網(wǎng)絡安全研究機構(gòu)SANS研究所在日前發(fā)布的一份研究報告中表示，隨著AI技術(shù)增加了網(wǎng)絡釣魚、電話釣魚和短信釣魚攻擊的復雜性和范圍，理解和管理和人員有關(guān)的網(wǎng)絡風險變得越來越重要。

該報告強調(diào)了和人員有關(guān)的網(wǎng)絡風險的不斷升級，特別是在過去一年中，全球20%的組織報告了涉及遠程工作人員的網(wǎng)絡安全事件。

SANS研究所安全意識總監(jiān)Lance Spitzner表示:“數(shù)字世界正在迅速擴張，隨著網(wǎng)絡安全成為全球網(wǎng)絡威脅的主要目標，網(wǎng)絡安全中的人為因素變得越來越重要?！?/p>

值得注意的是，該研究報告指出，以強大的團隊和領(lǐng)導支持為標志的成熟安全計劃的特點是其安全意識團隊中至少有三名全職員工。

和人員有關(guān)的網(wǎng)絡風險成為主要的威脅

企業(yè)面臨的主要威脅包括網(wǎng)絡釣魚、電話釣魚和短信釣魚攻擊;使用先進工具降低密碼/身份驗證風險;為有效偵測/報告而培育網(wǎng)絡安全文化的挑戰(zhàn);以及IT管理配置錯誤的風險，尤其是在復雜的云計算環(huán)境中。

與前幾年一樣，提供安全意識仍然主要被認為是企業(yè)內(nèi)部安全團隊的兼職工作。值得注意的是，70%的安全意識從業(yè)者透露，他們今年將一半或更少的工作時間用于網(wǎng)絡安全。這種見解凸顯了在企業(yè)日常運營中提升持續(xù)網(wǎng)絡安全意識重要性的持續(xù)挑戰(zhàn)。

研究表明，專門從事人類風險管理的專業(yè)人員的收入比從事更廣泛安全工作的同行高出5%。這凸顯了各行業(yè)領(lǐng)域?qū)@些技能的需求和價值不斷增長。

增加項目成功的關(guān)鍵行動

(1)關(guān)注風險

企業(yè)領(lǐng)導者和安全團隊通常認為安全意識并不是安全的一部分，而是與管理風險無關(guān)的合規(guī)性工作。為了幫助改變這種觀念，要關(guān)注人類風險管理，并從這個角度來闡述。人類風險更有可能與大多數(shù)企業(yè)的戰(zhàn)略安全優(yōu)先級保持一致，獲得企業(yè)領(lǐng)導者的支持，并與安全團隊產(chǎn)生共鳴。

企業(yè)領(lǐng)導者幫助安全團隊成員了解如何為他們提供幫助，并與他們一起確定最重要的人為風險和管理這些風險的關(guān)鍵行為。展示有效的溝通、培訓和參與如何改變這些關(guān)鍵行為并降低人類風險。與安全運營中心(SOC)、事件響應(IR)和網(wǎng)絡威脅情報團隊合作，不僅可以了解他們的工作，還可以向他們展示如何幫助克服與人類風險相關(guān)的挑戰(zhàn)。

(2)領(lǐng)導層的支持

每月花兩到四個小時收集有關(guān)安全意識計劃的影響和價值的指標，并將這些價值傳達給領(lǐng)導層。這些信息可以包括非正式指標、既定的關(guān)鍵績效指標，甚至是成功案例，使領(lǐng)導層能夠更好地理解并定期看到其計劃所提供的價值。

(3)團隊規(guī)模

雖然技術(shù)安全一直是企業(yè)關(guān)注的焦點，但安全的人為方面經(jīng)常被忽視。這種不平衡使得勞動力成為網(wǎng)絡攻擊的誘人目標。例如一個50人的安全團隊中有49人專注于技術(shù)，只有一人來管理人類風險，這種情況并不罕見。這種對以人為本的安全投資不足導致了人為網(wǎng)絡風險的突出。

Spitzner說:“在當今的網(wǎng)絡威脅形勢下，每年以合規(guī)為重點的培訓的傳統(tǒng)模式是不夠的，所以我們在報告中都包含了實用和可行的建議。根據(jù)我們的數(shù)據(jù)，從消除涉及電子郵件釣魚的最高人力風險到克服確保充足資源和預算的共同挑戰(zhàn)，我們的目標是為企業(yè)提供必要的工具，以改善其人為風險管理策略，并幫助確保企業(yè)主動投資于人員，資源和工具，以強有力地消除網(wǎng)絡安全風險的人為因素?！?/p>