10月是网络安全意识月, 一年中安全意识改进行动变得特别突出的时候. 在引入信息安全规则之外, 了解基于人类的威胁并建议防御行动, 确保用户了解他们在安全性中的角色和他们的漏洞也很重要:人为因素的坏习惯和可利用的威胁. 这可能是安全意识改进行动成功的关键.
如果参与者基于人为因素理解风险,并得到“为什么它对我很重要??以及“我怎么可能成为攻击者的目标和攻击的受害者??,他们将能够更好地应用他们的信息安全知识,并遵守相关规则.
但答案是什么呢?
根据 Verizon 2020年数据泄露调查报告, 67%的成功网络攻击是人为疏忽或人为攻击(如网络钓鱼)的结果. 其他统计数据显示,98%的网络攻击是基于人为因素并使用社会工程技术. 这表明员工是网络罪犯的目标. 原因是用户通常可以直接访问所有要保护的资产, 因为他们
- 使用和运输硬件设备(并可以把它们放在一个明显的地方被小偷偷走)
- 安装和更新软件并使用内部应用程序(并且可以安装不需要的程序并忘记更新)
- 具有访问权限和内部知识(在执行其他类型的攻击时,这对攻击者很有用)
- 与其他同事沟通, 客户, 客户和合作伙伴(这可能是一个可利用的渠道)
- 有可利用的特点和习惯
如果攻击者知道他的性格, 动机, 目标用户的特征和习惯, 他们可以识别对社会工程攻击有用的元素. 让员工容易被利用的特质可能是个人特质, 享有单位, 瞬间的或情境的. 例如, 有用性很容易被攻击者利用,通过非法侵入设施, 或者网络钓鱼攻击可以基于目标的好奇心甚至恐惧, 疲劳或匆忙可以用于电话攻击,以进行虚假请求或电子邮件诈骗. 人为因素和可利用的特征可能导致重大风险.
这就是为什么在工作场所和家中都要有安全意识的重要原因.
提高员工的安全意识水平至关重要. 好消息是,尽管他们经常被认为是最薄弱的环节, 用户也可以是第一道防线. 训练有素、有安全意识的员工可以成功预防, 检测和报告安全事件,充当人类防火墙. 这些用户了解相关的基于人类的威胁, 遵守规则, 永远不要绕过安全对策和, 最重要的是, 他们意识到自己在信息安全中的角色.
为了实现这一目标, 组织应组织有效的安全意识改进行动,如培训, 研讨会, 活动和游戏化元素. 选择最合适的方法, 第一步是确定焦点群体, 包括他们的特点, habits and possible exploitable situations; analyze past incidents, audit/test results and security trends; and assess the needs of participants. 基于此, 组织可以定义安全意识改进材料和风险缓解行动的专门内容.
现在, every employee has some information security knowledge; they know the threats of the human factor and how they can become a victim, 但他们往往有一种错误的安全感,认为技术和物理安全对策足以防御. 在我看来, 今天的安全意识培训必须包含更多关于人为因素可利用特性的信息, 习惯和情况, 向员工展示为什么他们会成为网络安全攻击的目标.
编者按: 要进一步了解这个主题,请阅读Eszter Diána Oroszi最近在《澳门赌场官方软件》上发表的文章, “作为漏洞的可利用特征:安全中的人为因素”, ISACA杂志,第五卷,2021年.
别忘了,澳门赌场官方软件可以 免费获得CPE 来自ISACA期刊的测验!
