是時候以更積極的態(tài)度重新構(gòu)想員工培訓(xùn)了���,畢竟電子郵件安全問題基本就是人的問題����。
SANS研究所的調(diào)查顯示,近3/4的網(wǎng)絡(luò)釣魚、惡意軟件和勒索軟件攻擊都是通過電子郵件登堂入室的���。
很多網(wǎng)絡(luò)釣魚都是利用看起來合法的郵件誘騙受害者點擊惡意鏈接或打開附附件,從而往受害者系統(tǒng)中植入惡意軟件,為攻擊者盜取機密信息或徹底搞癱受害者的網(wǎng)絡(luò)。
另外還有攻擊者會黑掉電子郵件賬戶并冒充該賬戶擁有者向處在關(guān)鍵位置的員工發(fā)出指令����,指示其共享敏感數(shù)據(jù)或往指定銀行賬戶轉(zhuǎn)賬匯款�。
威瑞森《2018數(shù)據(jù)泄露調(diào)查報告》揭示�,公司企業(yè)因社會工程攻擊而發(fā)生數(shù)據(jù)泄露的可能性是因存在網(wǎng)絡(luò)漏洞的3倍。
美國中期選舉日漸臨近����,整個美國的競選工作人員及選舉官員都得警惕防范此類攻擊����。
但電子郵件黑客攻擊威脅不是一過性的東西�,每個政府機構(gòu)每天都要面對這一威脅。
在一月份的武裝部隊通信和電子協(xié)會會議上,美國國防信息系統(tǒng)局執(zhí)行主任 David Bennett 稱�,國防部電子郵件收件箱中每年都會涌入130億封有問題的郵件�,而且是未經(jīng)任何自動化掃描和檢測就躺到了郵箱里�。
其他政府機構(gòu)也大多注意到了電子郵件威脅,部署了電子郵件安全產(chǎn)品以保護自身。
但即便技術(shù)防護有所增強����,一個巨大的弱點依然存在:人類本身�。
威瑞森的調(diào)查顯示�,在網(wǎng)絡(luò)安全意識逐年上升的幫助下,如今78%的人不會去點擊網(wǎng)絡(luò)釣魚鏈接了。
不過,還有4%可能毫無戒心地點擊網(wǎng)絡(luò)釣魚鏈接或打開惡意附件���。
由于罪犯僅需騙到一個受害者就能滲透整個網(wǎng)絡(luò),4%這個數(shù)字還是太高了,令員工行為成為了電子郵件安全的首要風(fēng)險。
Barracuda 與 Dimensional Research 對全球630位電子郵件安全專業(yè)人員做了調(diào)查���,結(jié)果顯示不良員工行為比企業(yè)是否設(shè)置了正確的防御工具更令人擔(dān)憂���。
在調(diào)查中����,84%的受訪者將不良員工行為列為首要問題,工具不足僅占16%����。
雖然電子郵件依然是惡意軟件被投送到公司企業(yè)內(nèi)部的主要途徑���,但Slack這樣的協(xié)作平臺或 Google Drive 這種文件共享服務(wù)似乎正逐漸成為攻擊者利用的對象����,引起越來越多的關(guān)注。
而且,盡管大家都認為員工安全意識培訓(xùn)很重要�,卻只有77%的受訪者稱自家公司設(shè)置有培訓(xùn)項目�。
這種現(xiàn)象很不正常�,是時候以更積極的方法重新構(gòu)想員工培訓(xùn)了,必須將電子郵件安全主要作為人的問題而不是技術(shù)問題來對待。
以下4種方法可供參考。
1. 高度個性化當(dāng)前很多公司企業(yè)里的電子郵件安全培訓(xùn)項目往往內(nèi)容寬泛且流于形式����,通常都是由人力資源部門安排的非常教條的通用在線課程���。
但實際上�,安全培訓(xùn)項目應(yīng)該是根據(jù)每個員工的角色來定制的�,其內(nèi)容必須符合該員工負責(zé)的業(yè)務(wù)領(lǐng)域。
舉個例子,負責(zé)財務(wù)的人員往往就是網(wǎng)絡(luò)釣魚詐騙的目標對象����,黑客可能會偽裝成合法人員要求他們進行轉(zhuǎn)賬匯款���。
對這種位置上的員工進行培訓(xùn)����,就應(yīng)該特別注重解決此類威脅�。
安全培訓(xùn)項目中多一點個性化���,對教育每一位員工都有很大好處�。
2. 有大棒,也要有胡蘿卜電子郵件安全項目太容易搞成對淪為電子郵件欺詐受害者的的懲罰或羞辱���,對良好行為表現(xiàn)卻沒有任何獎勵。
但實際上����,主動向IT部門報告了可疑郵件的員工����,是應(yīng)該受到某種形式的承認的����,比如說,向全體員工推送表揚備忘����,或者直接給予禮品卡之類的物質(zhì)獎勵�。
電子郵件安全項目應(yīng)設(shè)法承認這些沒有點擊惡意鏈接的人����。
正向反饋是非常有效的。
3. 超越課堂式培訓(xùn)更好的戰(zhàn)術(shù)應(yīng)超越常規(guī)的課堂式教學(xué)(無論是教室上課還是網(wǎng)絡(luò)上課)�。
利用現(xiàn)實世界場景的實質(zhì)性培訓(xùn)才是更有力的工具����。
紅隊測試就是個好方法�,公司企業(yè)可以安排白帽子專家黑進網(wǎng)絡(luò),模擬一場攻擊����,來個攻防演習(xí)。
還可以利用大家都熟悉的高管賬號模擬賬號被黑攻擊,評估員工會如何響應(yīng)被黑賬號發(fā)來的請求���。
這種切身體驗式的方法可幫助公司企業(yè)及其員工更加了解自身抵御電子郵件攻擊的能力,效果比坐在教室里聽老師講課要好得多�。
4. 更多責(zé)任電子郵件安全培訓(xùn)項目的結(jié)果不應(yīng)該只是人力資源和安全團隊的職責(zé)范圍����,部門領(lǐng)導(dǎo)或辦公室主管都應(yīng)負有責(zé)任���。
這么做可以在公司范圍內(nèi)慢慢澆鑄一種“電子郵件安全人人有責(zé)”的氛圍�,也可有力支撐安全培訓(xùn)項目應(yīng)針對各個業(yè)務(wù)領(lǐng)域個性化定制的概念。
遵循了以上4步,政府機構(gòu)和公司企業(yè)便能更好地迎戰(zhàn)電子郵件安全威脅。
