?10月是安全意識(shí)月，這是一個(gè)令人興奮的時(shí)刻，因?yàn)槭澜绺鞯氐钠髽I(yè)都在培訓(xùn)人們?nèi)绾卧诠ぷ骱图彝ブ斜３志W(wǎng)絡(luò)安全。但是，安全意識(shí)到底是什么?更重要的是，我們?yōu)槭裁匆P(guān)心它?

根據(jù)企業(yè)的不同，安全意識(shí)有許多其他名稱：安全影響、文化、參與、培訓(xùn)、教育等。所有這些不同的名字可能看起來(lái)令人困惑，但歸根結(jié)底，它們都在談?wù)撏患隆芾砣祟愶L(fēng)險(xiǎn)。

傳統(tǒng)的方法不起作用　　

企業(yè)、網(wǎng)絡(luò)安全領(lǐng)袖和網(wǎng)絡(luò)安全社區(qū)都認(rèn)為:在當(dāng)今高度互聯(lián)的世界中，人員是最大的安全風(fēng)險(xiǎn)。

最新發(fā)布的《威瑞森數(shù)據(jù)泄露調(diào)查報(bào)告》(DBIR)指出，全球超過(guò)80%的數(shù)據(jù)泄露事件都與人有關(guān)。這些事件可能涉及人們被網(wǎng)絡(luò)釣魚(yú)郵件或詐騙攻擊的目標(biāo)，或者人們犯了錯(cuò)誤(例如，IT管理員錯(cuò)誤配置了他們的云賬戶，不小心與整個(gè)世界共享了敏感數(shù)據(jù))。

如果人類具有如此高的風(fēng)險(xiǎn)，應(yīng)該做些什么呢?　　

傳統(tǒng)的方法一直是在問(wèn)題上投入更多的技術(shù)。如果網(wǎng)絡(luò)攻擊者成功利用電子郵件進(jìn)行網(wǎng)絡(luò)釣魚(yú)，將部署安全技術(shù)，過(guò)濾和阻止網(wǎng)絡(luò)釣魚(yú)式電子郵件攻擊。如果網(wǎng)絡(luò)攻擊者正在泄露人們的密碼，將實(shí)施多因素認(rèn)證。問(wèn)題是，網(wǎng)絡(luò)攻擊者繞過(guò)這些技術(shù)，把目標(biāo)對(duì)準(zhǔn)了人員。

隨著我們?cè)谧R(shí)別和阻止釣魚(yú)式電子郵件攻擊方面做得越來(lái)越好，網(wǎng)絡(luò)攻擊者以人們的手機(jī)為目標(biāo)，通過(guò)短信或短信進(jìn)行攻擊。隨著越來(lái)越多的企業(yè)部署MFA，網(wǎng)絡(luò)攻擊者開(kāi)始用MFA請(qǐng)求糾纏人們，直到他們批準(zhǔn)(就像最近發(fā)生在Uber)。

這也是我們遇到第二個(gè)挑戰(zhàn)的地方:安全團(tuán)隊(duì)太過(guò)頻繁地指責(zé)人是人為風(fēng)險(xiǎn)問(wèn)題的根本原因——正如經(jīng)常使用的短語(yǔ)所證明的那樣，如“人才是最薄弱的一環(huán)”和“如果的員工按照我們告訴他們的去做，他們和我們都是安全的。”

但當(dāng)從普通員工的角度來(lái)看網(wǎng)絡(luò)安全時(shí)，就會(huì)發(fā)現(xiàn)，安全社區(qū)往往是罪魁禍?zhǔn)?。我們把網(wǎng)絡(luò)安全搞得如此混亂、可怕、勢(shì)不可擋，以至于我們讓人們注定要失敗。人們常常不知道該做什么，或者即使他們知道該做什么，做正確的事情變得如此困難，以至于他們做錯(cuò)了，或者干脆選擇了另一個(gè)選項(xiàng)。

只要看看密碼就知道了，它是入侵的最大驅(qū)動(dòng)因素之一。多年來(lái)，人們繼續(xù)以不安全的方式使用弱密碼，但這個(gè)問(wèn)題仍然存在，因?yàn)槲覀兘淌诘拿艽a策略令人困惑，而且不斷變化。例如，許多企業(yè)或網(wǎng)站的策略要求復(fù)雜的密碼為15個(gè)字符，包括大小寫(xiě)字母、符號(hào)和數(shù)字。然后，我們要求人們每90天更換一次密碼，但沒(méi)有提供一種安全的方法來(lái)保護(hù)所有這些冗長(zhǎng)、復(fù)雜和不斷變化的密碼。

然后推出MFA來(lái)幫助人們安全，但是，再一次，這非常令人困惑(甚至對(duì)我來(lái)說(shuō)!)首先，我們對(duì)MFA有多個(gè)不同的名稱，包括雙因素身份驗(yàn)證、兩步驗(yàn)證、強(qiáng)身份驗(yàn)證或一次性密碼。然后我們有多種不同的方法來(lái)實(shí)現(xiàn)它，包括推送通知、文本消息、基于FIDO令牌的應(yīng)用程序、身份驗(yàn)證應(yīng)用程序等。你訪問(wèn)的每個(gè)網(wǎng)站都有不同的名稱和技術(shù)實(shí)現(xiàn)，然后我們?cè)僖淮呜?zé)備人們不使用它。

從安全意識(shí)到管理人員風(fēng)險(xiǎn)　　

安全意識(shí)培訓(xùn)一直是傳統(tǒng)的方法，它涉及與員工溝通和培訓(xùn)如何實(shí)現(xiàn)網(wǎng)絡(luò)安全。雖然這是朝著正確方向邁出的一步，但我們還需要進(jìn)一步:我們需要管理人為風(fēng)險(xiǎn)。

管理人力風(fēng)險(xiǎn)需要一種更具戰(zhàn)略性的方法。它建立在安全意識(shí)的基礎(chǔ)上，包括：

• 風(fēng)險(xiǎn)：安全意識(shí)團(tuán)隊(duì)需要成為安全團(tuán)隊(duì)的組成部分，甚至直接向CISO報(bào)告。他們的工作應(yīng)包括與其他安全要素(如安全運(yùn)營(yíng)中心、網(wǎng)絡(luò)威脅情報(bào)分析師和事件響應(yīng)人員)密切合作，以清楚地確定企業(yè)面臨的主要人為風(fēng)險(xiǎn)以及管理這些風(fēng)險(xiǎn)的關(guān)鍵行為。一旦那些關(guān)鍵的風(fēng)險(xiǎn)和行為被識(shí)別并確定了優(yōu)先級(jí)，那么我們就可以就這些行為與我們的員工進(jìn)行溝通和培訓(xùn)。
• 政策：我們需要開(kāi)始創(chuàng)建安全政策、流程和過(guò)程，讓人們更容易遵守，我們應(yīng)該在設(shè)計(jì)政策(以及支持它們的工具)時(shí)考慮到人們。如果希望人們使用強(qiáng)身份驗(yàn)證，則必須專注于人們?nèi)菀讓W(xué)習(xí)和使用的東西。這個(gè)過(guò)程越混亂，越需要人工操作，網(wǎng)絡(luò)攻擊者就越容易利用這一點(diǎn)。
• 安全團(tuán)隊(duì)：我們需要安全團(tuán)隊(duì)用每個(gè)人都能理解的簡(jiǎn)單的“人性化”術(shù)語(yǔ)與員工溝通，包括解釋他們需求的原因:為什么密碼管理器很重要，MFA對(duì)他們有什么價(jià)值，以及為什么啟用自動(dòng)更新對(duì)他們有好處。我們必須改變員工對(duì)保安團(tuán)隊(duì)的認(rèn)知:從傲慢到平易近人。

管理人員風(fēng)險(xiǎn)正成為每個(gè)安全領(lǐng)導(dǎo)者戰(zhàn)略的基本組成部分。當(dāng)我們?cè)噲D與員工溝通、參與和培訓(xùn)員工時(shí)，安全意識(shí)是朝著正確方向邁出的第一步，但我們需要更專注、更戰(zhàn)略性的努力來(lái)真正管理人類風(fēng)險(xiǎn)。也許有一天，我們甚至?xí)l(fā)展壯大，用人類風(fēng)險(xiǎn)官取代安全意識(shí)官的角色。?