最近邁克菲就"用戶本身對安全帶來的威脅與影響" 話題發(fā)起了 #SecChat的Twitter線上討論活動。我們得出了一個結(jié)論：無論安全技術(shù)變得多么先進，用戶始終是企業(yè)安全計劃中最薄弱的一環(huán)。因此，我們就如何應(yīng)對用戶這最薄弱的一環(huán)，以及企業(yè)如何優(yōu)化技術(shù)解決方案和策略來緩解用戶威脅所帶來的風(fēng)險這些話題進行了討論。

安全的技術(shù)因素

一開始，我們首先詢問參與者常見的"最薄弱技術(shù)環(huán)節(jié)"是什么。有參與者認(rèn)為劣質(zhì)的安全應(yīng)用程序是最要命的。其中有人補充到：應(yīng)用程序設(shè)計者毫無風(fēng)險意識，或者根本沒把安全視為問題。而大家普遍認(rèn)為：將特定技術(shù)視為"最薄弱環(huán)節(jié)"是不負(fù)責(zé)任的。任何技術(shù)，無論多么先進，能否有用，都取決于實施它們的人。

接著我們的討論發(fā)生了轉(zhuǎn)折，有參與者提出，很多人之所以不愿意去制定安全策略，只是因為安全策略的制定并非易事。那么作為IT 團隊，如何能更好地使安全與業(yè)務(wù)目標(biāo)和用戶需求相符呢？我們認(rèn)為：用戶的關(guān)注點，始終在其工作本身，而非 IT。只有掌握到這一態(tài)勢之后，安全團隊才能制定有效地策略。

安全策略：透明度問題

其中有人給出了一個建議，即增加透明度。透明度可幫助員工建立起關(guān)于違規(guī)產(chǎn)生的實際后果的心智模型，從而增加用戶認(rèn)同感。我們認(rèn)為用戶引發(fā)的一些最常見問題都因為員工無視其行為帶來的后果，而作為安全團隊，需要解釋策略背后的"原因"，而不是去盲目期待每一個員工的行為符合要求。

在技術(shù)層面上，參與聊天的一些人提到了 DLP 解決方案（Data Leakage Prevention，數(shù)據(jù)泄露防護），因為它們不僅能代替用戶保證安全，而且還增加了透明度。DLP 能在用戶違規(guī)時發(fā)出警報， 幫助用戶了解其行為的后果并讓他們親臨實境的看到遭到攻擊后產(chǎn)生的惡果。

之后，我們的話題開始轉(zhuǎn)向電子郵件威脅所帶來的挑戰(zhàn)，透明度成了關(guān)鍵議題。我們認(rèn)為在 Web 保護方面，顯示攔截的頁面并解釋攔截原因促使員工關(guān)注其活動對整個企業(yè)的影響大有幫助。它會令員工不僅關(guān)注必須做什么，還關(guān)注為什么需要這樣做。這是企業(yè)文化層面的變革，而非僅僅停留在策略層面。

最后，我們以詢問參與者的主要心得來結(jié)束了這場討論。我們都認(rèn)為：員工安全教育是關(guān)鍵，但必須輔以相關(guān)的實際示例， C 級認(rèn)同感是讓計劃有效的關(guān)鍵所在。我們應(yīng)該在確立安全策略的業(yè)務(wù)價值的同時，以適當(dāng)?shù)募夹g(shù)解決方案作為策略后盾。