AwareGo 的行為科學(xué)專家 Maia Bada 博士在Infosecurity?Europe 2022第 2 天的主題演講中表示，利用終端用戶行為分析來增強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)計(jì)劃對(duì)于防御網(wǎng)絡(luò)威脅至關(guān)重要 。

Bada 強(qiáng)調(diào)，據(jù)數(shù)據(jù)顯示，85% 的成功網(wǎng)絡(luò)攻擊是因用戶遭受網(wǎng)絡(luò)釣魚等社會(huì)工程攻擊而產(chǎn)生的。盡管如此，組織仍然傾向于過度關(guān)注技術(shù)和流程，而不是人為因素?！拔覀冞€需要識(shí)別、衡量和補(bǔ)救人類風(fēng)險(xiǎn)因素，”她說。

新冠疫情的發(fā)生使這個(gè)問題變得更加嚴(yán)峻，例如在不安全的網(wǎng)絡(luò)中工作和更多地使用個(gè)人設(shè)備。因此，加強(qiáng)對(duì)員工的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)至關(guān)重要。這種培訓(xùn)應(yīng)該對(duì)員工的行為產(chǎn)生長(zhǎng)期的影響，包括態(tài)度和心態(tài)?！斑@是一個(gè)漫長(zhǎng)的過程，而不是一次性的培訓(xùn)，”Bada 評(píng)論道。

組織經(jīng)常使用的方法是網(wǎng)絡(luò)釣魚模擬，但這些方法經(jīng)常被使用不當(dāng)，導(dǎo)致安全疲勞和恐懼等問題。例如，Bada 引用了一個(gè)案例，組織中的員工將所有電子郵件都視為網(wǎng)絡(luò)釣魚，拒絕打開或回復(fù)任何進(jìn)入他們收件箱的郵件。

一個(gè)主要挑戰(zhàn)是評(píng)估意識(shí)培訓(xùn)的有效性，并了解它在改變組織文化方面的有效性。這樣公司可以根據(jù)員工的不同關(guān)注點(diǎn)定制個(gè)性化的培訓(xùn)計(jì)劃。例如，為不同的部門量身定制，如人力資源、財(cái)務(wù)和安全。

Bada 表示，分析顯示應(yīng)該尋求提供有關(guān)四個(gè)關(guān)鍵評(píng)價(jià)指標(biāo)的見解：

· 訓(xùn)練前、中、后的效率

· 獲取知識(shí)、行為和文化

· 提供組織可用來改進(jìn)計(jì)劃和政策的可行見解

· 它的相關(guān)性、參與性和教育性如何

Bada 說，實(shí)現(xiàn)這一目標(biāo)的最佳方法是通過終端用戶行為分析。這可以識(shí)別諸如日常行為模式和員工弱勢(shì)群體等。

然后，她重點(diǎn)介紹了 AwareGo 一項(xiàng)針對(duì) 160 位網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的調(diào)查 ，向他們?cè)儐柫怂麄兘M織的意識(shí)培訓(xùn)實(shí)踐。結(jié)果發(fā)現(xiàn)，62% 的公司正在開展意識(shí)培訓(xùn)計(jì)劃。制定計(jì)劃的最大原因是合規(guī)性（72%），其次是管理層的戰(zhàn)略決策（58%）。令人擔(dān)憂的是，只有 13% 的受訪者提到了提高安全意識(shí)。這表明培訓(xùn)通常是一項(xiàng)旨在履行法律和公司義務(wù)的勾選框練習(xí)。

Bada 概述說，這項(xiàng)研究進(jìn)一步表明需要“以人為本的方法來關(guān)注超越合規(guī)性和網(wǎng)絡(luò)釣魚的意識(shí)”。

她總結(jié)道：“人是第一道也是最后一道防線，我們需要加強(qiáng)每家公司的人力防火墻?！?/p>

原標(biāo)題：Focus on End-User Behaviors to Enhance Security

作者：James Coker

鏈接：https://www.infosecurity-magazine.com/news/end-user-behaviors-security/