SANS研究所：人為錯誤仍然是首要安全問題

人為錯誤仍然是攻擊者進行網絡滲透和數據泄露的最有效途徑。

SANS研究所安全中心周三發布了其年度安全意識報告，該報告基于1,000名信息安全專業人員的數據，其中發現員工及其缺乏安全培訓仍然是數據泄露和網絡攻擊的常見故障點。該報告還跟蹤了受訪者安全意識計劃的成熟度，及其在降低人為風險方面的有效性。

該網絡安全培訓和教育組織表示：“今年的報告再次確定了我們在過去三年中看到的情況：最成熟的安全意識計劃來自那些擁有最多人員致力于管理和支持它的企業。”

“這些更大的團隊更有效地與安全團隊合作，以識別、跟蹤和優先考慮他們的首要人為風險，并更加有效地參與、激勵和培訓他們的員工來管理這些風險。”

SANS研究所的研究將成熟度分為五個級別，從最低到最高：不存在、以合規為重點、促進意識和行為改變、長期維持和文化改變，以及指標框架。該報告發現，雖然大約400名受訪者表示他們的計劃促進了意識和行為改變（這是所有成熟度級別中最高的響應），但這一數字比上一年的報告下降了10%。

該報告還指出，雖然很多公司正在將資金投入昂貴的IT安全產品和投資，但企業的最佳投資可能是花錢培訓和訓練員工如何發現和阻止詐騙。

SANS研究所表示：“人已成為全球網絡攻擊者的主要攻擊媒介，因此人類現在對組織構成最大風險，而非技術。安全意識計劃以及管理它們的專業人員是管理人類風險的關鍵。”

該研究發現，在公司面臨的最大威脅中，前三名中有兩個依賴于社會工程策略。網絡釣魚攻擊位居榜首，商業電子郵件泄露 (BEC) 攻擊位居第二，勒索軟件位居前三。

雖然勒索軟件攻擊可以通過腳本漏洞利用實現自動化，但網絡釣魚和BEC需要攻擊者的“人情味”，他可以誘騙員工交出敏感的帳戶信息和路由號碼。該報告還指出，絕大多數勒索軟件攻擊都是從網絡釣魚電子郵件或利用弱密碼開始。

這就是為什么SANS表示公司需要投入更多資金來培訓員工，以發現攻擊并在網絡漏洞發生之前將其切斷。為了做到這一點，SANS表示，企業需要重新考慮他們如何進行安全培訓，以及為什么要對最終用戶和高管進行培訓，以了解他們接受培訓的內容以及培訓的重要性。

該報告稱：“很多時候，安全意識被認為是一種合規工作，或者安全意識專業人員被認為是從事‘娛樂’業務，專注于讓員工對網絡安全感到興奮，但對企業商業利益沒有影響。”

“為了有效地吸引領導層，應該關注并使用能引起他們共鳴的術語，并展示對他們戰略重點的支持。”

SANS表示，部分問題在于IT部門缺乏參與。該報告表明，在安全研究和報告上投入時間可以幫助高管和IT決策者了解培訓和員工警惕的重要性。

SANS稱：“每月花兩到四個小時來收集有關你的意識計劃的影響和價值的指標，并將其傳達給領導層。”

“這些信息可以包括非正式的指標、既定的關鍵績效指標，甚至是成功案例。”