该机构的最新发现 IBM X-Force® 威胁情报指数报告 突出攻击者策略的转变。 犯罪分子没有使用传统的黑客方法,而是利用有效凭证渗透系统的攻击激增了 71%。 信息窃取者的利用率惊人地增加了 266%,这凸显了他们在获取这些凭据方面的作用。 他们的目标很简单:利用阻力最小的途径(通常是通过毫无戒心的员工)来获取有效的凭证。
组织已花费数百万美元开发和实施尖端技术来增强对此类威胁的防御,并且许多组织已经开展了安全意识活动,那么为什么我们无法阻止这些攻击呢?
传统安全意识计划的挑战
如今,大多数安全意识计划都为员工提供了处理数据、GDPR 规则和常见威胁(例如网络钓鱼)所需的信息。
然而,这种方法有一个主要弱点:程序没有考虑人类行为。 他们通常遵循一刀切的方法,让员工完成年度通用计算机培训,其中包括一些流畅的动画和简短的测验。
虽然这提供了必要的信息,但培训的仓促性质和缺乏个人相关性往往会导致员工在短短 4-6 个月内忘记这些信息。 这可以用丹尼尔·卡尼曼的人类认知理论来解释。 根据该理论,每个人都有一个快速、自动和直观的思维过程,称为系统1。人们也有一个缓慢、深思熟虑和分析的思维过程,称为系统2。
传统的安全意识计划主要针对系统 2,因为信息需要合理处理。 然而,如果没有足够的动机、重复和个人意义,信息通常会一只耳朵进,另一只耳朵出。
了解员工的行为至关重要
人类近95%的思维和决策是由系统1控制的,这是我们习惯性的思维方式。 人类每天面临着数以千计的任务和刺激,我们的很多处理都是通过偏见和启发法自动且无意识地完成的。 普通员工在自动驾驶仪上工作,为了确保网络安全问题和风险根深蒂固地融入到他们的日常决策中,我们需要设计和构建真正理解他们直观工作方式的程序。
为了了解人类行为以及如何改变它,我们必须在 COM-B 行为改变轮的支持下评估和衡量一些因素。
- 首先我们要了解员工的情况 能力。 这是指他们从事安全在线实践的知识和技能,例如创建强密码和识别网络钓鱼尝试。
- 然后我们需要判断是否有足够的 机会 让他们学习,包括提供培训计划、政策和程序等资源。
- 最后,也是最重要的一点,我们需要了解员工的水平 动机 以及他们优先考虑并采取安全行为的意愿和动力。
一旦我们理解并评估了这三个领域,我们就可以查明行为改变的领域,并设计针对员工直觉行为的干预措施。 最终,这种方法可以帮助组织通过培养更具网络意识的员工队伍来建立第一道防线。
我们需要培育积极的网络安全文化
一旦确定了行为问题的根本原因,注意力自然会转向建立安全文化。 当今网络安全文化面临的主要挑战是其对错误和不当行为的恐惧。 这种心态往往会助长对网络安全的负面看法,导致培训完成率低、责任感极低。 这种方法需要转变,但我们如何实现呢?
首先也是最重要的是,我们必须重新考虑我们的举措方法,摆脱单纯以意识为中心、合规驱动的模式。 虽然安全意识培训仍然至关重要且不容忽视,但我们必须多样化我们的教育方法,以培育更积极的文化。 除了广泛的组织培训之外,我们还应该采用结合体验式学习和游戏化的针对特定角色的计划,例如引人入胜的活动 IBM X-Force 促进的网络范围。 此外,组织范围内的活动可以强化积极文化的概念,包括建立网络安全冠军网络或举办各种活动的意识月等活动。
一旦选择并实施了这些举措来培养积极而强大的网络安全文化,它们就必须得到组织各级(从高级领导层到初级专业人员)的支持。 只有当有一个统一的、肯定的信息时,我们才能真正改变组织内部的文化。
如果我们不衡量人类风险的降低,我们就不知道什么是有效的
既然我们已经确定了行为挑战并实施了旨在培养积极文化的计划,下一步就是建立成功的指标和参数。 为了衡量我们计划的有效性,我们必须解决一个基本问题:我们在多大程度上降低了人为错误引起的网络安全事件的风险? 建立一套能够衡量风险降低和整体计划成功的全面指标至关重要。 传统上,组织依赖网络钓鱼活动和能力测试等方法,但结果好坏参半。 一种现代方法是 风险量化,一种为与特定场景相关的人类风险分配财务价值的方法。 将这些指标整合到我们的安全文化计划中,使我们能够评估其成功并随着时间的推移不断增强它。
与IBM合作构建人体防火墙
网络安全不断变化的格局需要采取全面的方法来解决关键的人为因素。 组织需要在领导层参与和创新举措的支持下培养积极的网络安全文化。 这需要与有效的指标相结合来衡量进展并展示价值。
IBM 提供一系列服务来帮助我们的客户将他们的计划从意识转向关注人类行为。 我们可以帮助您根据员工的动机和习惯评估和定制组织的干预措施,并通过让每个人成为网络安全的积极守护者来帮助您建立抵御新威胁的弹性第一道防线。
本文是否有帮助?
是的不