谷歌不希望你必須考慮網絡安全,類似于我們對呼吸的思考,這聽起來像個好主意。然而,在我從事以色列國防軍情報部隊的幾年中,到我在政府國家網絡局工作多年的時間 - 在那里我與世界上受攻擊最嚴重的組織之一,以色列電力公司 - 我我們了解到,僅僅信任技術絕不是一個好選擇。
在網絡安全方面,您的員工是您的第一道防線,根據Verizon的2018年數據泄露調查報告,幾乎五分之一(17%)的違規行為是由人為錯誤引起的。教育員工,防止和應對違規行為,應該是您的組織關注的焦點。
更廣泛地看待網絡培訓
培訓和教育的增加需要在組織的每個層面 - 從郵件收發室到董事會 - 來解決金融,保險,能源和關鍵基礎設施部門日益增加的脆弱性 - 而不是依賴科技巨頭的反應式方法。隨著在線威脅變得更加復雜,復雜和多方面,未經培訓的員工變得比以往任何時候都更具安全風險。
網絡安全知識不僅僅是IT或OT部門的責任,而是整個組織的責任。培訓員工如何在網絡攻擊之前和期間采取行動對于任何組織的網絡防御都是必不可少的。即使一個員工或經理打開一個看起來無辜的惡意電子郵件附件,整個組織也可能會受到攻擊,無論您在網絡安全技術中投入多少精力和金錢。
一個例子:勒索軟件
勒索軟件或任何其他社會工程攻擊需要做出關鍵的快速決策,例如是否支付贖金,何時發布公開聲明以及與相關機構共享信息。還有許多決定和方面需要注意以準備對抗此類攻擊。在2017年高度宣傳的WannaCry流行病中,人為因素在全球組織的脆弱性中發揮了重要作用。盡管在初始攻擊之前發布了阻止WannaCry感染計算機所需的補丁,但全球許多系統都沒有打補丁,導致病毒迅速傳播。
高級管理人員,特別是首席信息安全官,負責制定最終的網絡安全決策,但在攻擊的陣痛中,可以在全球范圍內做出多個同步決策。為了確保組織中的每個人都在同一頁面上,高級領導層需要確保組織的政策和程序從上到下清晰。此外,還可以讓員工了解當前的網絡安全趨勢并了解其最新動態。根據CompTIA的2018年網絡安全趨勢報告,36%的受訪者表示對新安全威脅的理解不足是改變其IT安全方法的障礙,而28%的受訪者認為對當前安全趨勢的理解不足是一個障礙。
了解人們如何應對網絡安全漏洞與防范網絡攻擊一樣重要。超越技術的程序可以平衡人們的政策和技術。確保每位員工都了解基本知識。最好的網絡安全防御是做出決策的能力。在風險管理和應對網絡攻擊方面,快速決策和網絡安全知識比任何技術都更重要。
人類在前線
人類是預防和緩解網絡攻擊的最薄弱環節,而最好的防御措施是測試和培訓人們的安全政策,技術和工具。當前網絡安全的趨勢是重建一個真實的工作環境,讓員工處于他們必須防范的非常真實的網絡攻擊之中。全球各地的企業正在簽約員工,以抵御網絡攻擊的實際操作風險。在現實生活中,理論符合實踐 - 具有現實世界的后果。
全球員工,從初級到CEO和董事,都是第一道防線。他們越來越多地被要求了解預防和減輕網絡攻擊的基礎知識,并接受這些方法的培訓。過去,網絡安全并不是普通員工日常關注的問題。安全任務被委派給IT團隊。但是,整個組織中任何員工的一個錯誤都是非常昂貴的。
這就是為什么今天的公司要對組織的各個層面進行壓力測試和培訓,以深入了解網絡威脅形勢,他們可能面臨的攻擊類型以及這些攻擊可能產生的影響。在安全的環境中,一種全面的,組織范圍的方法,將人們與政策和技術聯系起來并進行培訓,是為下一波不可避免的網絡攻擊做好準備,使您的企業做好最具影響力,最長期和最真實的方式。
如果我能為您提供三個改進網絡戰略的技巧,那么它們將是:
人們應該是您的首要任務 - 他們是您企業資產的守護者。投資他們的知識和表現。它將獲得巨大回報。
策略是動態的 - 始終檢查,測試和重新檢查它們。重寫任何需要更新的東西,然后重新開始。
了解你的敵人 - 永遠不要停止教育和了解每個被發現的攻擊和攻擊策略。我不能說得更清楚。知識確實是我們業務的救命因素。
