网络安全行业长期以来最大的误区是将“人”看作是体系中最薄弱的环节,试图用技术来压制或修复“人的漏洞”。
根据Verizon的《2023年数据泄露调查报告》,2023年68%的网络攻击事件由“人为因素”导致,虽然比2022年的74%有所下降,但仍是最主要的威胁来源。然而,专家指出,以“技术压制人为失误”的错误思路并未帮助企业实现真正的网络安全能力提升。
什么是网络安全的“以人为本方法”?
为摆脱困境,美国国家标准与技术研究院(NIST)提出了一种全新的“以人为中心的网络安全”(Human-Centric Cybersecurity,简称HCC)理念,强调以用户为核心,从设计到实施都充分考虑用户需求和行为习惯,激励安全行为。
NIST定义的HCC大致包括员工对网络安全的态度、安全意识培训、安全产品的可用性以及政策的制定。
HCC的目标不仅在于技术解决方案,更在于改变网络安全文化,通过对用户友好的安全设计与政策,使员工成为企业网络安全的合作伙伴,而非负担。
让人成为安全体系的核心
HCC并非仅仅强调用户友好,而是要让“人”成为安全体系的核心。NISTHCC项目负责人朱莉·哈尼指出:“如果不考虑人的因素,安全解决方案就难以使用,员工会倾向于犯错、作出冒险决定,甚至采用不安全的变通办法,只为完成工作。”
为推动HCC发展,NIST最近成立了“以人为中心的网络安全利益社区”,汇集实践者、学者和政策制定者,共同探讨如何让网络安全变得更有效且更具用户友好性。与此同时,企业领域也在采纳HCC理念。
根据Gartner的预测,到2027年,50%的大型企业首席信息安全官(CISO)将采用以人为本的网络安全实践。Gartner提出的安全行为与文化计划(SBCP)将HCC提升为顶级网络安全趋势,主张通过模拟威胁、自动化工具和数据分析来帮助用户作出安全决策,同时奖励员工报告潜在的安全事件。
Gartner高级分析师维多利亚·卡森强调:“人不是静态的对象。他们的行为、需求和动机都在变化。以人为本的网络安全需要满足员工的这些需求,而不是单纯地告诉他们该做什么。”
SBCP的主要步骤包括威胁模拟、添加自动化和数据分析以帮助用户做出安全选择、奖励报告潜在安全事件的员工以及跟踪指标以证明SBCP的实际效果。根据Gartner的数据,近一半专注于SBCP的公司正在采取上述每一步。
最大限度地减少网络安全引发的摩擦不仅可以改善公司的安全态势,还可以减轻传统对抗性工作带来的压力。Gartner预计,一半的网络安全领导者将在2023年至2025年期间换工作,其中四分之一的离职者实际上是由于压力而永久离开该行业。
传统安全意识培训的进化方向
传统的安全意识培训主要依赖年度或季度课程,但这种模式往往只是“走过场”,未能真正解决员工行为背后的根本问题。Gartner的PIPE框架(实践、影响、平台和支持)提供了更全面的解决方案,例如利用身份与访问管理(IAM)工具、生成式AI和行为分析技术,提升用户的参与度与安全行为的效率。
此外,新的“人员风险管理”(Human Risk Management)服务成为HCC实践中的重要产品类别。这种服务超越了传统的安全培训,将重点放在教育员工的同时,通过行为分析减少风险。例如,通过追踪重复错误的员工行为,不是惩罚,而是识别培训不足或流程问题,从而推动改进。
改变文化:将“最弱环节”转变为“合作伙伴”
员工担心自己可能成为网络攻击的“漏洞”。根据安永会计师事务所的调查,34%的员工担心自己的行为会让企业暴露在风险中。NIST指出,企业应将这种担忧转化为积极的行动支持,而非简单地在安全事件发生后责怪员工。
“如果有人点击了钓鱼链接,组织往往把所有责任归咎于员工,却忽视了企业在流程、政策甚至工具方面可能存在的问题,”哈尼表示。她建议,网络安全团队应努力与员工建立合作关系,通过对话发现问题,赋予员工报告权限,从而更早地发现潜在风险。
“以人为本”成为网络安全的核心支柱
美国政府2023年底发布的《联邦网络安全研究与发展计划》将HCC列为优先事项,强调减轻人类在网络安全中的负担并提升技术的可用性。这不仅表明了政策层面对HCC的支持,也凸显出企业需要加速行动的紧迫性。
总之,“以人为本”将不仅仅是网络安全的补充理念,而会成为其核心支柱。通过更好地理解用户行为,设计友好的安全工具,并构建支持性文化,“以人为本”有望成为未来网络安全发展的重要驱动力和关键支点。
