軟件安全專家Hugh Thompson指出，企業(yè)往往過于依賴安全技術(shù)，而忽視“人類防火墻”對(duì)安全的影響。在接受SearchSecurity.com采訪時(shí)，Thompson解釋說社會(huì)工程攻擊讓員工很難辨別合法郵件和那些誘騙用戶透露敏感數(shù)據(jù)的郵件。

數(shù)據(jù)丟失防護(hù)、Web過濾和反惡意軟件技術(shù)能夠提高安全保護(hù)，但Thompson表示，企業(yè)應(yīng)該致力于在企業(yè)內(nèi)部營(yíng)造一種安全意識(shí)的文化，這可以讓員工成為安全保護(hù)的最后一道防線。

IT安全團(tuán)隊(duì)需要平衡風(fēng)險(xiǎn)緩解工作和員工工作效率，確保員工可以使用他們喜歡的工具來完成工作，同時(shí)保護(hù)敏感數(shù)據(jù)的安全。Thompson表示，從數(shù)據(jù)管理的角度來看，文件共享服務(wù)、網(wǎng)絡(luò)郵件、社交網(wǎng)絡(luò)和其他在線協(xié)作工具帶來了有趣的挑戰(zhàn)。

Thompson目前是網(wǎng)絡(luò)安全廠商Blue Coat公司的首席安全戰(zhàn)略師兼高級(jí)副總裁，他同時(shí)也是RSA大會(huì)程序委員會(huì)主席。他還是安全意識(shí)和安全編碼培訓(xùn)公司People Security的首席安全戰(zhàn)略師。

在數(shù)據(jù)泄露事故中，我們經(jīng)常能夠看到社會(huì)工程的身影。在某些情況下，攻擊者甚至不需要利用軟件漏洞，他們只需要誘騙員工透露其賬戶登錄信息，就能入侵系統(tǒng)。這方面的用戶教育很失敗嗎？

Hugh Thompson：這正是目前安全領(lǐng)域的關(guān)鍵問題，即安全的人員因素。如果你是一名試圖入侵某企業(yè)系統(tǒng)的攻擊者，你是愿意花幾周時(shí)間甚至幾個(gè)月的時(shí)間來尋找他們系統(tǒng)中的特定未知漏洞，還是嘗試社會(huì)工程攻擊？通過社交網(wǎng)站查找特定員工的信息，然后給這些員工打電話或者發(fā)送電子郵件。你當(dāng)然會(huì)選擇后者，因?yàn)樗尤菀住?/p>

現(xiàn)在的問題是，大多數(shù)人每天在選擇信任或者不信任某些事物時(shí)，并沒有考慮到安全風(fēng)險(xiǎn)問題。而且這種信任/不信任的選擇變得比以前更加復(fù)雜。在過去，我們很容易判斷某個(gè)人是否在騙你。而現(xiàn)在，這些通過電子郵件或者網(wǎng)站的欺騙信息非?？菰?，就像我們每天必須處理的所有其他枯燥的東西一樣，我們?cè)絹碓诫y以分辨攻擊信息和合法信息。我認(rèn)為我們碰到這個(gè)信任危機(jī)問題是因?yàn)?，即使是受過教育、具有安全意識(shí)且中度偏執(zhí)的人，也更難判斷好網(wǎng)站和不良網(wǎng)站或者合法郵件和不良郵件。我認(rèn)為，教育仍然很重要，但企業(yè)還需要部署工具來幫助用戶做出判斷。

IT安全團(tuán)隊(duì)未能創(chuàng)造一種安全文化嗎？在企業(yè)內(nèi)發(fā)展一種安全意識(shí)的文化需要很長(zhǎng)時(shí)間嗎？

Thompson：在安全行業(yè)，這是個(gè)有爭(zhēng)議的話題。我是一個(gè)樂觀者，也是教育者，我的觀念是對(duì)于安全問題，人們的防御能力是可以提高的。如果給他們提供合適的教育機(jī)會(huì)，即在合適時(shí)間進(jìn)行合適培訓(xùn)，那么，隨著時(shí)間的推移，他們面對(duì)攻擊時(shí)，能夠變得更靈活更具防御性。但如果你去跟一些首席安全官交談，他們可能會(huì)告訴你他們?cè)愀獾呐嘤?xùn)經(jīng)歷，隨后他們放棄了，而只是保證合規(guī)工作。當(dāng)發(fā)生這種情況時(shí)，這意味著你的企業(yè)已經(jīng)走上一條危險(xiǎn)的道路。

這條危險(xiǎn)的道路是什么樣的？

Thompson：不努力提高員工的安全防范意識(shí)的話，你將完全依賴于第三方工具或者加強(qiáng)環(huán)境中的安全控制。我認(rèn)為現(xiàn)在這種人類防火墻變得越來越重要，這種防火墻意味著當(dāng)你點(diǎn)擊或安裝從未見過的瀏覽器插件或事物時(shí)，你腦海中會(huì)出現(xiàn)的想法和安全意識(shí)。另外，你的企業(yè)和風(fēng)險(xiǎn)之間的安全控制非常重要，它們管理web，同時(shí)我也認(rèn)為，你腦子里的安全意識(shí)也變得越來越重要，它們決定信任/不信任。

想一想像DLP這樣的技術(shù)，這種技術(shù)非常善于解決特殊用途的問題，以及查找結(jié)構(gòu)化數(shù)據(jù)以確定這些數(shù)據(jù)是否將被發(fā)送到不對(duì)的位置。但你可以假設(shè)有一些非常想得到這些數(shù)據(jù)（例如社會(huì)安全號(hào)碼等）的攻擊者，他們意識(shí)到某種DLP軟件正在環(huán)境中運(yùn)行。他們可能會(huì)創(chuàng)造某種高度定制化的社會(huì)工程攻擊，發(fā)送紙質(zhì)的郵件給受害者，要求他們填寫表格中的信息，然后通過郵件寄回。這不僅不需要正面攻擊DLP系統(tǒng)，甚至不需要接觸這個(gè)技術(shù)。面對(duì)這種社會(huì)工程攻擊的危害，我們有必要打造人類防火墻，這是我們?cè)诎踩袠I(yè)中最大的挑戰(zhàn)之一。