安全意識培訓

寫在前面：迄今為止，通過郵件這一社會工程方法進行計算機網絡犯罪，仍然是性價比最高的方法。根據Greathorn的數據分析，仿冒企業、個人、管理者、客戶的比例分別高達68%，66%，53%，49%。針對利用電子郵件進行欺詐、釣魚、傳播惡意軟件，并且尚無有效的根治技術手段，安全意識教育不失為應對這一攻擊方法的有效措施的最佳選項。安全意識不僅僅能提高防范社會工程攻擊這一方法，對其他攻擊方法也能夠起到助力作用，例如：當員工察覺登錄日志異常時，和安全人員的溝通有可能幫助企業防范一起重大惡意攻擊事件。因此，在2022年，安全意識的加強，仍將是企業的重點治理的范圍之一。在多個咨詢機構2020 年主要安全技術預測中，安全意識培訓都占有一席之地。

安全意識培訓在國內很常見，讀這篇文章的時候，感覺有些內容挺好，如教育性短視頻、心理安全、積極安全文化建設等。

正文

01   什么是安全意識培訓

什么是安全意識培訓？   

    安全意識培訓是保護公司和他們的員工，免于社交工程釣魚攻擊最有效的方法。

    但什么是安全意識培訓呢？

    Hook Security把它定義為員工講授安全和網絡釣魚，同時生成最佳實踐和良好習慣的教育課程。

    不管你組織是否使用復雜密碼、多個防火墻、防惡意軟件等，在任何網絡安全系統中最大的弱點之一是人為因素。在保證你的公司和你自己安全方面，人為因素總是一個問題。不管從哪個角度講，員工都最容易受到攻擊，需要正確的工具。如果一個員工沒有在安全意識方面得到有效培訓，由于簡單的錯誤、忽視，甚至漠不關心，讓公司被入侵的機會非常高。

    網絡罪犯深諳此點，他們知道硬件很難攻破，但針對單個或一組人員，則機會很大。例如利用人類弱點使用釣魚郵件，如果成功運用，簡單的釣魚郵件就能成功入侵整個組織和它的網絡。這真是個壞消息。

    安全意識培訓就是通過直接關注人為因素解決這個問題。在Hook Security公司，我們根據網絡罪犯當前使用的最新技巧，研究和模擬釣魚攻擊（我們稱之為“真的假郵件”）。

    當員工掉進我們的陷阱，我們發給他們一個具有教育意義的，娛樂性的短視頻來糾正他們的錯誤。目標是讓員工不要害怕，但要保持清醒，僅僅是對郵件保持有點偏執的關注。雖然在兩者之間的區別很小，但影響很大。

心理安全的興起

    隨著網絡威脅持續增長，保護我們的信息系統變得越來越難。這常常是因為重點、注意力，最后批評也放錯了地方。我們已經看到了公司不只需要信息安全，其中的原因正是本篇的名字，保護業務信息，僅僅關注信息本身，仍然會留下漏洞，因為超過90%的入侵涉及到社交工程。也許聽起來非常瘋狂，我們必須保護我們的想法，我們的直覺，我們的依靠和我們的信任。進入心理安全的范疇。

    心理安全是保護人類免受技術操縱和利用的實踐。從精準定向廣告到釣魚攻擊，技術和數據每天都在影響我們，這就是網絡釣魚如此成功的原因。我們已經學會信任和依賴我們使用的技術，加上老板參與、項目截止時間、升值等職業環境，被操縱的風險飆升。

    你會被星巴克釣魚郵件欺騙嗎？也許。你會下載來自你老板的名為“圣誕節獎金2020.xlsx”文件嗎？很明顯你會。這就是定期培訓如此重要的原因。為抵御釣魚郵件，我們必須培訓每個員工認識風險，隨著時間能識別這些特征。

安全意識培訓的好處

    網絡安全意識培訓的動機是強迫公司檢查它的流程、策略和員工。常常會發現低效和新的機會，也許對安全沒什么用處，但公司可以受益：

• 培訓能幫助減少錯誤或幫助發現“壞人”的伎倆和趨勢
• 網絡安全意識培訓，能加強和提高公司的安全態勢
• 當你的員工得到教育和培訓，他們會更合規
• 培訓能維護客戶的聲譽，避免發生意外
• 教育和培訓能加強信心，甚至幫助客戶
• 培訓能幫助客戶節省金錢和時間
• 你的客戶能睡個好覺，因為他們知道通過培訓了解最新的威脅

打造安全意識文化

    安全意識培訓項目能作為團隊建設和協作練習。因為真正的目標并不是解決常見的互相指責，而是改善員工之間的關系。共同的敵人（網絡威脅）常常會團結隊伍。

    Hook Security的基于教育的培訓帶給員工一種有趣、投入的體驗。不會讓員工由于失敗感到羞赧，而是提供值得回憶的培訓經歷。我們相信人們不會由于他們收到的每個郵件而感到工作危機，當公司認識到安全意識的重要性而采用我們的項目計劃。他們提高了生產力，推動創新，最后變得更安全。

   02  安全意識培訓的重要性

    超過90%的網絡攻擊包含某種形式的釣魚或社交工程元素。不要感到驚訝，減少釣魚攻擊的風險就能減少入侵的風險。

    員工每天都會收到釣魚郵件。雖然大多數安全工具在過濾釣魚郵件方面作用匪淺，但每天黑客都在改變他們的攻擊技巧，一些釣魚郵件最終進入到員工的收件箱。

    釣魚攻擊只是開始，是黑客用來訪問公司系統的攻擊手段。一旦攻擊者獲得訪問，也就是他們破壞的開始。一些網絡攻擊的例子包括惡意軟件、勒索軟件、商業電子郵件攻擊（business email compromise，BEC）等。

    安全意識培訓希望直接關注人為因素，并養成習慣來解決這個問題。

    僅僅警告員工網絡釣魚的危險只是一個方面，如果你能生成正確習慣，上升到大腦控制威脅識別和響應的原生部位，你才能真正開始看到在釣魚郵件點擊方面的減少。

安全意識培訓生成了積極的安全文化

     安全意識培訓，如果實施正確，能夠對公司的安全文化有貢獻，最終對整個公司的文化有幫助。

    首先，你要了解文化不是你能命令、指導或強制的東西。文化不是規章制度。規章制度是告訴員工做什么，文化是員工實際的行為，你是如何影響文化的？

    在Hook Security，我們說你能夠主要做四件事情，對健康的安全文化做出貢獻。

• 培訓每個人-文化由上向下。如果高級職員沒有得到培訓，或認為他們自己可以“凌駕于培訓”，那培訓就完全失去了重要性，其他員工也不會認真對待安全。
• 預料錯誤-錯誤難以避免，你如何對待他們才是關鍵。當你把安全意識培訓推給員工，你會看見人們點擊郵件。但那還好，因為目標是減少風險。幾乎不可能消除網絡釣魚攻擊的風險。很高興他們點擊的是測試郵件，而不是真的攻擊。
• 設置目標-鼓勵員工和跟蹤進度。如果你生成了一個健康、積極的網絡安全文化。員工將會想知道做的怎么樣。當他們通過或失敗，讓他們知道結果來鼓勵他們。
• 不要懲罰犯錯-這是許多公司嘗試進行安全意識程序時排名第一的隱患。如果你真的想有一個積極的安全文化，就要把錯誤看作成長的機會。畢竟，如果你認為會遭到解雇，還會報告一個釣魚郵件嗎？

安全意識培訓助力合規

    合規是安全培訓非常好的一個副產品，但為了成功實現，你不應該把合規作為安全培訓的原因。這個方法能導致糟糕的表現和結果。

    然而，越來越多的行業，監管機構和合規項目開始包含安全意識。一些合規法規已經要求安全意識培訓，如：

• PCI DSS
• HIPPA
• ISO/IEC 27001,27002
• FISMA
• GDPR
• 許多州的隱私法律

    如果這些合規領域影響你的公司或你提供IT服務的公司，你應該提供安全意識培訓滿足合規。

安全意識培訓有助避免宕機時間

    安全意識培訓明顯減少公司宕機時間，有兩個原因：

    首先，宕機的最大原因是由于你的公司遭遇到安全攻擊。如果你遭受到勒索軟件，你的文件都會被加密，很多業務會徹底關閉。

    還有其他和網絡攻擊相關但不那么明顯的宕機形式，如業務損失、公共關系問題，員工道德，修復時間等。

    簡單說來，釣魚攻擊對業務有害。

   其次，當你開始推行我們的心理安全意識培訓，培訓很短，不會占用員工一天的工作時間，鼓舞士氣而不是傷害它。

    這是如何做到的？

    在Hook Security，基于罪犯使用的最新技巧，我們研究和精心設計了模擬的釣魚嘗試。每個月，我們給員工發送這些模擬釣魚郵件。

    當員工掉入我們的陷阱，我們給他們提供一個教育意義，娛樂性的短視頻，根據他們的錯誤來培訓他們。點擊郵件到接受培訓的整個體驗不超過5分鐘。傳統形式的教育在會議室中接受幾個小時的培訓，或冗長計算機培訓。這個方法扼殺了生產力，而我們喜歡生產力。

    在點擊的時候培訓員工（我們稱之為違規點），他們能快速從錯誤中學習，放松一笑，繼續一天的工作。

員工是你最大的資產

    許多安全提供商和公司對客戶說，在網絡安全方面，員工是你最大的弱點，坦率的說，我們在過去也說過同樣的話。

    這些陳述中確有其實，但無助于完成我們的安全意識目標。

    你的工具無法有安全意識。你的計算機也不能。我們已經發現在你員工中生成安全明星的最好方法是把他們看作你最大的資產，而不是最大的弱點。

    你的員工是保證公司前行的最重要因素。確實，他們也是點擊釣魚郵件的人，但你應該把他們看作機遇而不是威脅。這對安全意識培訓的有效性影響很大。

提供安全意識培訓為什么重要？

    如果你是托管服務提供商，托管安全服務提供商，增值服務分銷商，或任何種類的服務提供商。你可能已經提供，或者還沒對你的客戶提供安全意識培訓，但你應該嗎？

    好，我們可能有偏見，但我們就是這么想的。其他的托管服務商也這么想。

    在Datto的2020年托管服務商狀態報告中，表明60%托管服務商考慮到安全意識培訓作為給用戶提供的重要服務。事實上現在提供的服務，稍微少于60%。

    冷酷的事實是，如果你不提供安全意識培訓和其他的緊急服務作為托管服務的一部分，你將處在丟失客戶的危險中。因為隨著采用安全意識培訓的公司增加，公司會大力尋找并選擇提供這種服務的提供商。

    03  安全意識培訓的重要性  

如何生成有效的安全意識培訓

    給員工提供安全意識培訓比以往都更重要。有人甚至爭論說，安全“意識”只是公司安全文化的第一步，員工應該被教育、激勵、和授權來保持公司的安全。在大多數網絡攻擊涉及到人為因素的世界里，員工需要知道他們是最后一道防線，他們有能力阻止網絡攻擊。

    你的安全意識計劃不再是你一年檢查幾次的盒子。隨著像CMCC這樣的新的合規程序的出現，你需要表明你的安全態勢正隨著時間而成熟，每個月教育員工。下述是運行有效的安全意識計劃你能夠做到的事情：

清晰溝通安全意識培訓的目的

    很明顯，單獨給每個員工進行安全意識培訓，比對一群人演講或會議室里會議更有效，而且，在目前很多遠程工作的環境，集體培訓也不大可能。但在員工接受釣魚測試和開始在線安全意識課程之前，你需要給員工可能在收件箱看到的內容有一個大致的暗示。那并不是說，破壞釣魚測試帶來的驚訝，而是員工應該：

1. 了解安全意識培訓和釣魚測試背后的“為什么”。
2. 知道這不是“老大哥“的監控手段，而是主動的事情。

    除了安全意識培訓原因背后正確的背景說明，培訓本身應該和員工關聯起來，應該感覺好像培訓是專門為他們所寫，而不是其他安全專家，其他的群體等。

在組織內發現安全冠軍

    安全文化成長的最好方式是有一個安全冠軍和來自IT外部的支持者。也許一開始有些挫折，但員工更可能嚴肅地采納來自同行的建議，而不是IT部門。學會使用它變成你的優勢。

    找到善于跨部門溝通的人，讓他們發布關于培訓的聲明。此外，從HR部門獲取幫助，以清晰、簡潔的方式簡化信息發布。畢竟，在整個公司范圍內支持一項事業是一個人力問題，不是技術問題。

對員工網絡釣魚

    Hook Security推薦兩個主要關鍵點保證培訓成功，定期發現風險，在他們最可能記住這些信息的時候培訓員工，釣魚測試能完成這兩個目標。

    釣魚測試允許你給員工發送模擬釣魚郵件，測試他們發現收件箱釣魚郵件的能力。加上好的報告，允許你發現組織內的風險，隨著時間推移跟蹤成功。此外，我們提供“違規點培訓“-在他們點擊釣魚測試郵件時提供培訓。這給了你做下列兩件事的能力：

• 在員工認識到犯錯的同時，培訓員工，使培訓非常具有關聯性。
• 快速和有效的培訓員工，允許他們回到正常的工作

    根據那些實際報告可疑郵件，跟蹤釣魚測試失敗，你可以非常好地了解，你處在降低風險的旅程中什么位置。釣魚測試是展示安全意識培訓計劃成績重要方法，作為網絡釣魚有關KPI的替換方案，將跟蹤沒有發生的事情（數據泄露，釣魚攻擊）而不是實際可跟蹤結果。

個性化

    我們作為安全專家，都是對網絡安全充滿熱情和深入了解的人。你的員工兩者都不是，這是培訓時要記住的重要一點。如果你假設員工會自動關心安全，那你錯了，你需要個性化培訓。

該如何做到？

    當安全意識培訓的時候，你必須首先假設沒人會關注。這允許你在員工的安全旅程中遇到他們，引起他們關注。

    此外，整個安全意識培訓應該定位為積極的經歷。就像我前邊提到的，幫助他們了解培訓背后的原因，這不是一個基于懲罰的體驗。員工應該猶豫去點擊可疑郵件，不是因為害怕解雇，而是為保證每個人的安全。

引人入勝

    為保證培訓貼近員工，你的安全意識培訓應該很投入，不是遷就，常常帶些幽默。通過對比復雜安全話題和日常工作情況，達到員工參與的目的。借助影響很大的安全入侵新聞故事，解釋其如何發生或最有效手法，給你的員工個人安全的技巧。

    當他們了解安全如何影響他們的個人生活，員工更可能嚴肅對待安全。看員工如何練習良好的密碼，修改他們wifi密碼，更新個人設備上的軟件。

    最后，心理安全的一個重要支柱是講故事。有趣的故事講述把PPT展示甩開幾條街。人們不會記住事實和技巧，但他們會記住故事和感覺。

自上到下的支持

    這對任何公司范圍內的倡議都非常重要，但對安全意識培訓更重要。從公司領導取得支持，其重要性體現在以下方面：

    如果他們沒有嚴肅對待這件事，公司的其他人也會如此。管理層應該收到模擬釣魚郵件，因為他們是最大的目標，常常是黑客最為關注的公司對象。

    文化由頂層創造。鼓勵你的管理層驗證計劃和實踐積極的安全行為。其他員工會看到安全意識能得到表揚，也會跟進。

    04  如何生成安全意識文化

    我們都知道安全重要，如果你問公司員工，他們可能會非常同意保證公司安全的重要性。

    這個觀點有多深入？對他們重要嗎？他們下意識的行為反映了其觀點了嗎？

     當談到公司的網絡安全，我們常常從工具、流程、策略開始。一旦我們認識到我們的員工是最大的安全弱點，我們開始寄希望培訓和安全意識。這很棒！但我們需要解決的是如何使“安全意識“有效果，推動公司前進。我們無法把意識和文化及習慣綁到一起。例如，我明知道黃燈意味著”減速“，但我的習慣正好相反。我們要制作燈。

    先把奇怪的比喻放一邊，公司的希望還在，而安全意識培訓文化是避免入侵的關鍵，可以實現的原因是：

     首先，你應該了解文化不是你命令、指導、或強制的事物，文化不是規章制度。

    制度-員工被告知去做什么

    文化-他們實際的表現

    文化的改變發生在潛意識的層面，如果你能觸及人們的潛意識，你能改變他們的行為。這是為什么員工的安全意識很重要。

    我們聚焦一些。

     為什么人是安全中的最大弱點？

    因為人類不是天生就能識別威脅。即使他們想保證公司安全。每個人都容易受到釣魚攻擊、社交工程和被技術操控。這很可怕，自然的趨勢是把釣魚的恐懼暴露在員工的面前來教會他們，但這個方法是消極的。

為什么老式的培訓模型不再有效

    老式的培訓不再那么有效。威脅形式比以往變化得更快，因為技術，人們學習、思考和行為完全不同。

    老式培訓模型：

• 一次涵蓋過多內容
• 時間長
• 破壞性
• 和認知接受過程不一致

    可以使用很多形式，不只是傳統會議室里的幾個小時的培訓。如果培訓是入侵性的，灌輸恐懼，或者希望馬上解決每件事，對積極的安全文化沒有任何貢獻。

如何在組織內推廣積極安全文化

    積極是我們發現對文化貢獻的最有效方法。恐嚇某個人養成習慣，和鼓勵激勵他做同樣的事一樣有效。

    你需要做四件事情推廣積極文化：

• 培訓每個人-文化由上至下
• 預料錯誤-錯誤難以避免，如果對待他們才是關鍵
• 設置目標-鼓勵員工和跟蹤成績
• 不要懲罰犯錯-如果你認為自己會被解雇，還會報告釣魚郵件嗎？

    現在，我們已經有一個積極安全文化的基礎，如何改變培訓方式？

新的培訓模型：心理安全培訓

• 1-2關鍵步驟：不要把每件事情都打包在一個視頻或培訓體驗中，我們只關注1-2件員工能夠完全理解和關心的事情。
• 定期培訓：保持短時培訓。我們培訓的的目標長度是少于兩分鐘，最好是90秒。如果你有1個要點，應該在這個期間內引起共鳴。
• 在熟悉的環境中培訓：員工能夠在他們正常的工作環境中，快速完成培訓。培訓應該有助于生產力，而不是殺死它。
• 講述故事和使用幽默：這是我們的面包和黃油。我們使用“娛樂式教育“視頻來培訓。在教學時刻開始之前，員工得到一笑，驅散了緊張，得到娛樂。心理學上，這可以打開頭腦，準備接受信息。

     相對于老式的安全意識培訓，這是一個巨大的轉變。從網絡安全釣魚測試，到培訓資料本身，我們都拋棄保護現狀的舊思維模式。

    關注人而不是關注信息，已經導致我們發現所思考變成一個完全新的領域：心理安全。

    通過這種新的思維轉變，我們能夠從新開始，在人和他們的大腦中打造我們的培訓經歷。這是改變文化的關鍵，改變思想。

    你的員工能通過培訓，避免被技術操控（盲目依靠技術）。員工不僅因為發現釣魚攻擊的特征，自然地保持公司安全，而且因為新的安全意識文化提供的積極、娛樂價值和幽默，很高興保證你的安全。

    人們很激動能發現和報告真實的釣魚郵件。

    05  安全意識培訓的最佳方法

安全意識培訓的最佳方法

    安全意識培訓不是一成不變，有效培訓和培訓本身一樣重要。像我們以前提到的那樣，多年來培訓模型已經固化成這樣：

• 一次覆蓋過多內容
• 時間長
• 破壞性
• 和認知接受過程不一致

每年培訓還不夠

    因為大多數合規標準，培訓常常應付每年的檢查要求。因此傳統的培訓一年一次，希望一次搞定。

    但在會議室花費幾個小時或遠程會議不是有效的培訓方式。

    員工常常請假，幸運的是，期望員工記住扔給他們的每件事不現實。還不如交代幾個關鍵步驟，他們就可以離開。

    我們培訓的方式也在進步，越來越好。為了更有效，安全意識培訓必須定期舉行。

如何做安全培訓

• 在熟悉環境中培訓

    員工應該在他們正常的工作環境中快速完成培訓。培訓應該對生產力有貢獻，而不是殺死生產力。

• 使用相關內容

    如果培訓內容沒有感覺像“專為受眾設計”，他們不可能接受和記住信息，避免使用過于技術性的術語和方式，使用卡通和動畫。使用真實生活中的例子，把用戶當成人來溝通。

• 定期培訓

    在釣魚測試和培訓之間，如果做不到一個月多次的話，至少每月你應該和用戶溝通。通過特征識別來形成習慣。如果你想有效培訓，就得定期培訓。

• 深入學習

    一些最重要的安全內容最難掌握，如勒索軟件、釣魚和其他惡意軟件。把這些資料分解成例子，進行對比，以便員工可以理解。

• 通過視頻和交互體驗來學習

    奇怪的是，員工不想聽你講幾個小時的安全。使用視頻培訓和交互式的內容是與員工溝通的好方法。測試和評估有助于維系和跟蹤員工。

• 衡量和報告

    為了最大化意識培訓計劃的效果，隨著時間跟蹤效果很重要。你能根據儀表盤和報告跟蹤你的計劃。你能通過持續發送釣魚測試，監控他們的成績來衡量你的員工。

    06 在家辦公的安全意識培訓

    新冠疫情改變了大多數公司的工作方式。幾百萬人第一次在家里辦公，公司也在努力更快地適應。

    在家辦公帶來各種新的工作挑戰：看護孩子、避免分心、和同事協作、考慮新技術等，可以說出很多。

     然而，當我們都回家辦公，網絡罪犯不會停止。事實上，他們改變了他們的游戲。因為在解決遠程辦公的忙亂中，安全沒有出現在很多公司的高優先級事務清單上，即使簡單的技術任務，如重設密碼和解決WiFi問題，員工沒有隨時可用的IT人員幫忙。

     那么，對安全意識有什么影響呢？

    確實，情況不理想，因為忙于遠程辦公，人們的防護措施大大降低。

     但當我們無法有人解決員工的技術問題，我們能使用知識武裝他們，度過這段時間。

     除了定期安全意識培訓，在員工完成日常IT任務時，提供教育，像更新固件和正確鎖住設備。

     培訓可以采用某種形式的視頻會議或視頻培訓，包括員工應該遵守的檢查清單。

    隨著新的威脅發展，每個月持續測試你的終端用戶。和員工一起戰斗，讓他們知道如何保護自己，免于釣魚和其他網絡攻擊。

    最后，和員工分享個人安全技巧。共享關于公共wifi的技巧、信用卡欺騙、他們的銀行密碼等。當員工了解安全影響他們的個人生活，他們會更可能接受信息，并用于到日常工作中。

    07  安全意識培訓大綱

• 釣魚

    學習如何發現和避免電子郵件攻擊

• 惡意軟件

    了解惡意軟件，如何把他們拒之系統之外

• 社交工程

    黑客如何使用操縱和詭計達到欺騙的目的

• 移動安全

    如何保護你的電話和其他移動設備安全

• 電信釣魚和詐騙（Vishing@Scams）

    如何意識到一個電話實際上是騙子或黑客

• Web安全瀏覽

    如何安全使用互聯網，保護你的敏感數據

• 勒索軟件

    學習勒索軟件和其他惡意軟件在對你公司的后果

• 可移動介質

    如何正確使用可移動介質，避免數據被盜/損失

• 事件響應

    學習何時及如何報告可疑活動

• 物理安全

    保護辦公室，桌面，其他物理項目安全

• 密碼

    學習如何生成強壯密碼，如何正確使用密碼

• 遠程工作

    了解遠程工作如何引入風險，如何安全地適應遠程工作

    08 開始安全意識培訓

     識別風險、生成意識，保護業務。

     使用我們簡單易用的平臺，啟動、衡量和自動化你的釣魚測試和安全意識培訓計劃。

• 安全意識培訓

    讓員工非常了解網絡釣魚，垃圾郵件、惡意軟件、社交工程、物理安全等，給他們在工作場所中發現和響應威脅的能力。

• 自動化釣魚測試

    每個月我們生成新的釣魚測試，伴以配合網絡釣魚的有關培訓視頻。

• 心理安全

    心理安全，使用幽默、重復、積極的方法，利用神經科學最新的研究成果，訓練大腦關于威脅識別和響應的部位。

• 有可操作性見解的報告

    我們比市場上任何公司都提供更多報告數據，在你和員工之間，促進積極的安全討論。

（完）