2020年，由于疫情加速全球遠(yuǎn)程辦公規(guī)?；统B(tài)化，企業(yè)攻擊面呈幾何級(jí)數(shù)放大，社工攻擊和釣魚攻擊激增。IAM、端點(diǎn)安全和網(wǎng)絡(luò)安全意識(shí)培訓(xùn)成為增長(zhǎng)最快的“爆款”網(wǎng)絡(luò)安全產(chǎn)品/服務(wù)。

[[339044]]

根據(jù)GoSecurity的調(diào)查(下圖)，網(wǎng)絡(luò)安全意識(shí)培訓(xùn)是當(dāng)下企業(yè)安全管理者眼中最有效的安全產(chǎn)品/服務(wù)，但在企業(yè)整體安全支出中的占比卻最低(不到10%)。

好的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)能把“人的漏洞”變成“人肉長(zhǎng)城”，把最弱的短板變成最堅(jiān)固的防線，因此是性價(jià)比最高的，能夠快速提升企業(yè)網(wǎng)絡(luò)安全韌性的“剛需服務(wù)”。

對(duì)于IAM和端點(diǎn)安全產(chǎn)品，市場(chǎng)上已經(jīng)有比較成熟的評(píng)估工具和方法。但是對(duì)于網(wǎng)絡(luò)安全意識(shí)培訓(xùn)服務(wù)，這個(gè)過(guò)去非常邊緣化不受重視的“選裝件”，很多企業(yè)的安全管理者依然沒(méi)有針對(duì)性的選型方法和標(biāo)準(zhǔn)。

事實(shí)上網(wǎng)絡(luò)安全培訓(xùn)是一項(xiàng)非常系統(tǒng)和專業(yè)的服務(wù)，許多企業(yè)依靠?jī)?nèi)部培訓(xùn)團(tuán)隊(duì)，但更多的企業(yè)則向外部供應(yīng)商尋求幫助，因?yàn)榘踩{形勢(shì)發(fā)展如此之快，最好的辦法就是將培訓(xùn)交給掌握最新趨勢(shì)的專家。

但是，尋找一個(gè)能力匹配、值得信賴并長(zhǎng)期合作的安全意識(shí)培訓(xùn)合作伙伴并不容易。以下，我們匯總整理了優(yōu)秀網(wǎng)絡(luò)安全意識(shí)培訓(xùn)服務(wù)商的七個(gè)關(guān)鍵屬性。

1. 與企業(yè)安全性原則的兼容性

管理咨詢公司麥肯錫公司(McKinsey and Company)的專家助理合伙人查理·劉易斯(Charlie Lewis)說(shuō)，安全意識(shí)培訓(xùn)取得長(zhǎng)期成功的關(guān)鍵是找到符合您組織的安全需求、政策和目標(biāo)的提供商。在聯(lián)系供應(yīng)商之前，有必要進(jìn)行一些企業(yè)內(nèi)部調(diào)研。他解釋說(shuō)：“安全意識(shí)培訓(xùn)產(chǎn)品應(yīng)當(dāng)成為好的網(wǎng)絡(luò)安全文化、網(wǎng)絡(luò)安全意識(shí)和安全變更管理計(jì)劃有機(jī)組成部分。這三個(gè)因素也是安全意識(shí)培訓(xùn)選型和成功實(shí)施的關(guān)鍵條件。”

美國(guó)陸軍網(wǎng)絡(luò)領(lǐng)導(dǎo)力教育計(jì)劃的制定者，美國(guó)軍事學(xué)院前美國(guó)政治學(xué)助理教授劉易斯(Lewis)建議說(shuō)，選擇安全意識(shí)服務(wù)商需要達(dá)成內(nèi)部共識(shí)，他說(shuō)：“安全管理者需要與一線員工和業(yè)務(wù)負(fù)責(zé)人合作，以查看特定安全意識(shí)服務(wù)是否符合他們的需求和利益，這有助于確保選擇正確的產(chǎn)品和服務(wù)。”

2. 參與能力

ISACA女性領(lǐng)導(dǎo)力咨詢委員會(huì)的創(chuàng)始主席，澳大利亞家庭健康和高級(jí)護(hù)理服務(wù)提供商Silver Chain Group的首席信息安全官Jo Stewart-Rattray認(rèn)為，安全意識(shí)培訓(xùn)必須與企業(yè)文化以及員工能力匹配，提高員工的參與度。她指出：“千篇一律的培訓(xùn)很難取得成功。培訓(xùn)必須針對(duì)企業(yè)及其偏愛(ài)的學(xué)習(xí)方式進(jìn)行一些調(diào)整。”

商業(yè)咨詢公司Capgemini 北美公司的網(wǎng)絡(luò)培訓(xùn)主管Dan Callahan指出，了解受眾的能力水平對(duì)于提供有效的，有針對(duì)性的培訓(xùn)是必要的。他說(shuō)：“有些培訓(xùn)是補(bǔ)救性的，并且是由過(guò)于簡(jiǎn)單的內(nèi)容驅(qū)動(dòng)的，忽視了員工角色和安全技能的差異。”“安全意識(shí)培訓(xùn)的內(nèi)容應(yīng)當(dāng)緊跟安全形勢(shì)，同時(shí)與客戶企業(yè)文化的相關(guān)性也很重要。”

3. 培訓(xùn)內(nèi)容的針對(duì)性

德勤網(wǎng)絡(luò)和戰(zhàn)略風(fēng)險(xiǎn)部門的風(fēng)險(xiǎn)和財(cái)務(wù)顧問(wèn)負(fù)責(zé)人沙龍·錢德(Sharon Chand)認(rèn)為，安全意識(shí)培訓(xùn)一定要有針對(duì)性。“例如，內(nèi)部員工和高管所采用的意識(shí)培訓(xùn)方法可能不同于承包商或第三方供應(yīng)商”。類似的，培訓(xùn)特權(quán)訪問(wèn)IT員工的方法也與油田操作技術(shù)員工的培訓(xùn)有很大不同。她說(shuō)：“我們發(fā)現(xiàn)，為獨(dú)特的受眾定制安全意識(shí)培訓(xùn)內(nèi)容會(huì)大大提高效率。”

美國(guó)政府前任首席信息安全官，網(wǎng)絡(luò)安全公司AppGate Federal總裁，卡內(nèi)基梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院兼職教員Greg Touhill表示，要確定網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的內(nèi)容價(jià)值，沒(méi)有什么比實(shí)測(cè)評(píng)估更好。他說(shuō)：“我真的很喜歡試用的形式，由隨機(jī)的員工組成選型委員會(huì)參加競(jìng)標(biāo)廠商的培訓(xùn)計(jì)劃，進(jìn)行試用，以評(píng)估他們的能力是否符合要求。”

4. 完善的培訓(xùn)內(nèi)容滿足多樣化勞動(dòng)力需求

與員工分布在集中區(qū)域的小型組織相比，員工分布在區(qū)域或大洲的大型企業(yè)通常面臨更大范圍的本地化威脅。Touhill表示，他會(huì)隨時(shí)注意安全意識(shí)培訓(xùn)工具，無(wú)論其位于何處，該工具在攻擊預(yù)防和可用性方面都將與整個(gè)團(tuán)隊(duì)相關(guān)。他說(shuō)：“我們?cè)谠S多非英語(yǔ)母語(yǔ)的國(guó)家都有員工。”“因此，我很看重安全意識(shí)產(chǎn)品的多語(yǔ)言跨區(qū)域覆蓋能力。”

5. 支持威脅建模集成

大多數(shù)企業(yè)使用某種形式的威脅模型來(lái)識(shí)別、確認(rèn)和處理網(wǎng)絡(luò)威脅。Touhill推薦那些利用威脅建模的意識(shí)培訓(xùn)產(chǎn)品或服務(wù)。“例如，如果有一個(gè)特定的國(guó)家黑客組織或網(wǎng)絡(luò)犯罪團(tuán)伙正在窺探我的知識(shí)產(chǎn)權(quán)，我會(huì)希望我的安全意識(shí)培訓(xùn)計(jì)劃能夠有的放矢，幫助我的團(tuán)隊(duì)了解如何正確應(yīng)對(duì)威脅。”

威脅建模通常被視為純粹的技術(shù)范疇，但實(shí)際上該模型也可以覆蓋商業(yè)利益和業(yè)務(wù)訴求。Callahan說(shuō)：“重要的是確定您希望企業(yè)受眾考慮的安全意識(shí)信息類型……因?yàn)樵谠S多情況下，內(nèi)部威脅是最大的問(wèn)題。”“良好的網(wǎng)絡(luò)意識(shí)培訓(xùn)可以幫助預(yù)防和緩解大多數(shù)威脅。”

Lewis認(rèn)為安全意識(shí)培訓(xùn)服務(wù)商有必要了解網(wǎng)絡(luò)威脅如何直接影響業(yè)務(wù)人員的安全培訓(xùn)。他說(shuō)：“威脅建模是成功實(shí)施安全意識(shí)培訓(xùn)計(jì)劃的關(guān)鍵因素。”

6. 合理的價(jià)格

Touhill建議企業(yè)信息主管或安全主管與同行多溝通，以確定服務(wù)商的報(bào)價(jià)是否有競(jìng)爭(zhēng)力。他說(shuō)：“CISO社區(qū)在共享最佳實(shí)踐方面無(wú)與倫比。CISO之間的溝通可以幫助他們快速鎖定有競(jìng)爭(zhēng)力的服務(wù)商候選者。”

Callahan指出，CISO們需要提防試圖過(guò)度銷售產(chǎn)品或服務(wù)的提供商：“現(xiàn)在，許多企業(yè)的培訓(xùn)內(nèi)容和活動(dòng)都有些過(guò)載。”他警告說(shuō)：“因此，如果過(guò)多的安全意識(shí)培訓(xùn)內(nèi)容或信息被提供給員工，他們將超負(fù)荷工作，變得麻木。”

7. 提供有效培訓(xùn)的能力

Chand指出：“在業(yè)務(wù)擴(kuò)展、云計(jì)算、人工智能、機(jī)器學(xué)習(xí)、移動(dòng)性和物聯(lián)網(wǎng)的推動(dòng)下，生態(tài)系統(tǒng)全球化為攻擊者提供了更大的攻擊面。有效的安全意識(shí)培訓(xùn)是應(yīng)對(duì)這些挑戰(zhàn)的最佳方法。”

為了評(píng)估特定安全意識(shí)培訓(xùn)產(chǎn)品或服務(wù)的潛在有效性，Stewart-Rattray建議將包括人力資源和其他相關(guān)部門負(fù)責(zé)人在內(nèi)的關(guān)鍵利益相關(guān)者納入決策過(guò)程。她說(shuō)：“在評(píng)估產(chǎn)品的潛在有效性時(shí)，使用跨部門協(xié)作并確保關(guān)鍵利益相關(guān)者參與決策過(guò)程，并且在可能的情況下試用產(chǎn)品非常重要。”

Lewis認(rèn)為，概念驗(yàn)證(PoC)試驗(yàn)是在現(xiàn)實(shí)中檢驗(yàn)安全意識(shí)培訓(xùn)服務(wù)有效性的絕佳方法：“隨著時(shí)間的推移，您可能會(huì)開始看到階段性的培訓(xùn)成果，例如惡意鏈接點(diǎn)擊率的下降。”“您將需要在整個(gè)概念驗(yàn)證期間測(cè)量該指標(biāo)，并連續(xù)評(píng)估該產(chǎn)品。”

如果產(chǎn)品或服務(wù)不符合預(yù)期，請(qǐng)告知供應(yīng)商。Lewis建議：“如果該工具實(shí)際上并沒(méi)有降低網(wǎng)絡(luò)釣魚的點(diǎn)擊率或人為錯(cuò)誤造成的風(fēng)險(xiǎn)，請(qǐng)與服務(wù)商合作調(diào)整培訓(xùn)節(jié)奏，如果所有方法均失敗，那么請(qǐng)開始尋找其他供應(yīng)商。”

確保安全意識(shí)培訓(xùn)方法長(zhǎng)期有效是一項(xiàng)開放性的任務(wù)。安全團(tuán)隊(duì)必須不斷觀察安全意識(shí)培訓(xùn)產(chǎn)品或服務(wù)的有效性。Callahan說(shuō)：“大多數(shù)安全領(lǐng)導(dǎo)者都知道的一種常見方法是內(nèi)部網(wǎng)絡(luò)釣魚測(cè)試。”另一種流行的方法是抽查員工的辦公桌面，查看是否有關(guān)鍵或敏感信息泄露的問(wèn)題。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文