最近迈克菲就"用户本身对安全带来的威胁与影响" 话题发起了 #SecChat的Twitter线上讨论活动。我们得出了一个结论:无论安全技术变得多么先进,用户始终是企业安全计划中最薄弱的一环。因此,我们就如何应对用户这最薄弱的一环,以及企业如何优化技术解决方案和策略来缓解用户威胁所带来的风险这些话题进行了讨论。
安全的技术因素
一开始,我们首先询问参与者常见的"最薄弱技术环节"是什么。有参与者认为劣质的安全应用程序是最要命的。其中有人补充到:应用程序设计者毫无风险意识,或者根本没把安全视为问题。而大家普遍认为:将特定技术视为"最薄弱环节"是不负责任的。任何技术,无论多么先进,能否有用,都取决于实施它们的人。
接着我们的讨论发生了转折,有参与者提出,很多人之所以不愿意去制定安全策略,只是因为安全策略的制定并非易事。那么作为IT 团队,如何能更好地使安全与业务目标和用户需求相符呢?我们认为:用户的关注点,始终在其工作本身,而非 IT。只有掌握到这一态势之后,安全团队才能制定有效地策略。
安全策略:透明度问题
其中有人给出了一个建议,即增加透明度。透明度可帮助员工建立起关于违规产生的实际后果的心智模型,从而增加用户认同感。我们认为用户引发的一些最常见问题都因为员工无视其行为带来的后果,而作为安全团队,需要解释策略背后的"原因",而不是去盲目期待每一个员工的行为符合要求。
在技术层面上,参与聊天的一些人提到了 DLP 解决方案(Data Leakage Prevention,数据泄露防护),因为它们不仅能代替用户保证安全,而且还增加了透明度。DLP 能在用户违规时发出警报, 帮助用户了解其行为的后果并让他们亲临实境的看到遭到攻击后产生的恶果。
之后,我们的话题开始转向电子邮件威胁所带来的挑战,透明度成了关键议题。我们认为在 Web 保护方面,显示拦截的页面并解释拦截原因促使员工关注其活动对整个企业的影响大有帮助。它会令员工不仅关注必须做什么,还关注为什么需要这样做。这是企业文化层面的变革,而非仅仅停留在策略层面。
最后,我们以询问参与者的主要心得来结束了这场讨论。我们都认为:员工安全教育是关键,但必须辅以相关的实际示例, C 级认同感是让计划有效的关键所在。我们应该在确立安全策略的业务价值的同时,以适当的技术解决方案作为策略后盾。