在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全防御體系中，人員是最薄弱的環(huán)節(jié)，同時也是最不受重視的環(huán)節(jié)。換而言之，人員是黑客最容易突破和利用的“漏洞”，同時也是企業(yè)安全投入最少，提升最慢的短板。

[[335386]]

GoSecurity公司2020年全球企業(yè)安全調(diào)查結(jié)果直觀地反映了這個問題：

長期以來，那些手套上鑲著半打零日漏洞寶石，頭上頂著三個博士帽的的國家級黑客，被認(rèn)為是網(wǎng)絡(luò)空間最為危險的物種，而企業(yè)界也熱衷于采購最先進的網(wǎng)絡(luò)安全技術(shù)和方案，并試圖提高安全工具集成度和自動化水平。

但現(xiàn)實情況正如上述調(diào)查數(shù)據(jù)：最有效的網(wǎng)絡(luò)安全措施是提升員工安全意識，但員工安全意識培訓(xùn)獲得的預(yù)算最少。

這導(dǎo)致一個全球性的網(wǎng)絡(luò)安全盲區(qū)和悖論：人員漏洞是最危險也最容易修復(fù)的漏洞(不需要昂貴的技術(shù)產(chǎn)品和頂尖技術(shù)人才)，同時也是最難修復(fù)的漏洞(不被重視、缺乏預(yù)算)。

不難理解，聚焦最前沿網(wǎng)絡(luò)安全技術(shù)產(chǎn)品的RSAC2020網(wǎng)絡(luò)安全大會將“人的因素”作為大會主題。這為2020年網(wǎng)絡(luò)安全行業(yè)的發(fā)展主題定下基調(diào)：長期被忽視的人員安全意識和相關(guān)管理問題，已經(jīng)成為網(wǎng)絡(luò)安全行業(yè)和企業(yè)界最大的“安全債”。

2020年網(wǎng)絡(luò)犯罪最顯著的趨勢就是產(chǎn)業(yè)化和“市場化”，“云犯罪”、“犯罪即服務(wù)”、“共享犯罪”、“事件犯罪”、“精準(zhǔn)犯罪”等等，不斷拉低APT、勒索軟件、人工智能、僵尸網(wǎng)絡(luò)和BEC電子郵件等網(wǎng)絡(luò)攻擊技術(shù)門檻，讓更多善于利用“人的漏洞”的攻擊者如虎添翼，同時也讓企業(yè)網(wǎng)絡(luò)安全的短板——人員意識，面臨比過去更加復(fù)雜和危險的威脅。

2020年，潛在危害性和損失最為嚴(yán)重的安全威脅(例如勒索軟件和BEC郵件攻擊)和安全事件往往都與“人員漏洞”或內(nèi)部威脅有關(guān)，從微盟刪庫到推特大規(guī)模賬戶劫持，從本田停產(chǎn)到全球超級計算機集體挖礦…疫情肆虐全球，遠程辦公在未來十年將成為“新常態(tài)”，當(dāng)大批企業(yè)員工走出防火墻回到家中辦公，企業(yè)面臨的攻擊面成幾何級數(shù)放大，利用人的漏洞發(fā)起的網(wǎng)絡(luò)攻擊能夠輕易地癱瘓一家跨國公司的全球業(yè)務(wù)。

據(jù)華爾街日報報道，70%的企業(yè)擔(dān)心內(nèi)部人員威脅。

[[335387]]

員工仍然是網(wǎng)絡(luò)攻擊最大的安全威脅，但傳統(tǒng)的安全技術(shù)和措施無法有效減輕這種網(wǎng)絡(luò)威脅。

2020年，人依然是最大的漏洞

根據(jù)今年三月份綠盟科技發(fā)布的《2019安全事件響應(yīng)觀察報告》，2019年1/3的安全事件與企業(yè)存在的安全管理疏忽或員工安全意識薄弱有關(guān)，在2019年處理的安全事件中，弱口令事件占比22%，釣魚郵件相關(guān)事件占比7%，配置不當(dāng)事件占比3%，與人和管理相關(guān)的安全事件合計占總數(shù)的1/3，安全管理薄弱、員工安全意識不足的問題最易遭到攻擊者的利用。

2020年上半年，疫情導(dǎo)致的全球化遠程辦公進一步放大了來自“人的漏洞”的威脅，市場對安全意識服務(wù)的需求也開始快速增長。在美國這個全球最大的網(wǎng)絡(luò)安全市場，網(wǎng)絡(luò)安全意識教育領(lǐng)域的創(chuàng)業(yè)公司KnowBe4的年收入已經(jīng)超過1億美元，在2020年一季度疫情期間業(yè)務(wù)同比增長了40%。

2020年，人為錯誤依然是數(shù)據(jù)泄露的主因

根據(jù)Tessian的一份報告，有33%的美國和英國的員工在工作中犯下安全錯誤，對自己或公司造成了網(wǎng)絡(luò)安全或數(shù)據(jù)安全威脅(下圖)。

報告指出，人為錯誤已成為當(dāng)今數(shù)據(jù)泄露的主要原因，并進一步研究了人們?yōu)槭裁捶稿e誤以及如何在犯錯誤之前預(yù)防：

人為錯誤對網(wǎng)絡(luò)安全的影響

當(dāng)被問及犯了什么類型的錯誤時，四分之一的員工承認(rèn)在工作中點擊了網(wǎng)絡(luò)釣魚電子郵件中的鏈接。31至40歲的員工點擊網(wǎng)絡(luò)釣魚電子郵件的可能性是51歲以上的員工的四倍，而男性單擊釣魚電子郵件的可能性是女性的兩倍。

47%的員工認(rèn)為分心是網(wǎng)絡(luò)釣魚詐騙得手的主要原因。緊隨其后的原因是，該電子郵件看起來逼真合法(43%)，其中41%的電子郵件偽裝成來自高級管理人員或知名品牌的電子郵件。

除了點擊惡意鏈接外，58%的員工還承認(rèn)向錯誤的收件人發(fā)送了工作電子郵件，其中17%的電子郵件發(fā)送給了錯誤的外部人員。

這個簡單的錯誤會給個人和公司造成嚴(yán)重后果，他們必須向監(jiān)管機構(gòu)及其客戶報告該事件。實際上，五分之一的受訪者表示，他們的公司由于發(fā)送錯誤的電子郵件而失去了客戶，而12%的員工失去了工作。

電子郵件安全事故的主要原因是疲勞(43%)，緊隨其后的是注意力分散(41%)。57%的受訪者表示，他們在家工作時會更加分散注意力，突然轉(zhuǎn)向遠程工作可能會使企業(yè)更容易受到人為錯誤導(dǎo)致的安全事件的影響。

工作壓力如何影響網(wǎng)絡(luò)安全

報告的調(diào)查結(jié)果要求企業(yè)了解壓力和工作文化對人為錯誤和網(wǎng)絡(luò)安全的影響，尤其是考慮到2020年的事件。員工透露，他們在承受壓力時會犯更多的錯誤(52%)、疲倦(43%) 、分散注意力(41%)和快速工作(36%)。

因此，令人擔(dān)憂的是，有61%的受訪者表示他們的公司擁有強調(diào)奉獻精神的文化，使他們的工作時間超出了正常范圍，46%的員工則經(jīng)歷了職業(yè)倦怠。

企業(yè)還應(yīng)該注意全球疫情大流行以及居家遠程辦公如何影響員工的福利以及與網(wǎng)絡(luò)安全的關(guān)系。

斯坦福大學(xué)教授，社會動態(tài)專家杰夫·漢考克(Jeff Hancock)指出：“了解壓力如何影響行為對于改善網(wǎng)絡(luò)安全至關(guān)重要。”

2020年職場人士承受著前所未有的壓力，但更糟糕的是，黑客正在利用此漏洞。因此，企業(yè)需要對員工進行培訓(xùn)，使他們了解黑客在這段時間利用壓力的方式以及人為錯誤可能導(dǎo)致的安全事件。”

被忽視的年齡差異

報告顯示，不同年齡、性別和行業(yè)的人們，其網(wǎng)絡(luò)安全行為存在重大差異，“千篇一律”的網(wǎng)絡(luò)安全培訓(xùn)和意識方法無法防止人為錯誤事件的發(fā)生。調(diào)查結(jié)果包括：

• 18至30歲的員工中，有一半表示自己犯了可使公司網(wǎng)絡(luò)安全受到影響的錯誤，而51歲以上的員工中只有10%。
• 18-30歲的年輕人中，有65%表示曾向錯誤的收件人發(fā)送電子郵件，而51歲以上的人中只有34%的人發(fā)錯電子郵件。
• 接受并點擊網(wǎng)絡(luò)釣魚電子郵件的員工中，有70%是年齡介于18至40歲之間的年輕人。相比之下，在51歲以上的人群中，只有8%的人表示自己做過同樣的事情。
• 科技行業(yè)的員工最有可能點擊網(wǎng)絡(luò)釣魚電子郵件中的鏈接，該行業(yè)的47%的受訪者承認(rèn)他們曾這樣做。緊隨其后的是銀行和金融業(yè)的員工(45%)。

Tessian首席執(zhí)行官Tim Sadler表示：“網(wǎng)絡(luò)安全培訓(xùn)需要尊重這樣一個事實，新一代員工的網(wǎng)絡(luò)安全行為模式大不相同，期望每個員工在任何時間段都能100%發(fā)現(xiàn)欺詐或做出正確的網(wǎng)絡(luò)安全決策也是不現(xiàn)實的。”

為了防止簡單的小錯誤演變成嚴(yán)重的安全事件，企業(yè)必須在人的層面上優(yōu)先考慮網(wǎng)絡(luò)安全。這要求了解員工個人的行為，并針對性定制培訓(xùn)和政策，使安全網(wǎng)絡(luò)安全實踐成為企業(yè)文化的有機成分，而不是充滿儀式感的例行公事。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文