對于企業(yè)用戶，安全建設(shè)從來都不是一件輕松的事情，因為既不能指望通過堆積安全設(shè)備就能解決所有問題，也不能指望請幾個頂尖的安全專家就能保證自己安然無憂，畢竟安全實在過于復(fù)雜，除了外部威脅之外，還要將眼光放在那些不論是在辦公室，還是在任意地點辦公的員工們。

　　根據(jù)Proofpoint在2022年早些時候發(fā)布的《2022年內(nèi)部威脅成本全球報告》顯示，因內(nèi)部人員導(dǎo)致的安全事件數(shù)量正在顯著增長，而在這些事件當(dāng)中，有56%的比例是源自于員工疏忽，憑證管理問題是員工最容易出現(xiàn)的安全問題之一，有18%的威脅是源自于這一點。另外，2022年5月國內(nèi)某知名互聯(lián)網(wǎng)企業(yè)遭受釣魚郵件攻擊事件可謂是一個典型，由此也引發(fā)了業(yè)內(nèi)的思考，包括員工在內(nèi)的企業(yè)內(nèi)部人員，怎么樣才能不會成為整個企業(yè)安全建設(shè)中的短板。

　　說到這里，很多人都提到了安全培訓(xùn)，但所謂培訓(xùn)，指的是培養(yǎng)和訓(xùn)練，兩者其實缺一不可的。事實上，安全培訓(xùn)經(jīng)常被視作應(yīng)對包括網(wǎng)絡(luò)釣魚攻擊、惡意軟件或其他安全危害的有效方法，因為很多管理者會理所應(yīng)當(dāng)?shù)卣J(rèn)為，只要告訴內(nèi)部人員這個東西是危險的，那個東西是一種威脅，然后他們就不會成為受害者，從而形成了對企業(yè)的防護(hù)。這種想法可能有點一廂情愿，因為在我們看來，這幾乎就等同于告知行為，它對于企業(yè)的安全建設(shè)會有幫助嗎？肯定會，因為哪怕只有1%的成果我們也不能說它是無用的，但從效果來看，相信它距離預(yù)期一定會比較遙遠(yuǎn)。

　　應(yīng)付差事的事情我們見得多了，因此難免也會有這種安全培訓(xùn)往往只是為了滿足一些企業(yè)的要求而不得不參與的情況，但實際效果如何呢？根據(jù)Egress此前發(fā)布的一份報告顯示，有98%的IT管理者表示，他們會在企業(yè)內(nèi)安排進(jìn)行安全培訓(xùn)，超過一半的受訪企業(yè)表示每年都會進(jìn)行幾次安全培訓(xùn)，甚至有近1/3的企業(yè)表示幾乎每個月都會有，而幾乎所有的受訪者認(rèn)為安全培訓(xùn)能夠帶來積極的變化。

　　但該報告的另外幾個調(diào)查選項的結(jié)果卻表現(xiàn)得有些“打臉”，有84%的受訪者承認(rèn)，在過去一年中他們是成功的網(wǎng)絡(luò)釣魚攻擊之下的受害者。而在原因方面也不出人意料——大多都是因為內(nèi)部員工的行為。最常見的情況就是，員工被網(wǎng)絡(luò)釣魚郵件成功欺騙并做出錯誤的行為，導(dǎo)致數(shù)據(jù)丟失、將企業(yè)信息發(fā)送到某個人賬戶等等。

　　這一結(jié)果也驗證了結(jié)論——通常的安全培訓(xùn)并沒有起到有效減少安全事件的發(fā)生。同時可以看到，甚至連定期培訓(xùn)這種長期一貫的方式也沒有收獲預(yù)期的成效。

　　如何才能提高安全培訓(xùn)的效果，讓其體現(xiàn)出應(yīng)有的價值，并進(jìn)而影響到整個企業(yè)所有人呢？在我們看來，應(yīng)主要聚焦于兩點：

　　所有的安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為導(dǎo)向

　　而不只是一項工作或統(tǒng)計數(shù)據(jù)

　　對員工進(jìn)行安全培訓(xùn)的目的要保持清晰，那就是為了幫助他們在未來面臨可能出現(xiàn)的風(fēng)險是能夠做出正確的選擇。因此，安全培訓(xùn)應(yīng)當(dāng)以結(jié)果為考量，而不是在讓員工在安全培訓(xùn)的場地中簽到就算完成。應(yīng)當(dāng)以盡可能接近真實的風(fēng)險狀況去考驗培訓(xùn)成果，以確定企業(yè)內(nèi)部人員在經(jīng)過安全培訓(xùn)之后是否會讓自己的行為更加規(guī)范，這有這種良性的變化出現(xiàn)，才能認(rèn)為是有用的。

　　大體上看，這些行為主要包括能夠正確區(qū)分郵件類別，并對敏感郵件進(jìn)行如加密等防護(hù)性操作。同時，還會遵循常態(tài)化的安全規(guī)則，避免落入網(wǎng)絡(luò)釣魚郵件陷阱以及和后續(xù)可能會出現(xiàn)的一系列人為錯誤。這些都可以通過測試來確定你的訓(xùn)練是否真的有積極的效果。

　　一般來說，測試可以分為兩種形式：一種是公開組織的，類似于中考、高考，無論如何都是一定要進(jìn)行的，人們對此也有預(yù)期；另一種則是投入在日常的工作之中，在真實場景中通過模擬測試的方式去進(jìn)行考察。

　　公開組織的測試必須要有，可以和培訓(xùn)周期進(jìn)行配套，但不建議培訓(xùn)完成之后馬上進(jìn)行測試，而是間隔一段時間為宜。相比之下，真正需要加強的是在日常中的模擬測試，以觀察員工在日常工作當(dāng)中遭遇風(fēng)險場景時是否能夠按培訓(xùn)內(nèi)容進(jìn)行應(yīng)對，這種方式更能檢驗培訓(xùn)成果。

      基于對員工的安全評估結(jié)果

　　對不同群體進(jìn)行有針對性的安全培訓(xùn)

　　這一點也可以被視作為定制式的安全培訓(xùn)，雖然對于所有員工的安全培訓(xùn)是非常重要的，但由于每一個人經(jīng)歷、能力以及在企業(yè)內(nèi)的工作角色不同，為了保證安全培訓(xùn)的效果，我們建議如果有能力最好是根據(jù)情況進(jìn)行分類定制。

　　比如可以先期用一份通用的安全能力調(diào)查問卷來評估所有員工的安全意識水平，然后根據(jù)員工的資歷和工作角色，確定他們遭受風(fēng)險的概率和級別，隨后進(jìn)行整體評估，以確定對不同員工群體進(jìn)行更有針對性的安全培訓(xùn)。

　　這里可以看出，初期的調(diào)查和評估對于后期的培訓(xùn)安全至關(guān)重要，這種相對較高成本的針對性安全培訓(xùn)能否起效，關(guān)鍵在于前期調(diào)查和評估是否準(zhǔn)確，如員工是否存在通過特殊權(quán)限在敏感系統(tǒng)或?qū)χ匾獢?shù)據(jù)等方面引發(fā)安全事件風(fēng)險的可能；員工是否有隨意訪問各類網(wǎng)絡(luò)信息（如打開惡意網(wǎng)站或惡意郵件的附件等）的行為；員工對工作賬戶的口令管理態(tài)度是嚴(yán)格還是松懈等等。這些都將有利于準(zhǔn)確的評估相關(guān)員工應(yīng)該屬于哪一類以及應(yīng)著重進(jìn)行哪些方面的安全培訓(xùn)。

　　盡管這對于管理者而言提升了成本，但從總體來看，員工不會因為被迫接受培訓(xùn)自己已掌握的東西而困倦甚至產(chǎn)生懈怠等消極心態(tài)，相信在收獲的效果方面也會對應(yīng)提升。

　　安全培訓(xùn)的價值和意義不言自明，它對于提升企業(yè)整體的安全水平有莫大幫助，但結(jié)合近期諸多結(jié)構(gòu)的報告結(jié)果，不及預(yù)期的居多。因此，還是應(yīng)當(dāng)抓住問題的核心——一方面是教育培養(yǎng)，另一方面是實戰(zhàn)訓(xùn)練，兩方面其實是缺一不可的。

　　正如每次看到涉及大貨車的交通事故內(nèi)容時，下面總會有一堆人在評論“珍愛生命、遠(yuǎn)離大貨”，但他們知道應(yīng)該怎么做嗎？踩油門超越大貨車？那不等于是在快速接近嗎，談何遠(yuǎn)離？抑或是踩剎車?yán)_距離，但這是否又會增加被追尾的概率？很多人都知道釣魚郵件中的東西不能點擊，但為什么還會有人做出了錯誤的操作，也許他們?nèi)钡牟皇且庾R，而是如何準(zhǔn)確區(qū)分正常與風(fēng)險，以及判斷接下來應(yīng)如何做，這些光靠理論教育必然是收效甚微的，如果不通過真實場景下去親身體會，員工恐怕仍不會真正掌握如何與這類風(fēng)險對抗，自然也就把企業(yè)置于一種潛在風(fēng)險之下。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<