根據(jù)風險安全機構Risk Based Security發(fā)布的調(diào)查報告，與去年相比，今年的數(shù)據(jù)泄露量大幅增加，增長了54%。其后果是破壞業(yè)務、敏感和財務數(shù)據(jù)受損，以及對個人和企業(yè)造成災難性影響。

[[285904]]

今年早些時候，美國較大的銀行之一Capital One銀行被黑客入侵，導致該銀行超過8萬個銀行賬號、14萬個社會保險號碼和數(shù)百萬張信用卡號碼被盜，其損失超過3億美元。

防火墻安全性的弱點使得網(wǎng)絡攻擊者可以訪問托管在AWS云平臺上的服務器。電信廠商Verizon公司、GoDaddy公司，甚至美國國防部在云計算系統(tǒng)上保存的信息也已遭到攻擊和泄露。

根據(jù)Synergy Research 集團的調(diào)查，AWS、Microsoft和Alphabet公司旗下的谷歌公司主導了全球50%以上的云計算市場，其中AWS公司無疑是云計算市場的領先者。

技術高超的黑客可以輕松發(fā)現(xiàn)配置錯誤的服務器。當基于云計算的安全控制可能很難弄清并且容易被忽略時，這個問題就會更加突出。黑客將其目標對準未正確設置的服務器，從而使他們輕松訪問敏感數(shù)據(jù)。

Office365等基于云計算的系統(tǒng)沒有多因素授權，或者未打補丁的基于Web的系統(tǒng)會導致可以利用的漏洞。

此外，有時防火墻等硬件的配置可能不正確，或者個別設備上的安全性設置較差，可能導致漏洞被利用。

當今，很多安全都是基于已知的不良模型，該模型基于反應性原理，識別威脅，然后將其阻止。

盡管網(wǎng)絡安全仍然是一個有效和關鍵的方面，但當黑客找到入侵網(wǎng)絡的新方法時，企業(yè)需要考慮所有威脅，而不僅僅是已知的威脅，這是至關重要的。

黑客只需要獲得對一個用戶帳戶的訪問權限，然后獲得控制權并訪問其進行破壞的網(wǎng)絡和數(shù)據(jù)。

一種被稱為“已知良好”模型的方法在某種程度上起作用：偏離既定正常基線的異常被識別，并突出顯示為潛在威脅和網(wǎng)絡攻擊。

業(yè)務領導者因未能保護他們的消費者數(shù)據(jù)而受到廣泛批評，并被追究責任，特別是考慮到他們可以支配的龐大IT和培訓預算，然而，一線員工的日常工作才能揭示在組織內(nèi)的真正優(yōu)勢和劣勢。

如果員工和用戶沒有為不斷變化的安全挑戰(zhàn)做好積極的準備，那么組織將面臨黑客和網(wǎng)絡罪犯不斷發(fā)展和微妙復雜技術的危險。

最重要的是，眾所周知，超過90%的數(shù)據(jù)泄露是由人為錯誤引起的。這意味著，由于缺乏理解、配置不當?shù)姆掌骰驅︶烎~電子郵件不當點擊，可能會影響購買最新信息安全工具的數(shù)萬美元甚至數(shù)十萬美元的投資。

美國聯(lián)邦調(diào)查局(FBI)最近宣布，自2016年以來，企業(yè)電子郵件泄露(BEC)和電子郵件賬戶泄露(EAC)攻擊已使全球企業(yè)損失超過260億美元，是去年的兩倍多。

這主要是網(wǎng)絡釣魚電子郵件造成，尤其是看起來像受信任的來源(內(nèi)部人員或受信任的供應商)的電子郵件。

企業(yè)可以擁有技術先進的網(wǎng)絡安全工具，但是其網(wǎng)絡上巨大的漏洞實際上是人為因素，它可以摧毀組織的防御。如果通過有效的安全意識培訓和網(wǎng)絡釣魚模擬獲得正確的幫助，則企業(yè)內(nèi)的工作人員將是較大的安全資產(chǎn)。

對于基于云計算的數(shù)據(jù)中心，考慮行為變化、培訓和教育員工和用戶提高安全警惕的重要性尤為重要。企業(yè)領導者需要認識到，網(wǎng)絡安全不僅是一個IT問題，也是一個嚴重的業(yè)務風險。

緩解這種情況的一種方法是讓員工成為第一道防線——人類防火墻。成功防御網(wǎng)絡攻擊的企業(yè)已經(jīng)認識到，建立強大的網(wǎng)絡安全意識文化是關鍵。在員工進行培訓和教育的文化中，安全在每個決策點都是至關重要的。

在這一點上，教育變得最為重要，需要在企業(yè)的各個層面上進行：員工是較大的網(wǎng)絡安全漏洞之一，由于他們的疏忽和對所面臨的風險缺乏了解，因此被犯罪分子視為“軟目標”。

網(wǎng)絡犯罪分子通常不使用技術含量高、耗時長的黑客手段來破壞企業(yè)的系統(tǒng)，而是更傾向于攻擊員工本身，這被視為獲取信息和系統(tǒng)的最薄弱環(huán)節(jié)。

為了應對這種情況，網(wǎng)絡安全意識培訓是一種成本效益高、行之有效的增強公司抵御網(wǎng)絡攻擊能力的方法。

有許多類型的培訓可供選擇，但其理念是將參與式和交互式網(wǎng)絡安全意識培訓內(nèi)容與軟件解決方案結合起來，該解決方案與企業(yè)的IT基礎設施攜手合作。

從本質上講，這個解決方案可以分析來自安全系統(tǒng)的警報消息，并根據(jù)這些警報調(diào)整訓練模擬，從而使網(wǎng)絡安全培訓與企業(yè)遭受的攻擊保持一致。

一個示例是運行模擬網(wǎng)絡釣魚攻擊，以根據(jù)員工對模擬的響應方式來對其進行培訓。

最后，企業(yè)風險和合規(guī)性報告也至關重要，因此企業(yè)可以證明并滿足其法律和法規(guī)合規(guī)性要求，以保護專有和個人數(shù)據(jù)、系統(tǒng)和財務。

組織還有許多途徑可以找到可用的優(yōu)秀解決方案。例如獲得非營利性獨立機構特許信息安全研究所(CIISec)的幫助，對可提供的優(yōu)秀培訓和解決方案進行認證。

企業(yè)需要提高員工網(wǎng)絡安全意識的重要性，并為內(nèi)部員工提供知識、工具和支持，幫助他們成為企業(yè)數(shù)據(jù)安全的優(yōu)秀屏障。