在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全防御體系中，人員是最薄弱的環(huán)節(jié)，同時(shí)也是最不受重視的環(huán)節(jié)。換而言之，人員是黑客最容易突破和利用的“漏洞”，同時(shí)也是企業(yè)安全投入最少，提升最慢的短板。

[[335386]]

GoSecurity公司2020年全球企業(yè)安全調(diào)查結(jié)果直觀地反映了這個(gè)問題：

長期以來，那些手套上鑲著半打零日漏洞寶石，頭上頂著三個(gè)博士帽的的國家級(jí)黑客，被認(rèn)為是網(wǎng)絡(luò)空間最為危險(xiǎn)的物種，而企業(yè)界也熱衷于采購最先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和方案，并試圖提高安全工具集成度和自動(dòng)化水平。

但現(xiàn)實(shí)情況正如上述調(diào)查數(shù)據(jù)：最有效的網(wǎng)絡(luò)安全措施是提升員工安全意識(shí)，但員工安全意識(shí)培訓(xùn)獲得的預(yù)算最少。

這導(dǎo)致一個(gè)全球性的網(wǎng)絡(luò)安全盲區(qū)和悖論：人員漏洞是最危險(xiǎn)也最容易修復(fù)的漏洞(不需要昂貴的技術(shù)產(chǎn)品和頂尖技術(shù)人才)，同時(shí)也是最難修復(fù)的漏洞(不被重視、缺乏預(yù)算)。

不難理解，聚焦最前沿網(wǎng)絡(luò)安全技術(shù)產(chǎn)品的RSAC2020網(wǎng)絡(luò)安全大會(huì)將“人的因素”作為大會(huì)主題。這為2020年網(wǎng)絡(luò)安全行業(yè)的發(fā)展主題定下基調(diào)：長期被忽視的人員安全意識(shí)和相關(guān)管理問題，已經(jīng)成為網(wǎng)絡(luò)安全行業(yè)和企業(yè)界最大的“安全債”。

2020年網(wǎng)絡(luò)犯罪最顯著的趨勢就是產(chǎn)業(yè)化和“市場化”，“云犯罪”、“犯罪即服務(wù)”、“共享犯罪”、“事件犯罪”、“精準(zhǔn)犯罪”等等，不斷拉低APT、勒索軟件、人工智能、僵尸網(wǎng)絡(luò)和BEC電子郵件等網(wǎng)絡(luò)攻擊技術(shù)門檻，讓更多善于利用“人的漏洞”的攻擊者如虎添翼，同時(shí)也讓企業(yè)網(wǎng)絡(luò)安全的短板——人員意識(shí)，面臨比過去更加復(fù)雜和危險(xiǎn)的威脅。

2020年，潛在危害性和損失最為嚴(yán)重的安全威脅(例如勒索軟件和BEC郵件攻擊)和安全事件往往都與“人員漏洞”或內(nèi)部威脅有關(guān)，從微盟刪庫到推特大規(guī)模賬戶劫持，從本田停產(chǎn)到全球超級(jí)計(jì)算機(jī)集體挖礦…疫情肆虐全球，遠(yuǎn)程辦公在未來十年將成為“新常態(tài)”，當(dāng)大批企業(yè)員工走出防火墻回到家中辦公，企業(yè)面臨的攻擊面成幾何級(jí)數(shù)放大，利用人的漏洞發(fā)起的網(wǎng)絡(luò)攻擊能夠輕易地癱瘓一家跨國公司的全球業(yè)務(wù)。

據(jù)華爾街日?qǐng)?bào)報(bào)道，70%的企業(yè)擔(dān)心內(nèi)部人員威脅。

[[335387]]

員工仍然是網(wǎng)絡(luò)攻擊最大的安全威脅，但傳統(tǒng)的安全技術(shù)和措施無法有效減輕這種網(wǎng)絡(luò)威脅。

2020年，人依然是最大的漏洞

根據(jù)今年三月份綠盟科技發(fā)布的《2019安全事件響應(yīng)觀察報(bào)告》，2019年1/3的安全事件與企業(yè)存在的安全管理疏忽或員工安全意識(shí)薄弱有關(guān)，在2019年處理的安全事件中，弱口令事件占比22%，釣魚郵件相關(guān)事件占比7%，配置不當(dāng)事件占比3%，與人和管理相關(guān)的安全事件合計(jì)占總數(shù)的1/3，安全管理薄弱、員工安全意識(shí)不足的問題最易遭到攻擊者的利用。

2020年上半年，疫情導(dǎo)致的全球化遠(yuǎn)程辦公進(jìn)一步放大了來自“人的漏洞”的威脅，市場對(duì)安全意識(shí)服務(wù)的需求也開始快速增長。在美國這個(gè)全球最大的網(wǎng)絡(luò)安全市場，網(wǎng)絡(luò)安全意識(shí)教育領(lǐng)域的創(chuàng)業(yè)公司KnowBe4的年收入已經(jīng)超過1億美元，在2020年一季度疫情期間業(yè)務(wù)同比增長了40%。

2020年，人為錯(cuò)誤依然是數(shù)據(jù)泄露的主因

根據(jù)Tessian的一份報(bào)告，有33%的美國和英國的員工在工作中犯下安全錯(cuò)誤，對(duì)自己或公司造成了網(wǎng)絡(luò)安全或數(shù)據(jù)安全威脅(下圖)。

報(bào)告指出，人為錯(cuò)誤已成為當(dāng)今數(shù)據(jù)泄露的主要原因，并進(jìn)一步研究了人們?yōu)槭裁捶稿e(cuò)誤以及如何在犯錯(cuò)誤之前預(yù)防：

人為錯(cuò)誤對(duì)網(wǎng)絡(luò)安全的影響

當(dāng)被問及犯了什么類型的錯(cuò)誤時(shí)，四分之一的員工承認(rèn)在工作中點(diǎn)擊了網(wǎng)絡(luò)釣魚電子郵件中的鏈接。31至40歲的員工點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件的可能性是51歲以上的員工的四倍，而男性單擊釣魚電子郵件的可能性是女性的兩倍。

47%的員工認(rèn)為分心是網(wǎng)絡(luò)釣魚詐騙得手的主要原因。緊隨其后的原因是，該電子郵件看起來逼真合法(43%)，其中41%的電子郵件偽裝成來自高級(jí)管理人員或知名品牌的電子郵件。

除了點(diǎn)擊惡意鏈接外，58%的員工還承認(rèn)向錯(cuò)誤的收件人發(fā)送了工作電子郵件，其中17%的電子郵件發(fā)送給了錯(cuò)誤的外部人員。

這個(gè)簡單的錯(cuò)誤會(huì)給個(gè)人和公司造成嚴(yán)重后果，他們必須向監(jiān)管機(jī)構(gòu)及其客戶報(bào)告該事件。實(shí)際上，五分之一的受訪者表示，他們的公司由于發(fā)送錯(cuò)誤的電子郵件而失去了客戶，而12%的員工失去了工作。

電子郵件安全事故的主要原因是疲勞(43%)，緊隨其后的是注意力分散(41%)。57%的受訪者表示，他們?cè)诩夜ぷ鲿r(shí)會(huì)更加分散注意力，突然轉(zhuǎn)向遠(yuǎn)程工作可能會(huì)使企業(yè)更容易受到人為錯(cuò)誤導(dǎo)致的安全事件的影響。

工作壓力如何影響網(wǎng)絡(luò)安全

報(bào)告的調(diào)查結(jié)果要求企業(yè)了解壓力和工作文化對(duì)人為錯(cuò)誤和網(wǎng)絡(luò)安全的影響，尤其是考慮到2020年的事件。員工透露，他們?cè)诔惺軌毫r(shí)會(huì)犯更多的錯(cuò)誤(52%)、疲倦(43%) 、分散注意力(41%)和快速工作(36%)。

因此，令人擔(dān)憂的是，有61%的受訪者表示他們的公司擁有強(qiáng)調(diào)奉獻(xiàn)精神的文化，使他們的工作時(shí)間超出了正常范圍，46%的員工則經(jīng)歷了職業(yè)倦怠。

企業(yè)還應(yīng)該注意全球疫情大流行以及居家遠(yuǎn)程辦公如何影響員工的福利以及與網(wǎng)絡(luò)安全的關(guān)系。

斯坦福大學(xué)教授，社會(huì)動(dòng)態(tài)專家杰夫·漢考克(Jeff Hancock)指出：“了解壓力如何影響行為對(duì)于改善網(wǎng)絡(luò)安全至關(guān)重要。”

2020年職場人士承受著前所未有的壓力，但更糟糕的是，黑客正在利用此漏洞。因此，企業(yè)需要對(duì)員工進(jìn)行培訓(xùn)，使他們了解黑客在這段時(shí)間利用壓力的方式以及人為錯(cuò)誤可能導(dǎo)致的安全事件。”

被忽視的年齡差異

報(bào)告顯示，不同年齡、性別和行業(yè)的人們，其網(wǎng)絡(luò)安全行為存在重大差異，“千篇一律”的網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)方法無法防止人為錯(cuò)誤事件的發(fā)生。調(diào)查結(jié)果包括：

• 18至30歲的員工中，有一半表示自己犯了可使公司網(wǎng)絡(luò)安全受到影響的錯(cuò)誤，而51歲以上的員工中只有10%。
• 18-30歲的年輕人中，有65%表示曾向錯(cuò)誤的收件人發(fā)送電子郵件，而51歲以上的人中只有34%的人發(fā)錯(cuò)電子郵件。
• 接受并點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件的員工中，有70%是年齡介于18至40歲之間的年輕人。相比之下，在51歲以上的人群中，只有8%的人表示自己做過同樣的事情。
• 科技行業(yè)的員工最有可能點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件中的鏈接，該行業(yè)的47%的受訪者承認(rèn)他們?cè)@樣做。緊隨其后的是銀行和金融業(yè)的員工(45%)。

Tessian首席執(zhí)行官Tim Sadler表示：“網(wǎng)絡(luò)安全培訓(xùn)需要尊重這樣一個(gè)事實(shí)，新一代員工的網(wǎng)絡(luò)安全行為模式大不相同，期望每個(gè)員工在任何時(shí)間段都能100%發(fā)現(xiàn)欺詐或做出正確的網(wǎng)絡(luò)安全決策也是不現(xiàn)實(shí)的。”

為了防止簡單的小錯(cuò)誤演變成嚴(yán)重的安全事件，企業(yè)必須在人的層面上優(yōu)先考慮網(wǎng)絡(luò)安全。這要求了解員工個(gè)人的行為，并針對(duì)性定制培訓(xùn)和政策，使安全網(wǎng)絡(luò)安全實(shí)踐成為企業(yè)文化的有機(jī)成分，而不是充滿儀式感的例行公事。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文