人為錯誤依然是最重大的安全威脅

根據SANS最新發布的2022年安全意識報告，人為錯誤仍然是網絡攻擊和數據泄露的最主要和最有效媒介。舉一個淺顯易懂的例子：迄今為止后果最為嚴重的幾次超大規模（影響用戶數超過1億）數據泄露事件大多與ElasticSearch數據庫配置錯誤有關。

SANS研究所安全中心上周三發布的年度安全意識報告基于對1000名信息安全專業人員的調查數據，結果發現缺乏安全意識培訓員工仍然是數據泄露和網絡攻擊的最常見故障點。該報告還跟蹤了受訪者安全意識計劃的成熟度及其網絡安全措施在降低人為風險方面的有效性。

企業安全意識成熟度模型的五個等級

“今年的報告再次驗證了我們在過去三年中看到的事實：企業安全意識計劃的成熟度往往與企業投入的人員和資源成正比。”報告指出。

“更大規模的安全意識團隊能更有效地與安全團隊合作，以識別、跟蹤和優先考慮他們的首要人為風險，并在參與、激勵和培訓員工管理風險方面更加有效。”

SANS研究所將企業網絡安全意識成熟度從最低到最高分為五個等級：

1. 零基礎

2. 以合規為重點

3. 促進意識和行為改變

4. 長期維持和文化改變

5. 形成指標框架

受訪企業安全意識成熟度等級分布如下：

按地域劃分，全球企業安全意識成熟度等級分布如下：

報告發現，雖然大約400名受訪者表示他們的計劃促進了安全意識和行為改變，達到第四級較高成熟度級別，但這一數字比上一年的報告下降了10%。

該報告還指出，雖然許多企業正在將資金投入昂貴的IT安全產品和投資，但花錢培訓和訓練員工如何發現和阻止詐騙可能才是是企業的最佳投資。

SANS研究所表示：“人已成為全球網絡攻擊者的主要攻擊媒介，因此對企業構成最大風險的不是技術而是人員。而安全意識培訓計劃以及管理計劃的專業人員是管理人類風險的關鍵。”

企業面臨的三大威脅都與人員風險有關

研究發現，在企業面臨的最大威脅中，網絡釣魚攻擊位居榜首，商業電子郵件泄露(BEC)攻擊位居第二，勒索軟件位居前三。前三名中有兩個依賴于社會工程策略，雖然勒索軟件攻擊可以通過腳本漏洞利用實現自動化，但也經常會利用社會工程策略或勾結內部人員。

此外，該報告還指出，絕大多數勒索軟件攻擊也都是從網絡釣魚電子郵件或利用弱密碼開始的。

企業需要反思和重新認識安全意識培訓

報告指出，企業需要投入更多資金來培訓員工，以在網絡漏洞發現和攻擊實施之前將其切斷。為了做到這一點，SANS表示，企業需要重新考慮他們如何進行安全培訓，以及為什么要對最終用戶和高管進行培訓，以了解他們接受培訓的內容以及培訓的重要性。

報告稱：“很多時候，安全意識被認為是僅僅是一種合規工作，或者安全意識專業人員被認為是從事'娛樂'業務，專注于讓員工對網絡安全感到興奮，但對企業來說似乎沒有肉眼可見的商業利益。”

如何提高安全意識培訓的成功率？

• 吸引領導的關注和支持。增加領導支持力度的主要方法之一是從管理風險而非合規性的角度說話，并解釋你為什么做某事，而不是你在做什么。“為了有效地吸引領導層的關注，安全意識團隊需要使用能引起他們共鳴的術語，并展現自己如何能夠支持企業的戰略重點。”此外，通過利用數據創造緊迫感，并通過展示與領導層的優先事項保持一致來傳達價值。
• 擴大安全意識項目團隊規模。記錄和對比安全團隊中有多少人專注于技術與團隊中有多少人專注于人類風險，創建一個文檔來充分解釋人員需求，并與關鍵部門建立合作伙伴關系，并建議開發宣貫項目價值的方法。
• 提高培訓頻率。建議企業至少每月與員工溝通、互動或培訓一次。保持培訓簡單易行是增加參與和培訓員工機會的關鍵。
• 提高IT部門參與度。SANS表示，安全意識培訓計劃的常見問題之一是IT部門缺乏參與。報告顯示，在安全研究和報告上投入更多時間可以幫助高管和IT決策者了解培訓員工的重要性。
• 定期收集、整理并匯報指標報告。“每月花兩到四個小時來收集有關您的意識計劃的影響和價值的指標，并將其傳達給領導層。這些信息可以包括非正式的指標、既定的關鍵績效指標，甚至是成功案例。”

總結

報告指出：最成熟的安全意識計劃不僅改變了員工的行為和文化，而且還通過指標框架量化和展示了他們對領導力的價值。企業每年一度的形式化安全培訓顯然并不合理，也不充分。對于企業來說，安全意識不是合規的套路，而是企業風險管理中生死攸關的關鍵任務，只有投入足夠的人員、資源和工具才能有效地管理人為風險。

來源：@GoUpSec