安全故障時有發生。不幸的是,在當今這個永遠在線、高度數字化的世界裡,這是不可避免的,而且不是如果,而是何時的問題。我們只需要查看 2023 年頭幾週的新聞,就會看到報導的幾起備受矚目的違規事件,包括 T-Mobile 和 Mailchimp。公司、其客戶和員工在未來幾個月必須保持高度警惕,以防威脅行為者使用攻擊憑據進行越來越多的網絡釣魚嘗試。
許多此類違規行為被歸咎於員工受到社會工程改造,強調讓員工更加了解自己在網絡安全中的作用的重要性,以及讓公司擁有有效、周到的安全培訓和直觀的安全系統的重要性。用戶是組織最大的弱點;一個眾所周知的數據洩露攻擊媒介,遺憾的是無法完全關閉。如今,組織擁有各種各樣的用戶,公司內任何級別的任何一名員工、合作夥伴或供應商都可以提供一個載體,黑客可以通過該載體滲透到組織中。
採用安全文化
企業領導者需要更加了解他們所扮演的角色以及他們如何培養安全文化,同時還要推動更全面的安全系統來保護組織。該策略還應包括透徹了解誰有權訪問什麼以及誰在使用關鍵系統並與之交互。從本質上講,安全是每個人的責任,如果各級管理層不遵守並定期鼓勵整個組織的安全意識,這應該被企業視為巨大的績效差距。
同時,當發生違規時,人為錯誤經常被用作包羅萬象的原因,員工因不夠警惕而受到指責。這種心態表明,企業所依賴的系統要求人類行為完美且永不犯錯,例如點擊網絡釣魚鏈接或誤導電子郵件。負責設計和實施系統的團隊需要根據會犯錯誤的假設來思考可能出現的問題。以忙碌或心煩意亂的員工點擊鏈接造成妥協的經典示例為例,每家公司都應考慮其係統如何檢測和防止這種攻擊媒介,但還必須採取措施在攻擊不可避免時停止和遏制攻擊通過防禦。
喝了有毒的咖啡
換個角度看,如果顧客拿到的咖啡是有毒的,那麼他喝了是不是顧客的錯?不,我們通常會把責任歸咎於讓這種事情首先發生的系統。在風險管理方面,顧客中毒的可能性很小,但如果真的發生了,就需要係統性的改變來防止這種情況再次發生,而不是因為喝了有毒的咖啡而責怪那個人。
要使安全意識發揮作用,需要將其擴展到整個企業,同時考慮員工的工作方式,假設他們會感到疲倦、壓力大並隨後犯錯。系統必須考慮到所有這些場景。完美的系統並不存在,但企業領導者需要通過構建系統性變化來適應行為,並在威脅出現時著眼於縱深防禦。
此外,安全文化需要包括參與培訓,並且深思熟慮避免受害人責備和懲罰落入罪犯陷阱的人。在某種程度上,安全性應該總是與可用性相矛盾——訪問數據不應該那麼容易,它應該讓人們停下來思考。可用性和安全性之間必須取得平衡-訪問不應該太難以至於員工不想在組織工作,也不應該太容易以至於任何人都可以訪問系統。
保持在安全區
那麼,組織可以採取哪些解決方案來幫助用戶留在安全區?
–密碼管理器讓用戶永遠不必記住密碼,這將導致每個站點使用更複雜和唯一的密碼。
–雙因素身份驗證還有助於將另一層控制用於保護數據。
–自動化單點登錄入職和離職員工意味著他們只能訪問他們需要的數據,當他們不需要訪問時,此權限會立即被撤銷。
–憑據庫和組織細分使組織能夠了解訪問分區,以便只有那些需要訪問的人才能獲得訪問權限,並且只有在他們需要時才能獲得。
-實施“不信任任何人”零信任方法可確保只有某些人擁有訪問部分網絡。內部防火牆和應用程序防火牆增加了高水平的精細控制。
-使用機器學習觀察網絡並進行威脅建模提供了寶貴的見解和對威脅的快速反應。
p>
人類是無限可能被黑客攻擊的,因此系統必須圍繞他們將如何失敗來設計。組織需要實施安全層,並考慮如何讓人們難以做錯事。需要實施系統性變革,以便在情況確實發生時做出反應。組織必須設計既安全又易於導航的系統,這樣用戶就不會繞過安全問題,而是會接受它。
讓培訓變得有趣和有趣
最後,組織必須讓培訓變得有趣,並強調擁有積極的安全文化的重要性。這意味著要確保高管們樹立正確行為的榜樣,並確保組織內所有層級的員工都理解這一點。
當出現違規行為時,企業培訓通常會作為懲罰而被取消,或者組織僅將培訓用於獲得證書以證明員工已接受網絡安全培訓。結果,訓練很無聊,沒有人注意,變成了一個打勾的練習。激勵措施應該到位,培訓應該具有吸引力和有效性,以便產生正確的結果:提高安全性的安全意識,而不僅僅是通過審計。理想情況下,組織應該有一種積極的安全文化,這樣他們就不必總是依賴於對咖啡進行毒物檢查。
Image Credit:Goodluz/Shutterstock
Brian Knudtson 是產品市場情報總監,11:11 Systems,