很多时候,企业网络战略往往会忘记网络安全中的人为因素,这可能会导致更多的网络攻击和灾难性后果。
当我们想到企业级息系统时,我们会想到一个由所有数字系统和工具组成的网络,它可以自动收集、分析和交流信息,以促进操作和业务决策。这可能包括企业服务器、人工智能驱动的软件和数据收集和共享设备网络,包括计算机和智能手机。
除了这些关键因素,还有一个关键系统组件经常被忽视——相关人员。就像人们对信息系统的参与被忽视一样,企业也往往会忽视网络安全中的人为因素,可能会导致严重的后果。
让我们来看看假设场景:
度假期间,区域销售总监价值数十亿美元Jane我在她的手机上收到了一封电子邮件。Bill, 在她办公室IT 管理员,她碰巧也很了解他。这封邮件首先为短暂中断她的假期而道歉,但表示有一些紧急的事情需要做。Bill 要求 Jane 快速回复其专有 CRM 应用程序登录凭证,因为似乎有一些问题需要尽快修复!Jane,有的没有戒心,有的想回到假期模式,输入对她的要求,点击“发送”。然后她继续假期。一周后,简回到工作岗位,震惊地发现公司包含了数千名客户的个人信息 CRM 数据库被黑客入侵并泄露信息。简没有注意到她收到的电子邮件,只是一次钓鱼网的尝试。
90%以上的网络攻击是由网络钓鱼引起的
任何系统的安全性都取决于它最薄弱的环节。说到企业网络安全,最薄弱的环节恰好是参与系统的人。虽然随着时间的推移,组织安全系统变得越来越智能化,但组织安全系统也是如此。人工智能和机器学习算法在安全方面发挥着越来越重要的作用,以确保组织数据在不断变化的威胁下得到保护。将现有算法安全系统与区块链等技术相结合,至少理论上可以使安全更加安全。
但需要注意的是,网络攻击的成功大多是由于网络安全“人为因素”脆弱性。超过90% 的成功网络攻击是由网络钓鱼引起的。网络钓鱼利用人们在区分真实通信和欺诈通信方面的无意识和判断力。这不仅证实了投资于最智能的安全系统并不能保证机密数据的保护。
事实上,企业组织正在大力投资网络安全。从2017年到2021年,全球网络安全支出预计将超过 1万亿美元。为了完全保护数据免受非法访问和丢失,投资于更智能的系统应该使人们在安全方面更聪明。现在,别误解我的意思。我所说的更聪明并不是质疑人们的智力或他们对数字安全的理解。
人员过失造成的损失
如上图所示,2013年和2014年Sony、Target和Home Depot都遭受了钓鱼网的攻击,造成了直接的经济损失和企业声誉的损害。
员工需要提高意识
在安全方面,智能意味着了解接收通信,单击哪些链接或打开哪些附件,不同类型的网络犯罪和威胁,以及组织通信、隐私和安全政策。
智能需求不仅适用于设备、软件和这些设备的主要用户,也适用于整个组织金字塔。这包括最高领导层,他们不一定参与数据管理系统的使用,而是需要使用组织渠道进行内部通信。加强数据安全,应采用自上而下、自下而上的方法,以确保政策、技术和人员漏洞最小化。
更智能的安全措施
为了拥有一个安全、强大的安全系统来保护企业的网络,组织不仅要规划和投资可用的最佳技术,还要让员工更好地了解网络安全。以下实践可以帮助组织形成全面的威胁预防策略:
培训和意识计划:制定智能安全策略的第一步是确保所有员工都了解网络安全的重要性,并教他们与 IT IT 在基础设施中遵守标准协议。员工应了解企业信息系统安全可能受到损害的不同方式,以及能对组织和员工本身产生的严重影响。他们应该接受特殊的培训,以识别网络钓鱼尝试和其他网络攻击策略,利用网络安全中的人为因素。该培训应旨在改变用户组中的实际行为,除了建立意识外,还必须结构化。通过后续测试(如内部在线钓鱼活动)来评估此类培训的有效性将有助于提高未来的结果。
隔离内部和外部通信:将内部通信网络与外部通信网络隔离在可行的功能范围内,防止恶意软件和其他传染性元素传播到关键系统。除了将内部和外部网络与基础设施隔离外,组织还应标准化所有用户必须遵守的内部通信协议。组织还应建立标准的沟通渠道,以避免任何混淆和错误,如打开可能导致安全漏洞的传染性链接。
入侵你自己的网络:道德黑客是入侵安全网络但没有恶意意图的程序员。该组织允许道德黑客入侵他们的网络,以识别零天的漏洞,即系统所有者以前不知道的漏洞。识别新的可能威胁将允许系统所有者修复它们,以避免被不合格的未知攻击者使用。由此确定的漏洞应尽快修复。
物联网 (IoT) 的引入和传播,从智能手机和智能手表到国家电网,物联网连接了所有可想象的电子设备。随着每个设备添加到物联网网络中,安全故障结果的风险和严重性将会增加。因此,现在是企业和其他组织提高网络安全技术和人为因素的理想时机。
【责任编辑:赵宁宁TEL:(010)68476606】