是时候以更积极的态度重新构想员工培训了,毕竟电子邮件安全问题基本就是人的问题。
SANS研究所的调查显示,近3/4的网络钓鱼、恶意软件和勒索软件攻击都是通过电子邮件登堂入室的。很多网络钓鱼都是利用看起来合法的邮件诱骗受害者点击恶意链接或打开附附件,从而往受害者系统中植入恶意软件,为攻击者盗取机密信息或彻底搞瘫受害者的网络。另外还有攻击者会黑掉电子邮件账户并冒充该账户拥有者向处在关键位置的员工发出指令,指示其共享敏感数据或往指定银行账户转账汇款。
威瑞森《2018数据泄露调查报告》揭示,公司企业因社会工程攻击而发生数据泄露的可能性是因存在网络漏洞的3倍。
美国中期选举日渐临近,整个美国的竞选工作人员及选举官员都得警惕防范此类攻击。但电子邮件黑客攻击威胁不是一过性的东西,每个政府机构每天都要面对这一威胁。
在一月份的武装部队通信和电子协会会议上,美国国防信息系统局执行主任 David Bennett 称,国防部电子邮件收件箱中每年都会涌入130亿封有问题的邮件,而且是未经任何自动化扫描和检测就躺到了邮箱里。
其他政府机构也大多注意到了电子邮件威胁,部署了电子邮件安全产品以保护自身。但即便技术防护有所增强,一个巨大的弱点依然存在:人类本身。
威瑞森的调查显示,在网络安全意识逐年上升的帮助下,如今78%的人不会去点击网络钓鱼链接了。不过,还有4%可能毫无戒心地点击网络钓鱼链接或打开恶意附件。由于罪犯仅需骗到一个受害者就能渗透整个网络,4%这个数字还是太高了,令员工行为成为了电子邮件安全的首要风险。
Barracuda 与 Dimensional Research 对全球630位电子邮件安全专业人员做了调查,结果显示不良员工行为比企业是否设置了正确的防御工具更令人担忧。在调查中,84%的受访者将不良员工行为列为首要问题,工具不足仅占16%。
虽然电子邮件依然是恶意软件被投送到公司企业内部的主要途径,但Slack这样的协作平台或 Google Drive 这种文件共享服务似乎正逐渐成为攻击者利用的对象,引起越来越多的关注。
而且,尽管大家都认为员工安全意识培训很重要,却只有77%的受访者称自家公司设置有培训项目。
这种现象很不正常,是时候以更积极的方法重新构想员工培训了,必须将电子邮件安全主要作为人的问题而不是技术问题来对待。以下4种方法可供参考。
1. 高度个性化
当前很多公司企业里的电子邮件安全培训项目往往内容宽泛且流于形式,通常都是由人力资源部门安排的非常教条的通用在线课程。但实际上,安全培训项目应该是根据每个员工的角色来定制的,其内容必须符合该员工负责的业务领域。举个例子,负责财务的人员往往就是网络钓鱼诈骗的目标对象,黑客可能会伪装成合法人员要求他们进行转账汇款。对这种位置上的员工进行培训,就应该特别注重解决此类威胁。
安全培训项目中多一点个性化,对教育每一位员工都有很大好处。
2. 有大棒,也要有胡萝卜
电子邮件安全项目太容易搞成对沦为电子邮件欺诈受害者的的惩罚或羞辱,对良好行为表现却没有任何奖励。但实际上,主动向IT部门报告了可疑邮件的员工,是应该受到某种形式的承认的,比如说,向全体员工推送表扬备忘,或者直接给予礼品卡之类的物质奖励。
电子邮件安全项目应设法承认这些没有点击恶意链接的人。正向反馈是非常有效的。
3. 超越课堂式培训
更好的战术应超越常规的课堂式教学(无论是教室上课还是网络上课)。利用现实世界场景的实质性培训才是更有力的工具。
红队测试就是个好方法,公司企业可以安排白帽子专家黑进网络,模拟一场攻击,来个攻防演习。还可以利用大家都熟悉的高管账号模拟账号被黑攻击,评估员工会如何响应被黑账号发来的请求。
这种切身体验式的方法可帮助公司企业及其员工更加了解自身抵御电子邮件攻击的能力,效果比坐在教室里听老师讲课要好得多。
4. 更多责任
电子邮件安全培训项目的结果不应该只是人力资源和安全团队的职责范围,部门领导或办公室主管都应负有责任。这么做可以在公司范围内慢慢浇铸一种“电子邮件安全人人有责”的氛围,也可有力支撑安全培训项目应针对各个业务领域个性化定制的概念。
遵循了以上4步,政府机构和公司企业便能更好地迎战电子邮件安全威胁。
SANS白皮书:
https://www.sans.org/reading-room/whitepapers/threats/2017-threat-landscape-survey-users-front-line-37910
威瑞森《2018数据泄露调查报告》:
https://www.verizonenterprise.com/verizon-insights-lab/dbir/
Barracuda 2018调查:
https://www.barracuda.com/campaign/emailsecurityreport
原文来自:安全牛