随着各种网络威胁层出不穷,IT团队在与忽视安全警告的终端用户的较量中持续失败,这着实令人遗憾。CompTIA公司首席技术布道师JamesStanger将解释如何让用户成为解决方案的一部分,而非问题所在。以下是五种方法,帮助企业的员工更加关注安全问题。
如今的网络犯罪分子拥有庞大的攻击面可供利用。他们有时会使用一种名为勒索软件的恶意软件,有时则利用配置错误的服务器或发动分布式拒绝服务(DDoS)攻击。但在大多数情况下,他们攻击的是链条中最薄弱的一环:人类。
1.应对最常见的网络安全威胁
当攻击者决定攻击一家公司时,他们通常会进行社会工程学攻击,而这通常意味着利用电子邮件。据估计,绝大多数(超过90%)基于恶意软件的网络攻击都源自商业电子邮件入侵(BEC)攻击。
这还只是恶意软件方面。如今的威胁行为者不仅利用电子邮件传播恶意软件,还进行各种形式的鱼叉式网络钓鱼攻击和冒充战术。我从世界各地的安全运营中心工作人员那里也听到了同样的说法。
为什么?因为电子邮件仍然是我们沟通的主要方式。因此,它也是主要的攻击面。诚然,攻击者已将注意力转向其他服务,包括社交媒体和即时通讯。但电子邮件仍然是黑客和员工之间的主要联系纽带。
那么,IT专业人员学会如何与终端用户沟通就顺理成章了。毕竟,尽快获取详细准确的信息只能帮助组织更有效地应对。
2.明确终端用户在网络安全中的角色
终端用户可以扮演两种角色。他们可以是解决方案的一部分,也可以是问题的一部分。就在今天,我与一位来自英国的网络安全专业人员交谈过。他经常在曼彻斯特市与执法部门以及英国政府官员合作。
他直言不讳地说:“如果员工没有良好的安全意识,那么你永远无法通过招聘来实现更高的安全性。”
专业人士表示,即使是最先进的人工智能辅助软件也无法解决未经培训的终端用户所产生的问题。
3.培训终端用户
管理组织网络安全风险的关键步骤是实施有效的安全意识培训计划,并结合IT专业人员的加强沟通。你不能只是不断试图教育人们;你必须加强沟通。作为网络安全专业人员,以员工能理解的方式与他们沟通至关重要。
以下是与终端用户沟通的一些技巧:
让网络安全人性化:不要让IT专业人员只在幕后工作。指定一个人或一群人成为你沟通中的安全形象代言人。这将有助于员工将网络安全视为更少的技术烦恼,更多的人类关切。
分享经验:讲述你曾处于类似情境的故事。员工会产生共鸣。这样做将建立一种同志情谊,有助于提升士气,并让人们想要了解更多他们如何能帮助你。
简短传授智慧:你不可能一下子解释清楚所有事情。你也不应该尝试这样做。没有人想阅读一封长篇大论讲解技术步骤的电子邮件。很少有人愿意参加一个小时的安全会议。以用户友好的方式分解信息。
进行双向沟通:仅让IT和网络安全工作人员单向与终端用户沟通是不够的。学习和沟通必须是互动的,而且必须是双向的。一旦员工看到正在进行真正的对话,你会惊讶于他们在遵守安全政策和网络安全最佳实践方面会有多大的改进。
改变方式:是的,拥有可供日后参考的书面最佳实践很重要。但是,要用多种媒介进行沟通。一个组织制作了一系列短小的5分钟视频,展示经验丰富的网络安全人员在轻松的环境中与终端用户谈论一项重要实践。员工喜欢这种闲聊。另一个组织则举行10分钟的网络安全市政厅会议,IT专业人员和终端用户在其中提问和回答问题。当你拆分信息并改变沟通风格时,人们就会开始学习。
4.与个人合作,而非仅与群体合作
IT专业人员在与终端用户合作时,最好的做法是找到与他们问题共情的方式。大多数情况下,人们会对敏感信息被泄露或他们遇到问题而感到非常不安。
一旦你表示理解,就更容易了解你正在调查的具体问题的关键细节。我发现,典型的礼貌行为总会让人们感觉更好,包括解释为什么在这里以及询问他们的感受。这样做不会花费太多时间,并且会对所有相关人员有所帮助。
为了让某人放松下来,你可以讲述你自己的故事,或者指出许多人经历过类似的问题。有时,遭受攻击的人担心他们会受到责备,甚至丢掉工作。关注你公司的安全政策——很少有公司会责怪个人受害者造成数据泄露。
当你在应对事件时,要找到方法沟通你接下来要采取的步骤。向他们展示你的行动是基于政策并依赖行业最佳实践的。
一旦人们看到你表现出了专业性和同理心,你就会发现与他们合作很容易。然后,你可以开始询问他们导致问题的活动。提出开放式问题也有助于你了解安全问题发生时他们正在做什么。
5.不要忘记网络安全的人性化因素
随着组织改进沟通,他们发现可以减少漏洞,因为终端用户意识到信息安全不仅仅是一个抽象的东西,也不是别人的问题。员工还意识到,在许多方面,他们才是第一道防线,而不是防病毒程序和防火墙。任何经验丰富的专业人士都会告诉你,在网络安全意识计划中改进沟通是首要的风险管理步骤。