2020年,由于疫情加速全球远程办公规模化和常态化,企业攻击面呈几何级数放大,社工攻击和钓鱼攻击激增。IAM、端点安全和网络安全意识培训成为增长最快的“爆款”网络安全产品/服务。
根据GoSecurity的调查(下图),网络安全意识培训是当下企业安全管理者眼中最有效的安全产品/服务,但在企业整体安全支出中的占比却最低(不到10%)。
好的网络安全意识培训能把“人的漏洞”变成“人肉长城”,把最弱的短板变成最坚固的防线,因此是性价比最高的,能够快速提升企业网络安全韧性的“刚需服务”。
对于IAM和端点安全产品,市场上已经有比较成熟的评估工具和方法。但是对于网络安全意识培训服务,这个过去非常边缘化不受重视的“选装件”,很多企业的安全管理者依然没有针对性的选型方法和标准。
事实上网络安全培训是一项非常系统和专业的服务,许多企业依靠内部培训团队,但更多的企业则向外部供应商寻求帮助,因为安全威胁形势发展如此之快,最好的办法就是将培训交给掌握最新趋势的专家。
但是,寻找一个能力匹配、值得信赖并长期合作的安全意识培训合作伙伴并不容易。以下,我们汇总整理了优秀网络安全意识培训服务商的七个关键属性。
1. 与企业安全性原则的兼容性
管理咨询公司麦肯锡公司(McKinsey and Company)的专家助理合伙人查理·刘易斯(Charlie Lewis)说,安全意识培训取得长期成功的关键是找到符合您组织的安全需求、政策和目标的提供商。在联系供应商之前,有必要进行一些企业内部调研。他解释说:“安全意识培训产品应当成为好的网络安全文化、网络安全意识和安全变更管理计划有机组成部分。这三个因素也是安全意识培训选型和成功实施的关键条件。”
美国陆军网络领导力教育计划的制定者,美国军事学院前美国政治学助理教授刘易斯(Lewis)建议说,选择安全意识服务商需要达成内部共识,他说:“安全管理者需要与一线员工和业务负责人合作,以查看特定安全意识服务是否符合他们的需求和利益,这有助于确保选择正确的产品和服务。”
2. 参与能力
ISACA女性领导力咨询委员会的创始主席,澳大利亚家庭健康和高级护理服务提供商Silver Chain Group的首席信息安全官Jo Stewart-Rattray认为,安全意识培训必须与企业文化以及员工能力匹配,提高员工的参与度。她指出:“千篇一律的培训很难取得成功。培训必须针对企业及其偏爱的学习方式进行一些调整。”
商业咨询公司Capgemini 北美公司的网络培训主管Dan Callahan指出,了解受众的能力水平对于提供有效的,有针对性的培训是必要的。他说:“有些培训是补救性的,并且是由过于简单的内容驱动的,忽视了员工角色和安全技能的差异。”“安全意识培训的内容应当紧跟安全形势,同时与客户企业文化的相关性也很重要。”
3. 培训内容的针对性
德勤网络和战略风险部门的风险和财务顾问负责人沙龙·钱德(Sharon Chand)认为,安全意识培训一定要有针对性。“例如,内部员工和高管所采用的意识培训方法可能不同于承包商或第三方供应商”。类似的,培训特权访问IT员工的方法也与油田操作技术员工的培训有很大不同。她说:“我们发现,为独特的受众定制安全意识培训内容会大大提高效率。”
美国政府前任首席信息安全官,网络安全公司AppGate Federal总裁,卡内基梅隆大学亨氏信息系统与公共政策学院兼职教员Greg Touhill表示,要确定网络安全意识培训的内容价值,没有什么比实测评估更好。他说:“我真的很喜欢试用的形式,由随机的员工组成选型委员会参加竞标厂商的培训计划,进行试用,以评估他们的能力是否符合要求。”
4. 完善的培训内容满足多样化劳动力需求
与员工分布在集中区域的小型组织相比,员工分布在区域或大洲的大型企业通常面临更大范围的本地化威胁。Touhill表示,他会随时注意安全意识培训工具,无论其位于何处,该工具在攻击预防和可用性方面都将与整个团队相关。他说:“我们在许多非英语母语的国家都有员工。”“因此,我很看重安全意识产品的多语言跨区域覆盖能力。”
5. 支持威胁建模集成
大多数企业使用某种形式的威胁模型来识别、确认和处理网络威胁。Touhill推荐那些利用威胁建模的意识培训产品或服务。“例如,如果有一个特定的国家黑客组织或网络犯罪团伙正在窥探我的知识产权,我会希望我的安全意识培训计划能够有的放矢,帮助我的团队了解如何正确应对威胁。”
威胁建模通常被视为纯粹的技术范畴,但实际上该模型也可以覆盖商业利益和业务诉求。Callahan说:“重要的是确定您希望企业受众考虑的安全意识信息类型……因为在许多情况下,内部威胁是最大的问题。”“良好的网络意识培训可以帮助预防和缓解大多数威胁。”
Lewis认为安全意识培训服务商有必要了解网络威胁如何直接影响业务人员的安全培训。他说:“威胁建模是成功实施安全意识培训计划的关键因素。”
6. 合理的价格
Touhill建议企业信息主管或安全主管与同行多沟通,以确定服务商的报价是否有竞争力。他说:“CISO社区在共享最佳实践方面无与伦比。CISO之间的沟通可以帮助他们快速锁定有竞争力的服务商候选者。”
Callahan指出,CISO们需要提防试图过度销售产品或服务的提供商:“现在,许多企业的培训内容和活动都有些过载。”他警告说:“因此,如果过多的安全意识培训内容或信息被提供给员工,他们将超负荷工作,变得麻木。”
7. 提供有效培训的能力
Chand指出:“在业务扩展、云计算、人工智能、机器学习、移动性和物联网的推动下,生态系统全球化为攻击者提供了更大的攻击面。有效的安全意识培训是应对这些挑战的最佳方法。”
为了评估特定安全意识培训产品或服务的潜在有效性,Stewart-Rattray建议将包括人力资源和其他相关部门负责人在内的关键利益相关者纳入决策过程。她说:“在评估产品的潜在有效性时,使用跨部门协作并确保关键利益相关者参与决策过程,并且在可能的情况下试用产品非常重要。”
Lewis认为,概念验证(PoC)试验是在现实中检验安全意识培训服务有效性的绝佳方法:“随着时间的推移,您可能会开始看到阶段性的培训成果,例如恶意链接点击率的下降。”“您将需要在整个概念验证期间测量该指标,并连续评估该产品。”
如果产品或服务不符合预期,请告知供应商。Lewis建议:“如果该工具实际上并没有降低网络钓鱼的点击率或人为错误造成的风险,请与服务商合作调整培训节奏,如果所有方法均失败,那么请开始寻找其他供应商。”
确保安全意识培训方法长期有效是一项开放性的任务。安全团队必须不断观察安全意识培训产品或服务的有效性。Callahan说:“大多数安全领导者都知道的一种常见方法是内部网络钓鱼测试。”另一种流行的方法是抽查员工的办公桌面,查看是否有关键或敏感信息泄露的问题。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】