對(duì)于企業(yè)用戶，安全建設(shè)從來(lái)都不是一件輕松的事情，因?yàn)榧炔荒苤竿ㄟ^(guò)堆積安全設(shè)備就能解決所有問(wèn)題，也不能指望請(qǐng)幾個(gè)頂尖的安全專家就能保證自己安然無(wú)憂，畢竟安全實(shí)在過(guò)于復(fù)雜，除了外部威脅之外，還要將眼光放在那些不論是在辦公室，還是在任意地點(diǎn)辦公的員工們。

　　根據(jù)Proofpoint在2022年早些時(shí)候發(fā)布的《2022年內(nèi)部威脅成本全球報(bào)告》顯示，因內(nèi)部人員導(dǎo)致的安全事件數(shù)量正在顯著增長(zhǎng)，而在這些事件當(dāng)中，有56%的比例是源自于員工疏忽，憑證管理問(wèn)題是員工最容易出現(xiàn)的安全問(wèn)題之一，有18%的威脅是源自于這一點(diǎn)。另外，2022年5月國(guó)內(nèi)某知名互聯(lián)網(wǎng)企業(yè)遭受釣魚(yú)郵件攻擊事件可謂是一個(gè)典型，由此也引發(fā)了業(yè)內(nèi)的思考，包括員工在內(nèi)的企業(yè)內(nèi)部人員，怎么樣才能不會(huì)成為整個(gè)企業(yè)安全建設(shè)中的短板。

　　說(shuō)到這里，很多人都提到了安全培訓(xùn)，但所謂培訓(xùn)，指的是培養(yǎng)和訓(xùn)練，兩者其實(shí)缺一不可的。事實(shí)上，安全培訓(xùn)經(jīng)常被視作應(yīng)對(duì)包括網(wǎng)絡(luò)釣魚(yú)攻擊、惡意軟件或其他安全危害的有效方法，因?yàn)楹芏喙芾碚邥?huì)理所應(yīng)當(dāng)?shù)卣J(rèn)為，只要告訴內(nèi)部人員這個(gè)東西是危險(xiǎn)的，那個(gè)東西是一種威脅，然后他們就不會(huì)成為受害者，從而形成了對(duì)企業(yè)的防護(hù)。這種想法可能有點(diǎn)一廂情愿，因?yàn)樵谖覀兛磥?lái)，這幾乎就等同于告知行為，它對(duì)于企業(yè)的安全建設(shè)會(huì)有幫助嗎？肯定會(huì)，因?yàn)槟呐轮挥?%的成果我們也不能說(shuō)它是無(wú)用的，但從效果來(lái)看，相信它距離預(yù)期一定會(huì)比較遙遠(yuǎn)。

　　應(yīng)付差事的事情我們見(jiàn)得多了，因此難免也會(huì)有這種安全培訓(xùn)往往只是為了滿足一些企業(yè)的要求而不得不參與的情況，但實(shí)際效果如何呢？根據(jù)Egress此前發(fā)布的一份報(bào)告顯示，有98%的IT管理者表示，他們會(huì)在企業(yè)內(nèi)安排進(jìn)行安全培訓(xùn)，超過(guò)一半的受訪企業(yè)表示每年都會(huì)進(jìn)行幾次安全培訓(xùn)，甚至有近1/3的企業(yè)表示幾乎每個(gè)月都會(huì)有，而幾乎所有的受訪者認(rèn)為安全培訓(xùn)能夠帶來(lái)積極的變化。

　　但該報(bào)告的另外幾個(gè)調(diào)查選項(xiàng)的結(jié)果卻表現(xiàn)得有些“打臉”，有84%的受訪者承認(rèn)，在過(guò)去一年中他們是成功的網(wǎng)絡(luò)釣魚(yú)攻擊之下的受害者。而在原因方面也不出人意料——大多都是因?yàn)閮?nèi)部員工的行為。最常見(jiàn)的情況就是，員工被網(wǎng)絡(luò)釣魚(yú)郵件成功欺騙并做出錯(cuò)誤的行為，導(dǎo)致數(shù)據(jù)丟失、將企業(yè)信息發(fā)送到某個(gè)人賬戶等等。

　　這一結(jié)果也驗(yàn)證了結(jié)論——通常的安全培訓(xùn)并沒(méi)有起到有效減少安全事件的發(fā)生。同時(shí)可以看到，甚至連定期培訓(xùn)這種長(zhǎng)期一貫的方式也沒(méi)有收獲預(yù)期的成效。

　　如何才能提高安全培訓(xùn)的效果，讓其體現(xiàn)出應(yīng)有的價(jià)值，并進(jìn)而影響到整個(gè)企業(yè)所有人呢？在我們看來(lái)，應(yīng)主要聚焦于兩點(diǎn)：

　　所有的安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為導(dǎo)向

　　而不只是一項(xiàng)工作或統(tǒng)計(jì)數(shù)據(jù)

　　對(duì)員工進(jìn)行安全培訓(xùn)的目的要保持清晰，那就是為了幫助他們?cè)谖磥?lái)面臨可能出現(xiàn)的風(fēng)險(xiǎn)是能夠做出正確的選擇。因此，安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為考量，而不是在讓員工在安全培訓(xùn)的場(chǎng)地中簽到就算完成。應(yīng)當(dāng)以盡可能接近真實(shí)的風(fēng)險(xiǎn)狀況去考驗(yàn)培訓(xùn)成果，以確定企業(yè)內(nèi)部人員在經(jīng)過(guò)安全培訓(xùn)之后是否會(huì)讓自己的行為更加規(guī)范，這有這種良性的變化出現(xiàn)，才能認(rèn)為是有用的。

　　大體上看，這些行為主要包括能夠正確區(qū)分郵件類別，并對(duì)敏感郵件進(jìn)行如加密等防護(hù)性操作。同時(shí)，還會(huì)遵循常態(tài)化的安全規(guī)則，避免落入網(wǎng)絡(luò)釣魚(yú)郵件陷阱以及和后續(xù)可能會(huì)出現(xiàn)的一系列人為錯(cuò)誤。這些都可以通過(guò)測(cè)試來(lái)確定你的訓(xùn)練是否真的有積極的效果。

　　一般來(lái)說(shuō)，測(cè)試可以分為兩種形式：一種是公開(kāi)組織的，類似于中考、高考，無(wú)論如何都是一定要進(jìn)行的，人們對(duì)此也有預(yù)期；另一種則是投入在日常的工作之中，在真實(shí)場(chǎng)景中通過(guò)模擬測(cè)試的方式去進(jìn)行考察。

　　公開(kāi)組織的測(cè)試必須要有，可以和培訓(xùn)周期進(jìn)行配套，但不建議培訓(xùn)完成之后馬上進(jìn)行測(cè)試，而是間隔一段時(shí)間為宜。相比之下，真正需要加強(qiáng)的是在日常中的模擬測(cè)試，以觀察員工在日常工作當(dāng)中遭遇風(fēng)險(xiǎn)場(chǎng)景時(shí)是否能夠按培訓(xùn)內(nèi)容進(jìn)行應(yīng)對(duì)，這種方式更能檢驗(yàn)培訓(xùn)成果。

      基于對(duì)員工的安全評(píng)估結(jié)果

　　對(duì)不同群體進(jìn)行有針對(duì)性的安全培訓(xùn)

　　這一點(diǎn)也可以被視作為定制式的安全培訓(xùn)，雖然對(duì)于所有員工的安全培訓(xùn)是非常重要的，但由于每一個(gè)人經(jīng)歷、能力以及在企業(yè)內(nèi)的工作角色不同，為了保證安全培訓(xùn)的效果，我們建議如果有能力最好是根據(jù)情況進(jìn)行分類定制。

　　比如可以先期用一份通用的安全能力調(diào)查問(wèn)卷來(lái)評(píng)估所有員工的安全意識(shí)水平，然后根據(jù)員工的資歷和工作角色，確定他們?cè)馐茱L(fēng)險(xiǎn)的概率和級(jí)別，隨后進(jìn)行整體評(píng)估，以確定對(duì)不同員工群體進(jìn)行更有針對(duì)性的安全培訓(xùn)。

　　這里可以看出，初期的調(diào)查和評(píng)估對(duì)于后期的培訓(xùn)安全至關(guān)重要，這種相對(duì)較高成本的針對(duì)性安全培訓(xùn)能否起效，關(guān)鍵在于前期調(diào)查和評(píng)估是否準(zhǔn)確，如員工是否存在通過(guò)特殊權(quán)限在敏感系統(tǒng)或?qū)χ匾獢?shù)據(jù)等方面引發(fā)安全事件風(fēng)險(xiǎn)的可能；員工是否有隨意訪問(wèn)各類網(wǎng)絡(luò)信息（如打開(kāi)惡意網(wǎng)站或惡意郵件的附件等）的行為；員工對(duì)工作賬戶的口令管理態(tài)度是嚴(yán)格還是松懈等等。這些都將有利于準(zhǔn)確的評(píng)估相關(guān)員工應(yīng)該屬于哪一類以及應(yīng)著重進(jìn)行哪些方面的安全培訓(xùn)。

　　盡管這對(duì)于管理者而言提升了成本，但從總體來(lái)看，員工不會(huì)因?yàn)楸黄冉邮芘嘤?xùn)自己已掌握的東西而困倦甚至產(chǎn)生懈怠等消極心態(tài)，相信在收獲的效果方面也會(huì)對(duì)應(yīng)提升。

　　安全培訓(xùn)的價(jià)值和意義不言自明，它對(duì)于提升企業(yè)整體的安全水平有莫大幫助，但結(jié)合近期諸多結(jié)構(gòu)的報(bào)告結(jié)果，不及預(yù)期的居多。因此，還是應(yīng)當(dāng)抓住問(wèn)題的核心——一方面是教育培養(yǎng)，另一方面是實(shí)戰(zhàn)訓(xùn)練，兩方面其實(shí)是缺一不可的。

　　正如每次看到涉及大貨車的交通事故內(nèi)容時(shí)，下面總會(huì)有一堆人在評(píng)論“珍愛(ài)生命、遠(yuǎn)離大貨”，但他們知道應(yīng)該怎么做嗎？踩油門超越大貨車？那不等于是在快速接近嗎，談何遠(yuǎn)離？抑或是踩剎車?yán)_(kāi)距離，但這是否又會(huì)增加被追尾的概率？很多人都知道釣魚(yú)郵件中的東西不能點(diǎn)擊，但為什么還會(huì)有人做出了錯(cuò)誤的操作，也許他們?nèi)钡牟皇且庾R(shí)，而是如何準(zhǔn)確區(qū)分正常與風(fēng)險(xiǎn)，以及判斷接下來(lái)應(yīng)如何做，這些光靠理論教育必然是收效甚微的，如果不通過(guò)真實(shí)場(chǎng)景下去親身體會(huì)，員工恐怕仍不會(huì)真正掌握如何與這類風(fēng)險(xiǎn)對(duì)抗，自然也就把企業(yè)置于一種潛在風(fēng)險(xiǎn)之下。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<