網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的重要性已經(jīng)無(wú)需多言,但是很多企業(yè)在實(shí)踐中面臨兩難境地,力度小了員工敷衍了事,而力度大了,如果方式不對(duì),有時(shí)候也會(huì)起到反作用,甚至?xí)尠踩庾R(shí)培訓(xùn)在企業(yè)內(nèi)部落下“不講武德”的壞名聲。
例如,在今年早些時(shí)候,報(bào)業(yè)巨頭Tribune Publishing向員工發(fā)送了網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試郵件,“恭喜”員工獲得5000-10000美元的年終獎(jiǎng),需要登錄查看。結(jié)果點(diǎn)擊鏈接的員工立刻收到了參加計(jì)算機(jī)安全培訓(xùn)計(jì)劃的通知。這次網(wǎng)絡(luò)釣魚(yú)測(cè)試最終引發(fā)了眾怒,因?yàn)門(mén)ribune Publishing測(cè)試前剛剛解雇了大批員工,釣魚(yú)郵件測(cè)試無(wú)疑是在員工的心靈創(chuàng)傷上撒了一把鹽。
電子郵件服務(wù)公司TheXYZ的創(chuàng)始人佩里·托內(nèi)(Perry Toone)說(shuō),對(duì)員工實(shí)施網(wǎng)絡(luò)釣魚(yú)測(cè)試導(dǎo)致類(lèi)似的災(zāi)難性結(jié)果并不罕見(jiàn),甚至很多企業(yè)因此放棄了這一方法。
他說(shuō):“我們創(chuàng)建了一個(gè)虛假的釣魚(yú)網(wǎng)站,并誘惑員工單擊電子郵件中的鏈接。事實(shí)證明,這不是一個(gè)好主意。許多員工嚇壞了,以為自己真被黑客入侵了。”
那么網(wǎng)絡(luò)安全意識(shí)培訓(xùn)有沒(méi)有更好的,讓員工“印象深刻”同時(shí)又有參與積極性的方法呢?以下是多位網(wǎng)絡(luò)安全專(zhuān)家給出的八大建議:
游戲化
Auth0安全與合規(guī)高級(jí)總監(jiān)Duncan Godfrey表示,人們喜歡邊做邊學(xué),安全部門(mén)需要?jiǎng)?chuàng)造既促進(jìn)教育又激發(fā)興奮的挑戰(zhàn)。
例如,內(nèi)部漏洞搜尋不僅鼓勵(lì)員工安全發(fā)現(xiàn)并報(bào)告漏洞,而且還可以識(shí)別公司基礎(chǔ)架構(gòu)中的威脅和嚴(yán)重錯(cuò)誤。
Godfrey說(shuō):“這一挑戰(zhàn)促進(jìn)了員工之間的健康競(jìng)爭(zhēng),并在我們的日常工作中引入了令人興奮但又富有成效的使命。發(fā)現(xiàn)嚴(yán)重漏洞的任何員工都會(huì)獲得公司內(nèi)部的名人堂榮譽(yù)以及Auth0贓物獎(jiǎng)。”
第二個(gè)挑戰(zhàn)是網(wǎng)上誘騙:要求員工“像黑客一樣思考”,并嘗試詐騙Auth0的網(wǎng)絡(luò)安全文化經(jīng)理。
Godfrey說(shuō):“這項(xiàng)以受控和安全的方式進(jìn)行的挑戰(zhàn)為我們的員工帶來(lái)了一項(xiàng)有趣的任務(wù),使他們能夠更好地了解安全人員日常防御的各種攻擊類(lèi)型。”
將安全意識(shí)培訓(xùn)整合到入職流程
S3 Consulting的首席執(zhí)行官兼創(chuàng)始人Johanna Baum說(shuō),在新員工入職的過(guò)程中,他們就應(yīng)該接受一些意識(shí)培訓(xùn)。
她說(shuō):“在S3中,一旦通過(guò)入職頒發(fā)證書(shū)即可接受安全意識(shí)培訓(xùn),包括每個(gè)客戶(hù)都必須參加。如果沒(méi)有成功完成,他們將無(wú)法完成入職流程或某些資產(chǎn)的分配。”
鼓勵(lì)員工提交錯(cuò)誤報(bào)告
電子郵件安全公司Tessian的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Tim Sadler說(shuō),每個(gè)人都會(huì)犯錯(cuò),“但是人們控制的敏感數(shù)據(jù)比以往任何時(shí)候都要多,例如客戶(hù),財(cái)務(wù)和員工信息。這意味著即使是最小的錯(cuò)誤,如意外將電子郵件發(fā)給錯(cuò)誤的收件人,都可能會(huì)嚴(yán)重?fù)p害公司的聲譽(yù)。”
Sadler提倡通過(guò)鼓勵(lì)員工提交錯(cuò)誤報(bào)告來(lái)使安全意識(shí)更加普及。
他說(shuō):“公司需要建立一種安全文化,以鼓勵(lì)員工向IT部門(mén)報(bào)告錯(cuò)誤。否則,這些錯(cuò)誤將繼續(xù)發(fā)生,而且無(wú)法了解它們的發(fā)生方式或原因。”
基于角色和年齡的針對(duì)性安全意識(shí)培訓(xùn)
網(wǎng)絡(luò)安全培訓(xùn)公司Cybrary內(nèi)容運(yùn)營(yíng)主管Will Carlson說(shuō),為了使安全意識(shí)盡可能成功,安全領(lǐng)導(dǎo)者需要確保意識(shí)培訓(xùn)項(xiàng)目對(duì)于最終用戶(hù)而言是可行的和有針對(duì)性的。
他建議根據(jù)最終用戶(hù)在公司中的角色,提供定期的 “有的放矢的意識(shí)培訓(xùn)”。
Sadler還認(rèn)為,組織還需要針對(duì)不同年齡量身定制安全培訓(xùn)內(nèi)容。
他說(shuō):“例如,我們的數(shù)據(jù)表明,在工作中受到尊重對(duì)老一輩很重要,因此他們可能更不愿承認(rèn)自己犯了一個(gè)錯(cuò)誤,因?yàn)樗麄儾幌雭G臉。另一方面,年輕的員工對(duì)尋求知識(shí)更感興趣,因此我們應(yīng)該向他們傳授黑客用來(lái)針對(duì)他們的技術(shù),以便他們知道該怎么辦。”
利用多種媒介
IT和管理服務(wù)公司Carousel Industries的CSO和CIO Jason Albuquerque指出,企業(yè)應(yīng)當(dāng)采用“全渠道交付”系統(tǒng)來(lái)提高網(wǎng)絡(luò)安全意識(shí)和教育水平。
他說(shuō):“我們現(xiàn)在向所有員工每月發(fā)布兩次網(wǎng)絡(luò)安全公告。“所有內(nèi)容都基于易于理解和具有教育意義的現(xiàn)代通信媒體(包括短視頻、行業(yè)文章、電子郵件、Microsoft Teams消息等)。
Albuquerque表示,他還計(jì)劃通過(guò)使用呼叫中心技術(shù)、知識(shí)庫(kù)和人工智能將內(nèi)容分發(fā)渠道擴(kuò)展為包括SMS消息,從而使安全意識(shí)信息傳播更快,更具針對(duì)性。
將安全培訓(xùn)“嵌入”軟件開(kāi)發(fā)流程和文化中
DevSecOps是一開(kāi)始就將安全性嵌入軟件設(shè)計(jì)中的文化,在許多組織中廣為流行。但是,即使您還沒(méi)有實(shí)施DevSecOps,也要考慮對(duì)開(kāi)發(fā)人員進(jìn)行安全意識(shí)方面的培訓(xùn)。
Checkmarx應(yīng)用程序安全全球總監(jiān)Matthew Rose說(shuō):“安全意識(shí)培訓(xùn)應(yīng)該是DevOps的內(nèi)在組成,而不是額外的單獨(dú)任務(wù)。開(kāi)發(fā)人員喜歡留在自己喜歡的環(huán)境中,如果培訓(xùn)使他們脫離了這種環(huán)境,他們會(huì)認(rèn)為這是繁重而令人沮喪的,而不是信息豐富和具有激勵(lì)性的活動(dòng)。”
Kenna Security的安全和合規(guī)經(jīng)理Jerry Gamblin表示:“企業(yè)應(yīng)該花時(shí)間建設(shè)安全中心內(nèi)容,在其DevOps團(tuán)隊(duì)中培養(yǎng)安全知識(shí)“部落”,其中包括專(zhuān)門(mén)的語(yǔ)言安全培訓(xùn)、支付安全會(huì)議費(fèi)用或提供與安全DevOps和編碼有關(guān)的書(shū)籍的安全庫(kù)。”
安全意識(shí)帶回家
如今,遠(yuǎn)程辦公已經(jīng)成為一種新常態(tài),這意味著員工家庭其他成員可能正在使用同一路由器訪問(wèn)工作和學(xué)校。
Home Access Health Corp.信息技術(shù)副總裁兼安全官,ISACA董事會(huì)主席Pam Nigro表示:“鑒于這一現(xiàn)實(shí),我認(rèn)為讓員工的全部家人參與網(wǎng)絡(luò)安全意識(shí)培訓(xùn)非常重要。”
Nigro的團(tuán)隊(duì)創(chuàng)建了簡(jiǎn)單的安全意識(shí)消息,供父母與孩子分享,這是教育所有人的努力的一部分。
基于云的軟件提供商Datto的信息安全總監(jiān)Chris Henderson表示,他還在努力幫助遠(yuǎn)程員工改善安全狀況。
他說(shuō):“ Datto還一直在為員工提供其家庭安全狀況的評(píng)估,為他們提供保護(hù)路由器和端點(diǎn)的幫助,以確保我們新的遠(yuǎn)程環(huán)境不會(huì)遭受攻擊。”
尋找部門(mén)級(jí)的安全意識(shí)“二班長(zhǎng)”
安全公司Cyphere的常務(wù)顧問(wèn)和專(zhuān)業(yè)服務(wù)總監(jiān)Harman Singh建議,安全團(tuán)隊(duì)需要有意識(shí)地去“籠絡(luò)”那些熱情主動(dòng)的員工,這將有助于安全團(tuán)隊(duì)傳播安全意識(shí)信息。
他說(shuō):“就像在辦公室進(jìn)行演習(xí)一樣,從每個(gè)部門(mén)選擇和培訓(xùn)安全意識(shí)“二班長(zhǎng)”,可以與他們聯(lián)系以幫助隊(duì)友確保更快的反應(yīng)。這是內(nèi)部更有效的社交工具。”
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】