管理和人員有關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)比以往任何時(shí)候都更加重要
網(wǎng)絡(luò)安全研究機(jī)構(gòu)SANS研究所在日前發(fā)布的一份研究報(bào)告中表示,隨著AI技術(shù)增加了網(wǎng)絡(luò)釣魚、電話釣魚和短信釣魚攻擊的復(fù)雜性和范圍,理解和管理和人員有關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)變得越來越重要。
該報(bào)告強(qiáng)調(diào)了和人員有關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的不斷升級,特別是在過去一年中,全球20%的組織報(bào)告了涉及遠(yuǎn)程工作人員的網(wǎng)絡(luò)安全事件。
SANS研究所安全意識總監(jiān)Lance Spitzner表示:“數(shù)字世界正在迅速擴(kuò)張,隨著網(wǎng)絡(luò)安全成為全球網(wǎng)絡(luò)威脅的主要目標(biāo),網(wǎng)絡(luò)安全中的人為因素變得越來越重要。”
值得注意的是,該研究報(bào)告指出,以強(qiáng)大的團(tuán)隊(duì)和領(lǐng)導(dǎo)支持為標(biāo)志的成熟安全計(jì)劃的特點(diǎn)是其安全意識團(tuán)隊(duì)中至少有三名全職員工。
和人員有關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)成為主要的威脅
企業(yè)面臨的主要威脅包括網(wǎng)絡(luò)釣魚、電話釣魚和短信釣魚攻擊;使用先進(jìn)工具降低密碼/身份驗(yàn)證風(fēng)險(xiǎn);為有效偵測/報(bào)告而培育網(wǎng)絡(luò)安全文化的挑戰(zhàn);以及IT管理配置錯(cuò)誤的風(fēng)險(xiǎn),尤其是在復(fù)雜的云計(jì)算環(huán)境中。
與前幾年一樣,提供安全意識仍然主要被認(rèn)為是企業(yè)內(nèi)部安全團(tuán)隊(duì)的兼職工作。值得注意的是,70%的安全意識從業(yè)者透露,他們今年將一半或更少的工作時(shí)間用于網(wǎng)絡(luò)安全。這種見解凸顯了在企業(yè)日常運(yùn)營中提升持續(xù)網(wǎng)絡(luò)安全意識重要性的持續(xù)挑戰(zhàn)。
研究表明,專門從事人類風(fēng)險(xiǎn)管理的專業(yè)人員的收入比從事更廣泛安全工作的同行高出5%。這凸顯了各行業(yè)領(lǐng)域?qū)@些技能的需求和價(jià)值不斷增長。
增加項(xiàng)目成功的關(guān)鍵行動(dòng)
(1)關(guān)注風(fēng)險(xiǎn)
企業(yè)領(lǐng)導(dǎo)者和安全團(tuán)隊(duì)通常認(rèn)為安全意識并不是安全的一部分,而是與管理風(fēng)險(xiǎn)無關(guān)的合規(guī)性工作。為了幫助改變這種觀念,要關(guān)注人類風(fēng)險(xiǎn)管理,并從這個(gè)角度來闡述。人類風(fēng)險(xiǎn)更有可能與大多數(shù)企業(yè)的戰(zhàn)略安全優(yōu)先級保持一致,獲得企業(yè)領(lǐng)導(dǎo)者的支持,并與安全團(tuán)隊(duì)產(chǎn)生共鳴。
企業(yè)領(lǐng)導(dǎo)者幫助安全團(tuán)隊(duì)成員了解如何為他們提供幫助,并與他們一起確定最重要的人為風(fēng)險(xiǎn)和管理這些風(fēng)險(xiǎn)的關(guān)鍵行為。展示有效的溝通、培訓(xùn)和參與如何改變這些關(guān)鍵行為并降低人類風(fēng)險(xiǎn)。與安全運(yùn)營中心(SOC)、事件響應(yīng)(IR)和網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)合作,不僅可以了解他們的工作,還可以向他們展示如何幫助克服與人類風(fēng)險(xiǎn)相關(guān)的挑戰(zhàn)。
(2)領(lǐng)導(dǎo)層的支持
每月花兩到四個(gè)小時(shí)收集有關(guān)安全意識計(jì)劃的影響和價(jià)值的指標(biāo),并將這些價(jià)值傳達(dá)給領(lǐng)導(dǎo)層。這些信息可以包括非正式指標(biāo)、既定的關(guān)鍵績效指標(biāo),甚至是成功案例,使領(lǐng)導(dǎo)層能夠更好地理解并定期看到其計(jì)劃所提供的價(jià)值。
(3)團(tuán)隊(duì)規(guī)模
雖然技術(shù)安全一直是企業(yè)關(guān)注的焦點(diǎn),但安全的人為方面經(jīng)常被忽視。這種不平衡使得勞動(dòng)力成為網(wǎng)絡(luò)攻擊的誘人目標(biāo)。例如一個(gè)50人的安全團(tuán)隊(duì)中有49人專注于技術(shù),只有一人來管理人類風(fēng)險(xiǎn),這種情況并不罕見。這種對以人為本的安全投資不足導(dǎo)致了人為網(wǎng)絡(luò)風(fēng)險(xiǎn)的突出。
Spitzner說:“在當(dāng)今的網(wǎng)絡(luò)威脅形勢下,每年以合規(guī)為重點(diǎn)的培訓(xùn)的傳統(tǒng)模式是不夠的,所以我們在報(bào)告中都包含了實(shí)用和可行的建議。根據(jù)我們的數(shù)據(jù),從消除涉及電子郵件釣魚的最高人力風(fēng)險(xiǎn)到克服確保充足資源和預(yù)算的共同挑戰(zhàn),我們的目標(biāo)是為企業(yè)提供必要的工具,以改善其人為風(fēng)險(xiǎn)管理策略,并幫助確保企業(yè)主動(dòng)投資于人員,資源和工具,以強(qiáng)有力地消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的人為因素。”
