你至少可以在員工入職時(shí)進(jìn)行安全意識培訓(xùn)，然后進(jìn)行定期模擬網(wǎng)絡(luò)釣魚攻擊。”他表示，這種網(wǎng)絡(luò)釣魚模擬攻擊可以使用真正的網(wǎng)絡(luò)釣魚郵件，而將原有惡意鏈接替換為通知IT的鏈接(當(dāng)有人點(diǎn)擊時(shí))。這樣一來，員工就知道網(wǎng)絡(luò)釣魚攻擊是怎么回事，這可以幫助他們在未來避免這種攻擊。

另外值得一提的是，還需要得到管理層的支持。雖然有效的安全培訓(xùn)并不一定要花費(fèi)很多時(shí)間，但這確實(shí)需要一定的時(shí)間和費(fèi)用，因此，這需要管理層的關(guān)注。

重要的是，所有員工都應(yīng)該得到最初的安全培訓(xùn)，然后重復(fù)的培訓(xùn)。網(wǎng)絡(luò)罪犯通常瞄準(zhǔn)高層管理人員，因?yàn)樗麄兡軌蛟L問罪犯最想要竊取的數(shù)據(jù)。而在攻擊的最開始，他們通常會瞄準(zhǔn)最容易攻擊的對象，即那些沒有得到很好培訓(xùn)的人員。