很多時候，企業(yè)網(wǎng)絡(luò)戰(zhàn)略往往會忘記網(wǎng)絡(luò)安全中的人為因素，從而可能導(dǎo)致更多的網(wǎng)絡(luò)攻擊和災(zāi)難性后果。

當(dāng)我們想到企業(yè)級信息系統(tǒng)時，我們會想到一個由所有數(shù)字系統(tǒng)和工具組成的網(wǎng)絡(luò)，這些系統(tǒng)和工具可以自動化信息的收集、分析和交流，以推動運(yùn)營和業(yè)務(wù)決策。這可能包括企業(yè)的服務(wù)器、可能由人工智能驅(qū)動的軟件以及數(shù)據(jù)收集和共享設(shè)備的網(wǎng)絡(luò)，其中包括計算機(jī)和智能手機(jī)。

除了這些關(guān)鍵要素之外，還有一個經(jīng)常被忽視的關(guān)鍵系統(tǒng)組件——相關(guān)人員。就像人們對信息系統(tǒng)的參與被忽視一樣，企業(yè)也往往會忽視網(wǎng)絡(luò)安全中的人為因素，可能會導(dǎo)致嚴(yán)重的后果。

[[407826]]

讓我們看一個假設(shè)的場景：

在度假期間，一家價值數(shù)十億美元的公司的區(qū)域銷售主管Jane在她的手機(jī)上收到了一封電子郵件。來自Bill，她辦公室的 IT 管理員，她碰巧也很了解他。這封郵件首先為短暫中斷她的假期而道歉，但表示有一些緊急的事情需要做。 Bill 要求 Jane 快速回復(fù)其專有 CRM 應(yīng)用程序的登錄憑據(jù)，因為似乎存在一些需要盡快修復(fù)的問題!而Jane，部分是毫無戒心，部分是想回到假期模式，輸入對她的要求并點(diǎn)擊“發(fā)送”。然后她繼續(xù)她的假期。一周后，簡回到工作崗位，震驚地發(fā)現(xiàn)公司包含數(shù)千名客戶個人信息的 CRM 數(shù)據(jù)庫被黑客入侵并泄露了信息。簡沒有注意到她收到的電子郵件，只是一次釣魚網(wǎng)絡(luò)嘗試。

超過 90% 的網(wǎng)絡(luò)攻擊是由網(wǎng)絡(luò)釣魚引起的

任何系統(tǒng)的安全性取決于其最薄弱的環(huán)節(jié)。談到企業(yè)網(wǎng)絡(luò)安全，最薄弱的環(huán)節(jié)恰好是參與系統(tǒng)的人。盡管組織安全系統(tǒng)隨著時間的推移變得越來越智能，但組織安全系統(tǒng)也是如此。人工智能和機(jī)器學(xué)習(xí)算法在安全方面日益重要的作用確保了組織數(shù)據(jù)在不斷變化的威脅下仍然受到保護(hù)。將現(xiàn)有的算法安全系統(tǒng)與區(qū)塊鏈等技術(shù)相結(jié)合，可以使安全更加安全，至少在理論上是這樣。

然而，需要注意的是，大多數(shù)網(wǎng)絡(luò)攻擊的成功都是由于網(wǎng)絡(luò)安全中的“人為因素”造成的脆弱性。超過 90% 的成功網(wǎng)絡(luò)攻擊是由于網(wǎng)絡(luò)釣魚造成的，網(wǎng)絡(luò)釣魚利用了人們在區(qū)分真實(shí)通信和欺詐通信方面的無意識和判斷力。這不僅證實(shí)了投資于最智能的安全系統(tǒng)并不能保證保護(hù)機(jī)密數(shù)據(jù)的事實(shí)。

事實(shí)上，企業(yè)組織正在大力投資網(wǎng)絡(luò)安全，從 2017 年到 2021 年，全球網(wǎng)絡(luò)安全支出估計將超過 1 萬億美元。為了完全保護(hù)數(shù)據(jù)免遭非法訪問和丟失，投資于更智能的系統(tǒng)應(yīng)該與讓人們在安全方面更聰明?，F(xiàn)在，不要誤會我的意思。我所說的更聰明并不是質(zhì)疑人們的智力或他們對數(shù)字安全的了解。

人員過失造成的損失

如上圖所示，在2013和2014年Sony、Target和Home Depot都遭遇了釣魚網(wǎng)絡(luò)攻擊，并造成直接經(jīng)濟(jì)損失和企業(yè)信譽(yù)受損。

員工需要提高意識

在安全方面的智能意味著了解您從誰那里接收通信、您單擊哪些鏈接或打開哪些附件、不同類型的網(wǎng)絡(luò)犯罪和威脅，以及組織通信、隱私和安全政策。

對智能的需求不僅適用于設(shè)備、軟件和這些設(shè)備的主要用戶，還適用于整個組織金字塔。這包括最高領(lǐng)導(dǎo)層，他們不一定參與使用數(shù)據(jù)管理系統(tǒng)，但需要使用組織渠道進(jìn)行內(nèi)部溝通。加強(qiáng)數(shù)據(jù)安全應(yīng)采取自上而下和自下而上的方法，以確保政策、技術(shù)和人員方面的漏洞最小。

更智能的安全措施

為了擁有一個萬無一失、強(qiáng)大的安全系統(tǒng)來保護(hù)企業(yè)范圍的網(wǎng)絡(luò)，組織不僅應(yīng)該規(guī)劃和投資于可用的最佳技術(shù)，而且還應(yīng)該讓他們的員工更加了解網(wǎng)絡(luò)安全。以下實(shí)踐可以幫助組織形成全面的威脅預(yù)防策略：

培訓(xùn)和意識計劃：制定智能安全策略的第一步是確保所有員工了解網(wǎng)絡(luò)安全的重要性，并教會他們在與 IT 基礎(chǔ)設(shè)施交互和使用 IT 基礎(chǔ)設(shè)施時遵守標(biāo)準(zhǔn)協(xié)議。應(yīng)讓員工了解企業(yè)信息系統(tǒng)安全可能受到損害的不同方式，以及它可能對組織和員工本身產(chǎn)生的嚴(yán)重影響。他們應(yīng)該特別接受培訓(xùn)，以識別利用網(wǎng)絡(luò)安全中的人為因素的網(wǎng)絡(luò)釣魚企圖和其他網(wǎng)絡(luò)攻擊策略。這種培訓(xùn)應(yīng)該旨在實(shí)現(xiàn)用戶群中的實(shí)際行為改變，并且除了建立意識之外，還必須結(jié)構(gòu)化這樣做。通過進(jìn)行后續(xù)測試(例如內(nèi)部進(jìn)行的網(wǎng)絡(luò)釣魚活動)來評估此類培訓(xùn)的有效性，將有助于改善未來的結(jié)果。

隔離內(nèi)部和外部通信：在功能上可行的范圍內(nèi)將內(nèi)部通信網(wǎng)絡(luò)與外部通信網(wǎng)絡(luò)隔離將防止惡意軟件和其他傳染性元素傳播到關(guān)鍵系統(tǒng)。除了在基礎(chǔ)設(shè)施上隔離內(nèi)部和外部網(wǎng)絡(luò)，即將關(guān)鍵系統(tǒng)與外部網(wǎng)絡(luò)物理隔離之外，組織還應(yīng)該標(biāo)準(zhǔn)化所有用戶必須遵守的內(nèi)部通信協(xié)議。組織還應(yīng)建立標(biāo)準(zhǔn)的溝通渠道，以避免任何混淆和錯誤，例如打開可能導(dǎo)致安全漏洞的傳染性鏈接。

入侵您自己的網(wǎng)絡(luò)：道德黑客是入侵安全網(wǎng)絡(luò)但沒有任何惡意意圖的程序員。組織可以讓道德黑客入侵他們的網(wǎng)絡(luò)以識別零日漏洞，即系統(tǒng)所有者以前不知道的漏洞。識別新的可能威脅將允許系統(tǒng)所有者修復(fù)它們，以免它們被不合格的未知攻擊者利用。應(yīng)盡早修復(fù)由此確定的漏洞或漏洞。

隨著物聯(lián)網(wǎng) (IoT) 的引入和傳播，從智能手機(jī)和智能手表到國家電網(wǎng)，物聯(lián)網(wǎng)將所有可以想象的電子設(shè)備連接起來。隨著每臺設(shè)備添加到物聯(lián)網(wǎng)網(wǎng)絡(luò)，安全故障結(jié)果的風(fēng)險和嚴(yán)重性都會增加。因此，現(xiàn)在是企業(yè)和其他組織改善網(wǎng)絡(luò)安全中的技術(shù)和人為因素的最理想時機(jī)。

【責(zé)任編輯：趙寧寧 TEL：（010）68476606】