人為錯(cuò)誤仍然是攻擊者進(jìn)行網(wǎng)絡(luò)滲透和數(shù)據(jù)泄露的最有效途徑。

SANS研究所安全中心周三發(fā)布了其年度安全意識(shí)報(bào)告，該報(bào)告基于1,000名信息安全專業(yè)人員的數(shù)據(jù)，其中發(fā)現(xiàn)員工及其缺乏安全培訓(xùn)仍然是數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的常見故障點(diǎn)。該報(bào)告還跟蹤了受訪者安全意識(shí)計(jì)劃的成熟度，及其在降低人為風(fēng)險(xiǎn)方面的有效性。

該網(wǎng)絡(luò)安全培訓(xùn)和教育組織表示：“今年的報(bào)告再次確定了我們?cè)谶^(guò)去三年中看到的情況：最成熟的安全意識(shí)計(jì)劃來(lái)自那些擁有最多人員致力于管理和支持它的企業(yè)?！?

“這些更大的團(tuán)隊(duì)更有效地與安全團(tuán)隊(duì)合作，以識(shí)別、跟蹤和優(yōu)先考慮他們的首要人為風(fēng)險(xiǎn)，并更加有效地參與、激勵(lì)和培訓(xùn)他們的員工來(lái)管理這些風(fēng)險(xiǎn)。”

SANS研究所的研究將成熟度分為五個(gè)級(jí)別，從最低到最高：不存在、以合規(guī)為重點(diǎn)、促進(jìn)意識(shí)和行為改變、長(zhǎng)期維持和文化改變，以及指標(biāo)框架。該報(bào)告發(fā)現(xiàn)，雖然大約400名受訪者表示他們的計(jì)劃促進(jìn)了意識(shí)和行為改變（這是所有成熟度級(jí)別中最高的響應(yīng)），但這一數(shù)字比上一年的報(bào)告下降了10%。

該報(bào)告還指出，雖然很多公司正在將資金投入昂貴的IT安全產(chǎn)品和投資，但企業(yè)的最佳投資可能是花錢培訓(xùn)和訓(xùn)練員工如何發(fā)現(xiàn)和阻止詐騙。

SANS研究所表示：“人已成為全球網(wǎng)絡(luò)攻擊者的主要攻擊媒介，因此人類現(xiàn)在對(duì)組織構(gòu)成最大風(fēng)險(xiǎn)，而非技術(shù)。安全意識(shí)計(jì)劃以及管理它們的專業(yè)人員是管理人類風(fēng)險(xiǎn)的關(guān)鍵。”

該研究發(fā)現(xiàn)，在公司面臨的最大威脅中，前三名中有兩個(gè)依賴于社會(huì)工程策略。網(wǎng)絡(luò)釣魚攻擊位居榜首，商業(yè)電子郵件泄露 (BEC) 攻擊位居第二，勒索軟件位居前三。

雖然勒索軟件攻擊可以通過(guò)腳本漏洞利用實(shí)現(xiàn)自動(dòng)化，但網(wǎng)絡(luò)釣魚和BEC需要攻擊者的“人情味”，他可以誘騙員工交出敏感的帳戶信息和路由號(hào)碼。該報(bào)告還指出，絕大多數(shù)勒索軟件攻擊都是從網(wǎng)絡(luò)釣魚電子郵件或利用弱密碼開始。

這就是為什么SANS表示公司需要投入更多資金來(lái)培訓(xùn)員工，以發(fā)現(xiàn)攻擊并在網(wǎng)絡(luò)漏洞發(fā)生之前將其切斷。為了做到這一點(diǎn)，SANS表示，企業(yè)需要重新考慮他們?nèi)绾芜M(jìn)行安全培訓(xùn)，以及為什么要對(duì)最終用戶和高管進(jìn)行培訓(xùn)，以了解他們接受培訓(xùn)的內(nèi)容以及培訓(xùn)的重要性。

該報(bào)告稱：“很多時(shí)候，安全意識(shí)被認(rèn)為是一種合規(guī)工作，或者安全意識(shí)專業(yè)人員被認(rèn)為是從事‘娛樂(lè)’業(yè)務(wù)，專注于讓員工對(duì)網(wǎng)絡(luò)安全感到興奮，但對(duì)企業(yè)商業(yè)利益沒(méi)有影響?！?/p>

“為了有效地吸引領(lǐng)導(dǎo)層，應(yīng)該關(guān)注并使用能引起他們共鳴的術(shù)語(yǔ)，并展示對(duì)他們戰(zhàn)略重點(diǎn)的支持?！?

SANS表示，部分問(wèn)題在于IT部門缺乏參與。該報(bào)告表明，在安全研究和報(bào)告上投入時(shí)間可以幫助高管和IT決策者了解培訓(xùn)和員工警惕的重要性。

SANS稱：“每月花兩到四個(gè)小時(shí)來(lái)收集有關(guān)你的意識(shí)計(jì)劃的影響和價(jià)值的指標(biāo)，并將其傳達(dá)給領(lǐng)導(dǎo)層?！?/p>

“這些信息可以包括非正式的指標(biāo)、既定的關(guān)鍵績(jī)效指標(biāo)，甚至是成功案例?！?/p>