Proofpoint在2022年早些时候发布的《2022年内部威胁成本全球报告》显示,因内部人员导致的安全事件数量正在显著增长,而在这些事件当中,有56%的比例是源自于员工疏忽,凭证管理问题是员工最容易出现的安全问题之一,有18%的威胁是源自于这一点。这些数据或多或少的表明一个事实,那就是安全是一个融合所有与企业关联的人和事当中。
此前我们曾探讨,企业应对员工的安全意识和素养予以足够高的重视,应当注重结果而非过程。那么在现实情况中,我们身边的企业对于这一问题的表现又是如何的呢?针对这一话题,我们与国内专注于人员网络安全意识教育领域的企业——北京红山瑞达科技有限公司取得联系,并邀请其副总经理李翔一同来分享他们的一些心得。
企业对员工安全意识重视程度提升 安全教育与培训服务市场高速增长
李翔表示,随着安全事件的不断爆发以及大型攻防演练活动的推进运行,其中很多事件都表明,企业因员工缺乏安全意识而被攻击者成功的以社工攻击、钓鱼攻击等方式入侵的情况比比皆是,甚至引发一系列严重后果。无论是从新闻报道还是演练活动的实战体验中,企业对于员工可以成为整个安全建设中的薄弱环节这一情况有了较为深刻的认知,对员工的安全意识和素养予以更高的重视已渐成企业安全建设中的一个趋势。在从认知到需求层面,李翔告诉我们,从红山瑞达近几年的服务情况看,所有类型的企业(包括国央企、民企、外企)对于网络安全意识培训相关的服务需求都有增加。
反馈到市场层面,依据IDC在今年10月发布的《2022上半年中国IT安全服务市场跟踪报告》显示,2022上半年中国IT安全服务市场厂商整体收入约为12.25亿美元(约合79.4亿元人民币),而IDC认为,2022年上半年中国网络安全服务市场实现增长,主要由IT安全教育与培训服务市场和托管安全服务市场带动。其中,IT安全教育与培训服务市场今年上半年增速最快,规模同比增长达到33%。IDC分析称,认证培训和安全实训演练测试平台与服务市场,共同推动IT安全教育与培训服务市场上半年实现高速增长。
任何一个事情从理论到落地总会需要一个过程,而对事情的正确认知能够大大加快这一过程,综合来看,企业一侧在这方面整体表现令人颇为乐观。但在这背后,是否也存在有一些其他的问题?
安全意识培训不能止于被动式教育 需关注实战中解决问题能力的训练
有了正确的认知并付诸于行动,是否就一定到位呢?答案显然是否定的,就像网络安全领域中很多企业在安全建设方面是以应付合规的态度一样,“很多企业目前仍只是停留在关注培训过程本身这件事情上,而对真正解决问题方面依然存在不足。”李翔表示,如社工攻击、钓鱼攻击等,企业很清楚这些对他们构成了威胁,也会组织员工进行有针对性的培训,但其中有部分企业还是习惯于将关注点放在这样的活动进行了多少次、每次多少人参加等流于表面的形式。“在被动式单向灌输的培训方式之下,很难收获到安全意识培训这项工作的预期效果。以我们的经验来看,哪怕是经过不止一次这种培训的员工,在面对网络钓鱼攻击时仍会上钩。”
而这一结果相信对于培训的甲乙双方而言,都是一种难以接受的结果,一方面是为员工培训付出不小成本的企业,仍会因为员工的安全意识问题而在相关的攻击事件中蒙受损失;另一方面则是负责培训的一方恐怕也只能捞一个服务水平极其堪忧的负面评价。
“相比之下,一些更有危机意识的企业会更多从实战的视角出发,理论知识教育要有,实战行为演练更是要有。“李翔谈到,红山瑞达推出的“防网络钓鱼模拟演练系统”也是基于这一理念,希望能够令企业员工在安全意识培训之后,以一种接近于实战的方式去考察培训成果,经过长期的实践和迭代后,目前该系统可为不同行业、不同岗位提供有针对性的上千个训练场景,覆盖邮件、短信、二维码、WiFi乃至USB设备等多个可能被钓鱼的领域。
实践证明,在经历过多次防钓鱼模拟演练的员工在实际工作中识别攻击意识和能力显著高于被动式教育培训的员工。
安全培训也应分事前、事中、事后三步走
谈到企业应如何做好网络安全意识培训这一话题时,李翔坦率表示,“安全意识培训说容易也容易,但说难也难。一方面大家已经不纠结于‘做还是不做’的问题,另一方面,人的水平是参差不齐的,要想将所有人的安全意识统一提升到某一个很高的水平,难度就会很大。”这一点也是我们所强调的,安全培训完成后要强调实战训练之外,也还需关注“因材施教”的问题,因此,有效的安全意识培训也应分为事前、事中以及事后三个步骤完成。
首先是事前阶段。该阶段的目标是完成对企业员工安全意识状况的一个整体摸排,随后根据企业的实际情况将不同级别的员工划分成为数个组,以为接下来实施有针对性地安全意识培训工作提供帮助,其作用类似于病人到医院的初诊,医生通过化验、检查结果给出诊断书。具体来看,企业可以通过一套成熟的网络安全意识测评,以问卷笔试+模拟测试方式进行。对员工模拟测评的行为进行记录、统计和分析,最终得出员工网络安全保密行为报告,这种方式就有利于企业准确掌握内部人员自身的安全风险状况,为进一步有针对性地提升人员安全意识提供决策依据。
其次是事中阶段,该阶段是根据被测员工的安全意识水平和存在的问题,有针对性地制定方案并开展安全意识培训,其作用类似于医生开药和治疗方案,开展治疗。目的是要让员工清晰的了解哪些不良习惯会导致企业遭受安全风险,并掌握一定的安全技能以应对可能出现的风险,进而提升安全意识和相关能力水平。“考虑到培训对象大多都是没有技术背景的,因此这种安全意识培训必须要以深入浅出的方式,将复杂的东西简单化,将专业的东西平常化,以便于他们理解和掌握。”李翔谈到,一定要让他们真正理解那些自己所能接触到的安全风险,才能有利于摒弃不良习惯,降低被社工、钓鱼攻击的风险。
最后是事后阶段,该阶段是通过后期的实战模拟演练检验培训结果,其作用类似于病人吃了药和治疗后的复查。该阶段类似于病人吃了药和治疗后的复查。目标是通过后期以实战的方式进行模拟演练,让接受培训的员工在面对近乎于真实的场景下去面对风险,以考察他们应对风险的安全意识以及相关能力水平。这里值得注意的是,笔试作为培训成果的考核方式并无问题,但决不能以它作为考评的唯一成果。
员工缺乏安全意识是“慢性病” 如想改观需做长期准备
在采访的最后,李翔特别强调道,“提高安全意识,无论是理论知识的培训还是模拟实战的演练,在企业中应当作为一种常态化的工作,贯穿在企业发展和安全建设的整个过程。”
“针对员工的攻击普遍都是利用人的弱点,想要实现100%规避的可能性较低,而且人的弱点会有反复。员工可能会在接受教育、培训的那段时间内,在安全意识方面的确有提升,但在若干时间之后(尤其是较长时间没有出现安全风险的情况下),他的安全意识极有可能会松懈,不良习惯也会再次出现。”李翔指出,“因此,提高员工安全意识这件事,我们要将它视作为一种‘慢性病’,要将培训、演练形成常态化,才能保障内部员工在安全意识水平方面尽可能巩固在较高水平,以降低企业面临相关安全风险的可能性。”
#网络安全##安全教育#