根據Verizon 2024年的《數據泄露調查報告》(DIBR),該報告分析了2023年創紀錄的30458起安全事件,其中包括10,626起確認的泄露事件——比前一年增加了一倍。顯著的是,報告發現超過三分之二(68%)的事件歸因于人為因素,這就是為什么CISO必須了解員工在采取危及安全的行動時背后的錯誤原因。
正如Cyttraction的CISO Carolin Desirée Toepfer所指出的:“從網絡安全的角度來看,我們經常忘記的是:我們與之合作的人有著完全不同的背景、不同的日常工作和不同的技術使用方式。”
通過了解影響員工行為的心理因素,CISO可以更好地推動真正的風險意識并帶來持久的行為改變。大多數問題歸結為三個主要原因之一。
1. 他們不了解自己在防御中的角色
盡管進行了培訓,但許多員工并未完全理解需要保持警惕作為第一道防線。相反,他們認為網絡安全是IT部門的責任,因此在保護數據方面變得松懈。正如網絡安全意識專家Itamar Shalev所解釋的:“他們對點擊可疑鏈接的警惕性不夠,因為他們相信公司的安全系統能夠阻止任何有害內容的通過。”
解決這個問題的一種方法是改變安全培訓的形式和頻率。Toepfer表示,這樣做將有助于更好地傳達保持一致警惕的重要性,并讓員工有效吸收每個課程,而不是一次性被大量信息淹沒。“不要一年只討論一次這個話題,或者強迫同事參加意識培訓,而是通過不同的方式、不同的鏈接和不同的渠道每年五到六次展示網絡安全,”她說,并建議每隔幾周向員工展示時長為3-15分鐘的專門視頻。
相關的問題是,用戶往往不愿報告問題,因為他們害怕在采取了危及公司安全的行動后會面臨后果,這種通知延遲延長了惡意行為者造成嚴重損害的時間。根據Verizon的DBIR,企業平均需要55天來修補關鍵漏洞,這段時間可能導致嚴重的損失,包括昂貴的勒索軟件攻擊和公司聲譽的損害。
CISO可以通過進一步培養每個人都認識到自己在維護企業安全中的重要角色的文化來解決這個問題。與其通過點名羞辱來助長恐懼文化,CISO可以強調那些做出聰明安全決策并避免風險的人,作為榜樣并將事件轉化為學習經驗。
2. 他們優先考慮方便而不是安全
人們天生傾向于在工作中尋找最快的途徑,而這通常會為了方便而采取妥協安全的捷徑。即使是技術員工也不例外,例如,導入來自公共庫的庫,假設這些庫是安全的,但它們仍然用于傳播惡意軟件和竊取密碼。
為了避免這些可能威脅系統的捷徑,CISO可以實施自動化的 MFA 提示,以避免由于密碼泄露帶來的風險,并限制訪問可能使數據面臨風險的服務,包括GenAI 或可下載的代碼庫。CISO應提供一份安全替代方案列表,供公司的開發人員參考下載,這些替代方案已經過掃描和認證,不含惡意軟件。
3. 他們遭受警報疲勞
網絡安全顧問 Alexandre Blanc 解釋說,人類在處理重復性任務時往往會進入自動駕駛模式,并忽略不斷出現的警報。詐騙者利用這一點,將網絡釣魚嘗試和其他攻擊插入員工經??吹降臄底窒⒅?。
雖然可以對這些情況發出警報,但不斷的通知流會導致警報疲勞。員工學會忽略這些警報,可能會忽視真正威脅的警告。
Verizon 在其 DBIR 中指出,“最有效的控制措施通常是利用人類因素與技術資源相結合的控制措施。”好消息是,公司正在認識到這一事實。因此,Shalev 表示,許多公司已經開始應用“行為科學技術,如提示和提醒,以鼓勵期望的安全行為。”這些提示可以促使員工在采取行動之前暫停并評估數字請求的合法性——而不會導致警報疲勞。
Blanc 建議向員工提供以下三個問題以進行思考:
1. 為什么我會收到這條消息或信息請求?
2. 是我自己要求的嗎?
3. 我能通過其他渠道驗證這個請求嗎?
用戶應使用帶外通信進行驗證,以防止攻擊和詐騙。通過預先確定為合法的電話號碼或電子郵件聯系這些業務,是確定消息是否由其聲稱的實體授權的好方法。
雖然 CISO 無法完全消除所有人為風險,但他們可以通過制定解決不良決策背后心理驅動因素的策略,顯著減少事件發生并促進網絡安全意識文化的形成。通過建立透明且注重責任的文化,安全領導者可以培養參與度高且信息豐富的員工,使他們能夠作為網絡安全防御的第一道防線。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號