AwareGo 的行为科学专家 Maia Bada 博士在Infosecurity Europe 2022第 2 天的主题演讲中表示,利用终端用户行为分析来增强员工的网络安全意识计划对于防御网络威胁至关重要 。
Bada 强调,据数据显示,85% 的成功网络攻击是因用户遭受网络钓鱼等社会工程攻击而产生的。尽管如此,组织仍然倾向于过度关注技术和流程,而不是人为因素。“我们还需要识别、衡量和补救人类风险因素,”她说。
新冠疫情的发生使这个问题变得更加严峻,例如在不安全的网络中工作和更多地使用个人设备。因此,加强对员工的网络安全意识培训至关重要。这种培训应该对员工的行为产生长期的影响,包括态度和心态。“这是一个漫长的过程,而不是一次性的培训,”Bada 评论道。
组织经常使用的方法是网络钓鱼模拟,但这些方法经常被使用不当,导致安全疲劳和恐惧等问题。例如,Bada 引用了一个案例,组织中的员工将所有电子邮件都视为网络钓鱼,拒绝打开或回复任何进入他们收件箱的邮件。
一个主要挑战是评估意识培训的有效性,并了解它在改变组织文化方面的有效性。这样公司可以根据员工的不同关注点定制个性化的培训计划。例如,为不同的部门量身定制,如人力资源、财务和安全。
Bada 表示,分析显示应该寻求提供有关四个关键评价指标的见解:
· 训练前、中、后的效率
· 获取知识、行为和文化
· 提供组织可用来改进计划和政策的可行见解
· 它的相关性、参与性和教育性如何
Bada 说,实现这一目标的最佳方法是通过终端用户行为分析。这可以识别诸如日常行为模式和员工弱势群体等。
然后,她重点介绍了 AwareGo 一项针对 160 位网络安全领导者的调查 ,向他们询问了他们组织的意识培训实践。结果发现,62% 的公司正在开展意识培训计划。制定计划的最大原因是合规性(72%),其次是管理层的战略决策(58%)。令人担忧的是,只有 13% 的受访者提到了提高安全意识。这表明培训通常是一项旨在履行法律和公司义务的勾选框练习。
Bada 概述说,这项研究进一步表明需要“以人为本的方法来关注超越合规性和网络钓鱼的意识”。
她总结道:“人是第一道也是最后一道防线,我们需要加强每家公司的人力防火墙。”
原标题:Focus on End-User Behaviors to Enhance Security
作者:James Coker
链接:https://www.infosecurity-magazine.com/news/end-user-behaviors-security/
