安全意识培训
本文约需 2 分钟阅读
安全意识提升 (Security Awareness) 是指帮助组织的员工和个人正确认识网络威胁并采取适当行动的教育与培训活动。无论将技术防御强化到何种程度,人始终是最后一道防线。约 90% 的社会工程学攻击都以人的判断失误为起点,因此提升安全意识是与技术投资同等乃至更为重要的对策。
传统培训的局限
许多组织通过每年一次的在线学习或课堂培训来开展安全教育,但这种方式存在明显的局限。调查结果显示,受训后意识虽会立即提升,但三个月后大部分知识便被遗忘。此外,多数情况下形式上的结业完成本身成了目的,并未带来实际的行为改变。抱着「通过考试就万事大吉」的态度,无法应对日益精巧的钓鱼攻击。
有效的方法
向员工发送模仿真实攻击的演练邮件,测量点击率和报告率。对上当的员工立即提供反馈,以提升学习效果。详情请参阅钓鱼防护指南。
引入积分制、排行榜、徽章等游戏元素,以维持学习的积极性。团队对抗的 CTF (Capture The Flag) 形式的演练同样有效。
以每周一次左右的频率发布五分钟以内的短内容,以促进知识的固化。已有实证表明其记忆保持率高于每年一次的集中培训。
钓鱼模拟演练的伦理课题
钓鱼模拟演练是有效的手段,但运用时需要谨慎。如果公开斥责上当的员工,或将其直接与人事考核挂钩,会损害心理安全感,适得其反。重要的是营造「对主动报告者给予肯定」的文化,并将失败定位为学习的机会。此外,演练邮件内容若过于精巧会损害员工的信任,因此难度应循序渐进地提高。
安全先锋制度
该制度从各部门任命对安全高度关注的成员担任「安全先锋」,由其承担部门内推进安全工作的角色。仅靠安全团队无法照顾到全体员工,因此贴近一线的先锋充当桥梁。会为先锋提供额外培训,使其掌握伪装借口和商业邮件诈骗等高级攻击手法的知识。
效果衡量的指标
安全意识提升计划的效果,需要用量化指标进行持续衡量。
| 指标 | 测量方法 | 目标参考 |
|---|---|---|
| 钓鱼点击率 | 模拟邮件的链接点击率 | 5% 以下 |
| 可疑邮件报告率 | 将演练邮件报告给 IT 部门的比例 | 70% 以上 |
| 事件数量 | 由人为因素引发的安全事件发生数 | 同比下降 |
| 培训完成率 | 必修培训的修毕比例 | 95% 以上 |
只关注点击率是危险的。真正重要的是「报告率」。能否在组织内扎根「察觉并报告可疑邮件」的文化,才是反映组织安全成熟度的真正指标。关于与全组织密码策略的联动,企业密码策略设计一文也可供参考。安全教育实践书 (Amazon)可帮助你系统地加深知识。
常见的误解
「我们的员工 IT 素养高,所以没问题」这种过度自信是大忌。正如社会工程学对策一文中所提及的,高级定向攻击有时连 IT 部门的人员也会被骗。此外,「安全是 IT 部门的工作」这种认识也很危险。针对财务部门的发票诈骗、针对人事部门的简历恶意软件等,攻击会乘业务流程的空隙而入。所有部门都具备当事人意识至关重要。
这篇文章对您有帮助吗?