饵料|网络安全意识培训:它是什么,如何最有效?

饵料|网络安全意识培训:它是什么,如何最有效?

文章图片



网络安全中有一句古老的格言 , 人类是安全链中最薄弱的环节 。 随着威胁行为者竞相剥削轻信或粗心的员工 , 这种情况越来越正确 。 但也有可能将这个薄弱环节变成一个强大的第一道防线 。 关键是推出有效的安全意识培训计划 。
【饵料|网络安全意识培训:它是什么,如何最有效?】研究表明 , 2021年分析的数据泄露中有82%涉及“人为因素” 。 现代网络威胁的一个不可避免的事实是 , 员工是攻击的首要目标 。 但是 , 为他们提供发现攻击警告信号所需的知识 , 并了解他们何时可能将敏感数据置于危险之中 , 并且有巨大的机会推进风险缓解工作 。
什么是安全意识培训?意识培训可能不是IT和安全领导者希望在其计划中实现的目标的最佳绰号 。 实际上 , 目标是通过改进有关关键网络风险所在以及可以学习哪些简单的最佳实践来减轻这些风险的教育来改变行为 。 这是一个正式的过程 , 理想情况下应该涵盖一系列主题领域和技术 , 使员工能够做出正确的决策 。 因此 , 它可以被视为希望通过设计创建安全企业文化的组织的基础支柱 。
为什么需要安全意识培训?像任何类型的培训计划一样 , 这个想法是提高个人的技能 , 使他们成为更好的员工 。 在这种情况下 , 提高他们的安全意识不仅可以使个人在各种角色中处于有利地位 , 而且可以降低潜在破坏性安全漏洞的风险 。
事实是 , 企业用户是任何组织的核心 。 如果它们可以被黑客入侵 , 那么组织也可以 。 同样 , 他们对敏感数据和IT系统的访问增加了发生事故的风险 , 这也可能对公司产生负面影响 。
几个趋势凸显了对安全意识培训计划的迫切需要:
密码:静态凭据与计算机系统一样存在很长时间 。 尽管多年来安全专家恳求 , 但它们仍然是最受欢迎的用户身份验证方法 。 原因很简单:人们本能地知道如何使用它们 。 挑战在于 , 它们也是黑客们的巨大目标 。 设法诱骗员工交出它们 , 甚至猜测它们 , 并且通常没有其他任何东西可以阻止完全的网络访问 。
据估计 , 超过一半的美国员工在笔和纸上写下了密码 。 糟糕的密码事件为黑客打开了大门 。 随着员工需要记住的凭据数量的增加 , 滥用的可能性也在增加 。
社会工程学:人类是善于交际的生物 。 这使我们容易受到说服 。 我们希望相信我们被告知的故事和讲述它们的人 。 这就是社会工程学起作用的原因:威胁行为者使用时间压力和冒充等说服技术来诱骗受害者执行他们的命令 。 最好的例子是网络钓鱼电子邮件 , 短信(又名短信)和电话(又名网络钓鱼) , 但它也用于商业电子邮件妥协(BEC)攻击和其他诈骗 。

网络犯罪经济:如今 , 这些威胁行为者拥有一个复杂而复杂的地下暗网站网络 , 通过这些网络可以购买和销售数据和服务 - 从防弹托管到勒索软件即服务 。 据说它价值数万亿美元 。 网络犯罪行业的这种“专业化”自然导致威胁行为者将精力集中在投资回报率最高的地方 。 在许多情况下 , 这意味着针对用户本身:企业员工和消费者 。
混合工作:据认为 , 家庭工作人员更有可能点击网络钓鱼链接并从事危险行为 , 例如将工作设备用于个人用途 。 因此 , 混合工作新时代的出现为攻击者打开了一扇门 , 让他们在企业用户最容易受到攻击时瞄准他们 。 更不用说家庭网络和计算机可能不同于办公室的同类产品受到保护 。