Proofpoint在2022年早些時(shí)候發(fā)布的《2022年內(nèi)部威脅成本全球報(bào)告》顯示，因內(nèi)部人員導(dǎo)致的安全事件數(shù)量正在顯著增長(zhǎng)，而在這些事件當(dāng)中，有56%的比例是源自于員工疏忽，憑證管理問題是員工最容易出現(xiàn)的安全問題之一，有18%的威脅是源自于這一點(diǎn)。這些數(shù)據(jù)或多或少的表明一個(gè)事實(shí)，那就是安全是一個(gè)融合所有與企業(yè)關(guān)聯(lián)的人和事當(dāng)中。此前我們?cè)接?，企業(yè)應(yīng)對(duì)員工的安全意識(shí)和素養(yǎng)予以足夠高的重視，應(yīng)當(dāng)注重結(jié)果而非過程。（擴(kuò)展閱讀：《員工不應(yīng)成為企業(yè)安全建設(shè)短板 安全素養(yǎng)培訓(xùn)當(dāng)以結(jié)果為導(dǎo)向》），那么在現(xiàn)實(shí)情況中，我們身邊的企業(yè)對(duì)于這一問題的表現(xiàn)又是如何的呢？針對(duì)這一話題，我們與國(guó)內(nèi)專注于人員網(wǎng)絡(luò)安全意識(shí)教育領(lǐng)域的企業(yè)——北京紅山瑞達(dá)科技有限公司取得聯(lián)系，并邀請(qǐng)其副總經(jīng)理李翔一同來分享他們的一些心得。

　　企業(yè)對(duì)員工安全意識(shí)重視程度提升

　　安全教育與培訓(xùn)服務(wù)市場(chǎng)高速增長(zhǎng)

　　李翔表示，隨著安全事件的不斷爆發(fā)以及大型攻防演練活動(dòng)的推進(jìn)運(yùn)行，其中很多事件都表明，企業(yè)因員工缺乏安全意識(shí)而被攻擊者成功的以社工攻擊、釣魚攻擊等方式入侵的情況比比皆是，甚至引發(fā)一系列嚴(yán)重后果。無論是從新聞報(bào)道還是演練活動(dòng)的實(shí)戰(zhàn)體驗(yàn)中，企業(yè)對(duì)于員工可以成為整個(gè)安全建設(shè)中的薄弱環(huán)節(jié)這一情況有了較為深刻的認(rèn)知，對(duì)員工的安全意識(shí)和素養(yǎng)予以更高的重視已漸成企業(yè)安全建設(shè)中的一個(gè)趨勢(shì)。在從認(rèn)知到需求層面，李翔告訴我們，從紅山瑞達(dá)近幾年的服務(wù)情況看，所有類型的企業(yè)（包括國(guó)央企、民企、外企）對(duì)于網(wǎng)絡(luò)安全意識(shí)培訓(xùn)相關(guān)的服務(wù)需求都有增加。

　　反饋到市場(chǎng)層面，依據(jù)IDC在今年10月發(fā)布的《2022上半年中國(guó)IT安全服務(wù)市場(chǎng)跟蹤報(bào)告》顯示，2022上半年中國(guó)IT安全服務(wù)市場(chǎng)廠商整體收入約為12.25億美元（約合79.4億元人民幣），而IDC認(rèn)為，2022年上半年中國(guó)網(wǎng)絡(luò)安全服務(wù)市場(chǎng)實(shí)現(xiàn)增長(zhǎng)，主要由IT安全教育與培訓(xùn)服務(wù)市場(chǎng)和托管安全服務(wù)市場(chǎng)帶動(dòng)。其中，IT安全教育與培訓(xùn)服務(wù)市場(chǎng)今年上半年增速最快，規(guī)模同比增長(zhǎng)達(dá)到33%。IDC分析稱，認(rèn)證培訓(xùn)和安全實(shí)訓(xùn)演練測(cè)試平臺(tái)與服務(wù)市場(chǎng)，共同推動(dòng)IT安全教育與培訓(xùn)服務(wù)市場(chǎng)上半年實(shí)現(xiàn)高速增長(zhǎng)。

　　任何一個(gè)事情從理論到落地總會(huì)需要一個(gè)過程，而對(duì)事情的正確認(rèn)知能夠大大加快這一過程，綜合來看，企業(yè)一側(cè)在這方面整體表現(xiàn)令人頗為樂觀。但在這背后，是否也存在有一些其他的問題？

　　安全意識(shí)培訓(xùn)不能止于被動(dòng)式教育

　　需關(guān)注實(shí)戰(zhàn)中解決問題能力的訓(xùn)練

　　有了正確的認(rèn)知并付諸于行動(dòng)，是否就一定到位呢？答案顯然是否定的，就像網(wǎng)絡(luò)安全領(lǐng)域中很多企業(yè)在安全建設(shè)方面是以應(yīng)付合規(guī)的態(tài)度一樣，“很多企業(yè)目前仍只是停留在關(guān)注培訓(xùn)過程本身這件事情上，而對(duì)真正解決問題方面依然存在不足?！崩钕璞硎荆缟绻す?、釣魚攻擊等，企業(yè)很清楚這些對(duì)他們構(gòu)成了威脅，也會(huì)組織員工進(jìn)行有針對(duì)性的培訓(xùn)，但其中有部分企業(yè)還是習(xí)慣于將關(guān)注點(diǎn)放在這樣的活動(dòng)進(jìn)行了多少次、每次多少人參加等流于表面的形式。“在被動(dòng)式單向灌輸?shù)呐嘤?xùn)方式之下，很難收獲到安全意識(shí)培訓(xùn)這項(xiàng)工作的預(yù)期效果。以我們的經(jīng)驗(yàn)來看，哪怕是經(jīng)過不止一次這種培訓(xùn)的員工，在面對(duì)網(wǎng)絡(luò)釣魚攻擊時(shí)仍會(huì)上鉤?！?/p>

　　而這一結(jié)果相信對(duì)于培訓(xùn)的甲乙雙方而言，都是一種難以接受的結(jié)果，一方面是為員工培訓(xùn)付出不小成本的企業(yè)，仍會(huì)因?yàn)閱T工的安全意識(shí)問題而在相關(guān)的攻擊事件中蒙受損失；另一方面則是負(fù)責(zé)培訓(xùn)的一方恐怕也只能撈一個(gè)服務(wù)水平極其堪憂的負(fù)面評(píng)價(jià)。

　　“相比之下，一些更有危機(jī)意識(shí)的企業(yè)會(huì)更多從實(shí)戰(zhàn)的視角出發(fā)，理論知識(shí)教育要有，實(shí)戰(zhàn)行為演練更是要有?！崩钕枵劦剑t山瑞達(dá)推出的“防網(wǎng)絡(luò)釣魚模擬演練系統(tǒng)”也是基于這一理念，希望能夠令企業(yè)員工在安全意識(shí)培訓(xùn)之后，以一種接近于實(shí)戰(zhàn)的方式去考察培訓(xùn)成果，經(jīng)過長(zhǎng)期的實(shí)踐和迭代后，目前該系統(tǒng)可為不同行業(yè)、不同崗位提供有針對(duì)性的上千個(gè)訓(xùn)練場(chǎng)景，覆蓋郵件、短信、二維碼、WiFi乃至USB設(shè)備等多個(gè)可能被釣魚的領(lǐng)域。

　　紅山瑞達(dá)推出的網(wǎng)絡(luò)釣魚郵件仿真體驗(yàn)系統(tǒng)

　　實(shí)踐證明，在經(jīng)歷過多次防釣魚模擬演練的員工在實(shí)際工作中識(shí)別攻擊意識(shí)和能力顯著高于被動(dòng)式教育培訓(xùn)的員工。

　　安全培訓(xùn)也應(yīng)分事前、事中、事后三步走

　　談到企業(yè)應(yīng)如何做好網(wǎng)絡(luò)安全意識(shí)培訓(xùn)這一話題時(shí)，李翔坦率表示，“安全意識(shí)培訓(xùn)說容易也容易，但說難也難。一方面大家已經(jīng)不糾結(jié)于‘做還是不做’的問題，另一方面，人的水平是參差不齊的，要想將所有人的安全意識(shí)統(tǒng)一提升到某一個(gè)很高的水平，難度就會(huì)很大。”這一點(diǎn)也是我們所強(qiáng)調(diào)的，安全培訓(xùn)完成后要強(qiáng)調(diào)實(shí)戰(zhàn)訓(xùn)練之外，也還需關(guān)注“因材施教”的問題，因此，有效的安全意識(shí)培訓(xùn)也應(yīng)分為事前、事中以及事后三個(gè)步驟完成。

　　事前階段

　　該階段的目標(biāo)是完成對(duì)企業(yè)員工安全意識(shí)狀況的一個(gè)整體摸排，隨后根據(jù)企業(yè)的實(shí)際情況將不同級(jí)別的員工劃分成為數(shù)個(gè)組，以為接下來實(shí)施有針對(duì)性地安全意識(shí)培訓(xùn)工作提供幫助，其作用類似于病人到醫(yī)院的初診，醫(yī)生通過化驗(yàn)、檢查結(jié)果給出診斷書。具體來看，企業(yè)可以通過一套成熟的網(wǎng)絡(luò)安全意識(shí)測(cè)評(píng)，以問卷筆試+模擬測(cè)試方式進(jìn)行。對(duì)員工模擬測(cè)評(píng)的行為進(jìn)行記錄、統(tǒng)計(jì)和分析，最終得出員工網(wǎng)絡(luò)安全保密行為報(bào)告，這種方式就有利于企業(yè)準(zhǔn)確掌握內(nèi)部人員自身的安全風(fēng)險(xiǎn)狀況，為進(jìn)一步有針對(duì)性地提升人員安全意識(shí)提供決策依據(jù)。

　　事中階段

　　該階段是根據(jù)被測(cè)員工的安全意識(shí)水平和存在的問題，有針對(duì)性地制定方案并開展安全意識(shí)培訓(xùn)，其作用類似于醫(yī)生開藥和治療方案，開展治療。目的是要讓員工清晰的了解哪些不良習(xí)慣會(huì)導(dǎo)致企業(yè)遭受安全風(fēng)險(xiǎn)，并掌握一定的安全技能以應(yīng)對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)，進(jìn)而提升安全意識(shí)和相關(guān)能力水平?！翱紤]到培訓(xùn)對(duì)象大多都是沒有技術(shù)背景的，因此這種安全意識(shí)培訓(xùn)必須要以深入淺出的方式，將復(fù)雜的東西簡(jiǎn)單化，將專業(yè)的東西平?；员阌谒麄兝斫夂驼莆??！崩钕枵劦?，一定要讓他們真正理解那些自己所能接觸到的安全風(fēng)險(xiǎn)，才能有利于摒棄不良習(xí)慣，降低被社工、釣魚攻擊的風(fēng)險(xiǎn)。

　　事后階段

　　該階段是通過后期的實(shí)戰(zhàn)模擬演練檢驗(yàn)培訓(xùn)結(jié)果，其作用類似于病人吃了藥和治療后的復(fù)查。該階段類似于病人吃了藥和治療后的復(fù)查。目標(biāo)是通過后期以實(shí)戰(zhàn)的方式進(jìn)行模擬演練，讓接受培訓(xùn)的員工在面對(duì)近乎于真實(shí)的場(chǎng)景下去面對(duì)風(fēng)險(xiǎn)，以考察他們應(yīng)對(duì)風(fēng)險(xiǎn)的安全意識(shí)以及相關(guān)能力水平。這里值得注意的是，筆試作為培訓(xùn)成果的考核方式并無問題，但決不能以它作為考評(píng)的唯一成果。

　　員工缺乏安全意識(shí)是“慢性病”

　　如想改觀需做長(zhǎng)期準(zhǔn)備

　　在采訪的最后，李翔特別強(qiáng)調(diào)道：

　　“提高安全意識(shí)，無論是理論知識(shí)的培訓(xùn)還是模擬實(shí)戰(zhàn)的演練，在企業(yè)中應(yīng)當(dāng)作為一種常態(tài)化的工作，貫穿在企業(yè)發(fā)展和安全建設(shè)的整個(gè)過程。”

　　“針對(duì)員工的攻擊普遍都是利用人的弱點(diǎn)，想要實(shí)現(xiàn)100%規(guī)避的可能性較低，而且人的弱點(diǎn)會(huì)有反復(fù)。員工可能會(huì)在接受教育、培訓(xùn)的那段時(shí)間內(nèi)，在安全意識(shí)方面的確有提升，但若干時(shí)間之后（尤其是較長(zhǎng)時(shí)間沒有出現(xiàn)安全風(fēng)險(xiǎn)的情況下），他的安全意識(shí)極有可能會(huì)松懈，不良習(xí)慣也會(huì)再次出現(xiàn)?！崩钕柚赋?，“因此，提高員工安全意識(shí)這件事，我們要將它視作為一種‘慢性病’，要將培訓(xùn)、演練形成常態(tài)化，才能保障內(nèi)部員工在安全意識(shí)水平方面盡可能鞏固在較高水平，以降低企業(yè)面臨相關(guān)安全風(fēng)險(xiǎn)的可能性?！?/p>

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<