網(wǎng)絡(luò)安全最大盲區(qū):“人的漏洞”

aqniu
2020年網(wǎng)絡(luò)犯罪最顯著的趨勢(shì)就是產(chǎn)業(yè)化和“市場(chǎng)化”,“云犯罪”、“犯罪即服務(wù)”、“共享犯罪”、“事件犯罪”、“精準(zhǔn)犯罪”等等,不斷拉低APT、勒索軟件、人工智能、僵尸網(wǎng)絡(luò)和BEC電子郵件等網(wǎng)絡(luò)攻擊技術(shù)門(mén)檻,讓更多善于利用“人的漏洞”的攻擊者如虎添翼,同時(shí)也讓企業(yè)網(wǎng)絡(luò)安全的短板——人員意識(shí),面臨比過(guò)去更加復(fù)雜和危險(xiǎn)的威脅。

在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全防御體系中,人員是最薄弱的環(huán)節(jié),同時(shí)也是最不受重視的環(huán)節(jié)。換而言之,人員是黑客最容易突破和利用的“漏洞”,同時(shí)也是企業(yè)安全投入最少,提升最慢的短板。GoSecurity公司2020年全球企業(yè)安全調(diào)查結(jié)果直觀地反映了這個(gè)問(wèn)題:

長(zhǎng)期以來(lái),那些手套上鑲著半打零日漏洞寶石,頭上頂著三個(gè)博士帽的的國(guó)家級(jí)黑客,被認(rèn)為是網(wǎng)絡(luò)空間最為危險(xiǎn)的物種,而企業(yè)界也熱衷于采購(gòu)最先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和方案,并試圖提高安全工具集成度和自動(dòng)化水平。

但現(xiàn)實(shí)情況正如上述調(diào)查數(shù)據(jù):最有效的網(wǎng)絡(luò)安全措施是提升員工安全意識(shí),但員工安全意識(shí)培訓(xùn)獲得的預(yù)算最少。

這導(dǎo)致一個(gè)全球性的網(wǎng)絡(luò)安全盲區(qū)和悖論:人員漏洞是最危險(xiǎn)也最容易修復(fù)的漏洞(不需要昂貴的技術(shù)產(chǎn)品和頂尖技術(shù)人才),同時(shí)也是最難修復(fù)的漏洞(不被重視、缺乏預(yù)算)。

不難理解,聚焦最前沿網(wǎng)絡(luò)安全技術(shù)產(chǎn)品的RSAC2020網(wǎng)絡(luò)安全大會(huì)將“人的因素”作為大會(huì)主題。這為2020年網(wǎng)絡(luò)安全行業(yè)的發(fā)展主題定下基調(diào):長(zhǎng)期被忽視的人員安全意識(shí)和相關(guān)管理問(wèn)題,已經(jīng)成為網(wǎng)絡(luò)安全行業(yè)和企業(yè)界最大的“安全債”。

2020年網(wǎng)絡(luò)犯罪最顯著的趨勢(shì)就是產(chǎn)業(yè)化和“市場(chǎng)化”,“云犯罪”、“犯罪即服務(wù)”、“共享犯罪”、“事件犯罪”、“精準(zhǔn)犯罪”等等,不斷拉低APT、勒索軟件、人工智能、僵尸網(wǎng)絡(luò)和BEC電子郵件等網(wǎng)絡(luò)攻擊技術(shù)門(mén)檻,讓更多善于利用“人的漏洞”的攻擊者如虎添翼,同時(shí)也讓企業(yè)網(wǎng)絡(luò)安全的短板——人員意識(shí),面臨比過(guò)去更加復(fù)雜和危險(xiǎn)的威脅。

2020年,潛在危害性和損失最為嚴(yán)重的安全威脅(例如勒索軟件和BEC郵件攻擊)和安全事件往往都與“人員漏洞”或內(nèi)部威脅有關(guān),從微盟刪庫(kù)到推特大規(guī)模賬戶(hù)劫持,從本田停產(chǎn)到全球超級(jí)計(jì)算機(jī)集體挖礦…疫情肆虐全球,遠(yuǎn)程辦公在未來(lái)十年將成為“新常態(tài)”,當(dāng)大批企業(yè)員工走出防火墻回到家中辦公,企業(yè)面臨的攻擊面成幾何級(jí)數(shù)放大,利用人的漏洞發(fā)起的網(wǎng)絡(luò)攻擊能夠輕易地癱瘓一家跨國(guó)公司的全球業(yè)務(wù)。

據(jù)華爾街日?qǐng)?bào)報(bào)道,70%的企業(yè)擔(dān)心內(nèi)部人員威脅。

員工仍然是網(wǎng)絡(luò)攻擊最大的安全威脅,但傳統(tǒng)的安全技術(shù)和措施無(wú)法有效減輕這種網(wǎng)絡(luò)威脅。

2020年,人依然是最大的漏洞。

根據(jù)今年三月份綠盟科技發(fā)布的《2019安全事件響應(yīng)觀察報(bào)告》,2019年1/3的安全事件與企業(yè)存在的安全管理疏忽或員工安全意識(shí)薄弱有關(guān),在2019年處理的安全事件中,弱口令事件占比22%,釣魚(yú)郵件相關(guān)事件占比7%,配置不當(dāng)事件占比3%,與人和管理相關(guān)的安全事件合計(jì)占總數(shù)的1/3,安全管理薄弱、員工安全意識(shí)不足的問(wèn)題最易遭到攻擊者的利用。

2020年上半年,疫情導(dǎo)致的全球化遠(yuǎn)程辦公進(jìn)一步放大了來(lái)自“人的漏洞”的威脅,市場(chǎng)對(duì)安全意識(shí)服務(wù)的需求也開(kāi)始快速增長(zhǎng)。在美國(guó)這個(gè)全球最大的網(wǎng)絡(luò)安全市場(chǎng),網(wǎng)絡(luò)安全意識(shí)教育領(lǐng)域的獨(dú)角獸創(chuàng)業(yè)公司KnowBe4的年收入已經(jīng)超過(guò)1億美元,在2020年一季度疫情期間業(yè)務(wù)同比增長(zhǎng)了40%。

2020年,人為錯(cuò)誤依然是數(shù)據(jù)泄露的主因。

根據(jù)Tessian的一份報(bào)告,有33%的美國(guó)和英國(guó)的員工在工作中犯下安全錯(cuò)誤,對(duì)自己或公司造成了網(wǎng)絡(luò)安全或數(shù)據(jù)安全威脅(下圖)。

報(bào)告支出,人為錯(cuò)誤已成為當(dāng)今數(shù)據(jù)泄露的主要原因,并進(jìn)一步研究了人們?yōu)槭裁捶稿e(cuò)誤以及如何在犯錯(cuò)誤之前預(yù)防:

人為錯(cuò)誤對(duì)網(wǎng)絡(luò)安全的影響

當(dāng)被問(wèn)及犯了什么類(lèi)型的錯(cuò)誤時(shí),四分之一的員工承認(rèn)在工作中點(diǎn)擊了網(wǎng)絡(luò)釣魚(yú)電子郵件中的鏈接。31至40歲的員工點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)電子郵件的可能性是51歲以上的員工的四倍,而男性單擊釣魚(yú)電子郵件的可能性是女性的兩倍。

47%的員工認(rèn)為分心是網(wǎng)絡(luò)釣魚(yú)詐騙得手的主要原因。緊隨其后的原因是,該電子郵件看起來(lái)逼真合法(43%),其中41%的電子郵件偽裝成來(lái)自高級(jí)管理人員或知名品牌的電子郵件。

除了點(diǎn)擊惡意鏈接外,58%的員工還承認(rèn)向錯(cuò)誤的收件人發(fā)送了工作電子郵件,其中17%的電子郵件發(fā)送給了錯(cuò)誤的外部人員。

這個(gè)簡(jiǎn)單的錯(cuò)誤會(huì)給個(gè)人和公司造成嚴(yán)重后果,他們必須向監(jiān)管機(jī)構(gòu)及其客戶(hù)報(bào)告該事件。實(shí)際上,五分之一的受訪者表示,他們的公司由于發(fā)送錯(cuò)誤的電子郵件而失去了客戶(hù),而12%的員工失去了工作。

電子郵件安全事故的主要原因是疲勞(43%),緊隨其后的是注意力分散(41%)。57%的受訪者表示,他們?cè)诩夜ぷ鲿r(shí)會(huì)更加分散注意力,突然轉(zhuǎn)向遠(yuǎn)程工作可能會(huì)使企業(yè)更容易受到人為錯(cuò)誤導(dǎo)致的安全事件的影響。

工作壓力如何影響網(wǎng)絡(luò)安全

報(bào)告的調(diào)查結(jié)果要求企業(yè)了解壓力和工作文化對(duì)人為錯(cuò)誤和網(wǎng)絡(luò)安全的影響,尤其是考慮到2020年的事件。員工透露,他們?cè)诔惺軌毫r(shí)會(huì)犯更多的錯(cuò)誤(52%),疲倦(43%) ,分散注意力(41%)和快速工作(36%)。

因此,令人擔(dān)憂(yōu)的是,有61%的受訪者表示他們的公司擁有強(qiáng)調(diào)奉獻(xiàn)精神的文化,使他們的工作時(shí)間超出了正常范圍,46%的員工則經(jīng)歷了職業(yè)倦怠。

企業(yè)還應(yīng)該注意全球疫情大流行以及居家遠(yuǎn)程辦公如何影響員工的福利以及與網(wǎng)絡(luò)安全的關(guān)系。

斯坦福大學(xué)教授,社會(huì)動(dòng)態(tài)專(zhuān)家杰夫·漢考克(Jeff Hancock)指出:“了解壓力如何影響行為對(duì)于改善網(wǎng)絡(luò)安全至關(guān)重要。”

2020年職場(chǎng)人士承受著前所未有的壓力,但更糟糕的是,黑客正在利用此漏洞。因此,企業(yè)需要對(duì)員工進(jìn)行培訓(xùn),使他們了解黑客在這段時(shí)間利用壓力的方式以及人為錯(cuò)誤可能導(dǎo)致的安全事件。”

被忽視的年齡差異

報(bào)告顯示,不同年齡,性別和行業(yè)的人們,其網(wǎng)絡(luò)安全行為存在重大差異,“千篇一律”的網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)方法無(wú)法防止人為錯(cuò)誤事件的發(fā)生。調(diào)查結(jié)果包括:

18至30歲的員工中,有一半表示自己犯了可使公司網(wǎng)絡(luò)安全受到影響的錯(cuò)誤,而51歲以上的員工中只有10%。

18-30歲的年輕人中,有65%表示曾向錯(cuò)誤的收件人發(fā)送電子郵件,而51歲以上的人中只有34%的人發(fā)錯(cuò)電子郵件。

接受并點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)電子郵件的員工中,有70%是年齡介于18至40歲之間的年輕人。相比之下,在51歲以上的人群中,只有8%的人表示自己做過(guò)同樣的事情。

科技行業(yè)的員工最有可能點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)電子郵件中的鏈接,該行業(yè)的47%的受訪者承認(rèn)他們?cè)@樣做。緊隨其后的是銀行和金融業(yè)的員工(45%)。

Tessian首席執(zhí)行官Tim Sadler表示:“網(wǎng)絡(luò)安全培訓(xùn)需要尊重這樣一個(gè)事實(shí),新一代員工的網(wǎng)絡(luò)安全行為模式大不相同,期望每個(gè)員工在任何時(shí)間段都能100%發(fā)現(xiàn)欺詐或做出正確的網(wǎng)絡(luò)安全決策也是不現(xiàn)實(shí)的。

為了防止簡(jiǎn)單的小錯(cuò)誤演變成嚴(yán)重的安全事件,企業(yè)必須在人的層面上優(yōu)先考慮網(wǎng)絡(luò)安全。這要求了解員工個(gè)人的行為,并針對(duì)性定制培訓(xùn)和政策,使安全網(wǎng)絡(luò)安全實(shí)踐成為企業(yè)文化的有機(jī)成分,而不是充滿(mǎn)儀式感的例行公事。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論