01背景
2020年10月和11月,欧洲、东亚和拉丁美洲的网络攻击量增加了100%以上。加拿大和德国的网络攻击量都增加了250%。20年第四季度勒索软件的平均支付额超过15万美元。
而且不仅仅是攻击量在上升。攻击变得越来越复杂,公司员工往往是帮攻击者打开大门的人。
高级的网络罪犯经常是社会工程学方面专家,设置的陷阱往往让员工防不胜防。
企业信息安全管理人员虽然知道社会工程攻击是高危风险,也想方设法让员工远离这些陷阱,但收效甚微。
伴随疫情影响,越来越多的人转到远程办公,使用个人设备和家庭网络也使得网络风险大大增加。
02安全意识建立中三个最常见挑战:
企业安全管理人员虽然知道预防网络钓鱼需要从员工意识抓起,但往往实施起来不得其法,最常见的3个挑战
1.提高员工意识的活动是随机或一次性的,因此员工完成了意识培训任务,但实际上没有学会如何改变自己的行为。
2.员工的安全意识培训仅限于符合公司繁杂的规则制度,而不是通过风险驱动。
3.领导看不到意识的价值,导致缺乏资源和不温不火的支持。
03帮助员工防止网络陷阱
勒索软件攻击(入侵)的初始入口点通常是通过网络钓鱼或目标攻击提供的受损网站。远程桌面协议、自带PC和虚拟专用网络漏洞和错误配置正成为勒索软件攻击者最常见的入口点。这一情况因新冠疫情导致的远程工作的增加而加剧。
没有一种安全控制是完美的,但有效的控制有助于管理风险。Gartner的3个建议有助于将员工转变为能够检测和抵御社会工程攻击的控制者。
1. 制定一份重要行为列表
将制度规范转为重要行为的示例
原有制度规范
o员工使用强密码
o员工抵制社会工程攻击
o员工保护敏感信息
转化成重要行为
o我们使用密码短语来构造密码
o我们向安全部门报告可疑电子邮件
o我们使用安全、经批准的文件传输解决方案
2.衡量结果,而不是活动
活动和结果指标的说明性示例:
活动度量:
o网络钓鱼模拟的数量
o创建的培训模块数量
o出版的通讯数量
行为结果指标:
o网络钓鱼模拟点击率
o平均网络钓鱼报告率
o数据丢失预防(DLP)警报减少百分比
我们要将活动的衡量转变为效果的衡量,增强管理者信心,提升员工改善动力。
3.将意识与业务利益联系起来
如何将获得的特定培训和知识与行为变化、期望的运营结果与企业高管实际关心的业务结果和业务利益联系起来的端到端示例
通过以上3步,掌握对上和对下的正确沟通方法,输出有利于事项推动的数据,将会让你的安全措施更有效率。
企业信息安全的管理中还有哪些难点,欢迎留言交流。