人为错误仍然是攻击者进行网络渗透和数据泄露的最有效途径。
SANS研究所安全中心周三发布了其年度安全意识报告,该报告基于1,000名信息安全专业人员的数据,其中发现员工及其缺乏安全培训仍然是数据泄露和网络攻击的常见故障点。该报告还跟踪了受访者安全意识计划的成熟度,及其在降低人为风险方面的有效性。
该网络安全培训和教育组织表示:“今年的报告再次确定了我们在过去三年中看到的情况:最成熟的安全意识计划来自那些拥有最多人员致力于管理和支持它的企业。”
“这些更大的团队更有效地与安全团队合作,以识别、跟踪和优先考虑他们的首要人为风险,并更加有效地参与、激励和培训他们的员工来管理这些风险。”
SANS研究所的研究将成熟度分为五个级别,从最低到最高:不存在、以合规为重点、促进意识和行为改变、长期维持和文化改变,以及指标框架。该报告发现,虽然大约400名受访者表示他们的计划促进了意识和行为改变(这是所有成熟度级别中最高的响应),但这一数字比上一年的报告下降了10%。
该报告还指出,虽然很多公司正在将资金投入昂贵的IT安全产品和投资,但企业的最佳投资可能是花钱培训和训练员工如何发现和阻止诈骗。
SANS研究所表示:“人已成为全球网络攻击者的主要攻击媒介,因此人类现在对组织构成最大风险,而非技术。安全意识计划以及管理它们的专业人员是管理人类风险的关键。”
该研究发现,在公司面临的最大威胁中,前三名中有两个依赖于社会工程策略。网络钓鱼攻击位居榜首,商业电子邮件泄露 (BEC) 攻击位居第二,勒索软件位居前三。
虽然勒索软件攻击可以通过脚本漏洞利用实现自动化,但网络钓鱼和BEC需要攻击者的“人情味”,他可以诱骗员工交出敏感的帐户信息和路由号码。该报告还指出,绝大多数勒索软件攻击都是从网络钓鱼电子邮件或利用弱密码开始。
这就是为什么SANS表示公司需要投入更多资金来培训员工,以发现攻击并在网络漏洞发生之前将其切断。为了做到这一点,SANS表示,企业需要重新考虑他们如何进行安全培训,以及为什么要对最终用户和高管进行培训,以了解他们接受培训的内容以及培训的重要性。
该报告称:“很多时候,安全意识被认为是一种合规工作,或者安全意识专业人员被认为是从事‘娱乐’业务,专注于让员工对网络安全感到兴奋,但对企业商业利益没有影响。”
“为了有效地吸引领导层,应该关注并使用能引起他们共鸣的术语,并展示对他们战略重点的支持。”
SANS表示,部分问题在于IT部门缺乏参与。该报告表明,在安全研究和报告上投入时间可以帮助高管和IT决策者了解培训和员工警惕的重要性。
SANS称:“每月花两到四个小时来收集有关你的意识计划的影响和价值的指标,并将其传达给领导层。”
“这些信息可以包括非正式的指标、既定的关键绩效指标,甚至是成功案例。”