人為錯誤仍然是攻擊者進(jìn)行網(wǎng)絡(luò)滲透和數(shù)據(jù)泄露的最有效途徑。

SANS研究所安全中心周三發(fā)布了其年度安全意識報(bào)告，該報(bào)告基于1,000名信息安全專業(yè)人員的數(shù)據(jù)，其中發(fā)現(xiàn)員工及其缺乏安全培訓(xùn)仍然是數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的常見故障點(diǎn)。該報(bào)告還跟蹤了受訪者安全意識計(jì)劃的成熟度，及其在降低人為風(fēng)險(xiǎn)方面的有效性。

該網(wǎng)絡(luò)安全培訓(xùn)和教育組織表示：“今年的報(bào)告再次確定了我們在過去三年中看到的情況：最成熟的安全意識計(jì)劃來自那些擁有最多人員致力于管理和支持它的企業(yè)。”

“這些更大的團(tuán)隊(duì)更有效地與安全團(tuán)隊(duì)合作，以識別、跟蹤和優(yōu)先考慮他們的首要人為風(fēng)險(xiǎn)，并更加有效地參與、激勵和培訓(xùn)他們的員工來管理這些風(fēng)險(xiǎn)?！?/p>

SANS研究所的研究將成熟度分為五個級別，從最低到最高：不存在、以合規(guī)為重點(diǎn)、促進(jìn)意識和行為改變、長期維持和文化改變，以及指標(biāo)框架。該報(bào)告發(fā)現(xiàn)，雖然大約400名受訪者表示他們的計(jì)劃促進(jìn)了意識和行為改變（這是所有成熟度級別中最高的響應(yīng)），但這一數(shù)字比上一年的報(bào)告下降了10%。

該報(bào)告還指出，雖然很多公司正在將資金投入昂貴的IT安全產(chǎn)品和投資，但企業(yè)的最佳投資可能是花錢培訓(xùn)和訓(xùn)練員工如何發(fā)現(xiàn)和阻止詐騙。

SANS研究所表示：“人已成為全球網(wǎng)絡(luò)攻擊者的主要攻擊媒介，因此人類現(xiàn)在對組織構(gòu)成最大風(fēng)險(xiǎn)，而非技術(shù)。安全意識計(jì)劃以及管理它們的專業(yè)人員是管理人類風(fēng)險(xiǎn)的關(guān)鍵?！?/p>

該研究發(fā)現(xiàn)，在公司面臨的最大威脅中，前三名中有兩個依賴于社會工程策略。網(wǎng)絡(luò)釣魚攻擊位居榜首，商業(yè)電子郵件泄露 (BEC) 攻擊位居第二，勒索軟件位居前三。

雖然勒索軟件攻擊可以通過腳本漏洞利用實(shí)現(xiàn)自動化，但網(wǎng)絡(luò)釣魚和BEC需要攻擊者的“人情味”，他可以誘騙員工交出敏感的帳戶信息和路由號碼。該報(bào)告還指出，絕大多數(shù)勒索軟件攻擊都是從網(wǎng)絡(luò)釣魚電子郵件或利用弱密碼開始。

這就是為什么SANS表示公司需要投入更多資金來培訓(xùn)員工，以發(fā)現(xiàn)攻擊并在網(wǎng)絡(luò)漏洞發(fā)生之前將其切斷。為了做到這一點(diǎn)，SANS表示，企業(yè)需要重新考慮他們?nèi)绾芜M(jìn)行安全培訓(xùn)，以及為什么要對最終用戶和高管進(jìn)行培訓(xùn)，以了解他們接受培訓(xùn)的內(nèi)容以及培訓(xùn)的重要性。

該報(bào)告稱：“很多時(shí)候，安全意識被認(rèn)為是一種合規(guī)工作，或者安全意識專業(yè)人員被認(rèn)為是從事‘娛樂’業(yè)務(wù)，專注于讓員工對網(wǎng)絡(luò)安全感到興奮，但對企業(yè)商業(yè)利益沒有影響?！?/p>

“為了有效地吸引領(lǐng)導(dǎo)層，應(yīng)該關(guān)注并使用能引起他們共鳴的術(shù)語，并展示對他們戰(zhàn)略重點(diǎn)的支持。”

SANS表示，部分問題在于IT部門缺乏參與。該報(bào)告表明，在安全研究和報(bào)告上投入時(shí)間可以幫助高管和IT決策者了解培訓(xùn)和員工警惕的重要性。

SANS稱：“每月花兩到四個小時(shí)來收集有關(guān)你的意識計(jì)劃的影響和價(jià)值的指標(biāo)，并將其傳達(dá)給領(lǐng)導(dǎo)層?！?/p>

“這些信息可以包括非正式的指標(biāo)、既定的關(guān)鍵績效指標(biāo)，甚至是成功案例。”