网络安全研究机构SANS研究所在日前发布的一份研究报告中表示,随着AI技术增加了网络钓鱼、电话钓鱼和短信钓鱼攻击的复杂性和范围,理解和管理和人员有关的网络风险变得越来越重要。
该报告强调了和人员有关的网络风险的不断升级,特别是在过去一年中,全球20%的组织报告了涉及远程工作人员的网络安全事件。
SANS研究所安全意识总监Lance Spitzner表示:“数字世界正在迅速扩张,随着网络安全成为全球网络威胁的主要目标,网络安全中的人为因素变得越来越重要。”
值得注意的是,该研究报告指出,以强大的团队和领导支持为标志的成熟安全计划的特点是其安全意识团队中至少有三名全职员工。
和人员有关的网络风险成为主要的威胁
企业面临的主要威胁包括网络钓鱼、电话钓鱼和短信钓鱼攻击;使用先进工具降低密码/身份验证风险;为有效侦测/报告而培育网络安全文化的挑战;以及IT管理配置错误的风险,尤其是在复杂的云计算环境中。
与前几年一样,提供安全意识仍然主要被认为是企业内部安全团队的兼职工作。值得注意的是,70%的安全意识从业者透露,他们今年将一半或更少的工作时间用于网络安全。这种见解凸显了在企业日常运营中提升持续网络安全意识重要性的持续挑战。
研究表明,专门从事人类风险管理的专业人员的收入比从事更广泛安全工作的同行高出5%。这凸显了各行业领域对这些技能的需求和价值不断增长。
增加项目成功的关键行动
(1)关注风险
企业领导者和安全团队通常认为安全意识并不是安全的一部分,而是与管理风险无关的合规性工作。为了帮助改变这种观念,要关注人类风险管理,并从这个角度来阐述。人类风险更有可能与大多数企业的战略安全优先级保持一致,获得企业领导者的支持,并与安全团队产生共鸣。
企业领导者帮助安全团队成员了解如何为他们提供帮助,并与他们一起确定最重要的人为风险和管理这些风险的关键行为。展示有效的沟通、培训和参与如何改变这些关键行为并降低人类风险。与安全运营中心(SOC)、事件响应(IR)和网络威胁情报团队合作,不仅可以了解他们的工作,还可以向他们展示如何帮助克服与人类风险相关的挑战。
(2)领导层的支持
每月花两到四个小时收集有关安全意识计划的影响和价值的指标,并将这些价值传达给领导层。这些信息可以包括非正式指标、既定的关键绩效指标,甚至是成功案例,使领导层能够更好地理解并定期看到其计划所提供的价值。
(3)团队规模
虽然技术安全一直是企业关注的焦点,但安全的人为方面经常被忽视。这种不平衡使得劳动力成为网络攻击的诱人目标。例如一个50人的安全团队中有49人专注于技术,只有一人来管理人类风险,这种情况并不罕见。这种对以人为本的安全投资不足导致了人为网络风险的突出。
Spitzner说:“在当今的网络威胁形势下,每年以合规为重点的培训的传统模式是不够的,所以我们在报告中都包含了实用和可行的建议。根据我们的数据,从消除涉及电子邮件钓鱼的最高人力风险到克服确保充足资源和预算的共同挑战,我们的目标是为企业提供必要的工具,以改善其人为风险管理策略,并帮助确保企业主动投资于人员,资源和工具,以强有力地消除网络安全风险的人为因素。”