近在咫尺的危機(jī)

趙明

根據(jù)卡巴斯基實(shí)驗(yàn)室和B2B International 最新的報(bào)告《IT安全中的人為因素：?jiǎn)T工如何讓企業(yè)更容易遭受攻擊》，全球有40%的企業(yè)存在員工隱藏IT安全事故的情況。每年，有46%的IT安全事故是由企業(yè)員工造成的。我們必須在多個(gè)層面解決這一漏洞，而不僅僅是通過IT安全部門來解決。

無知的或大意的員工是最容易造成網(wǎng)絡(luò)安全事故的原因之一，僅次于惡意軟件。惡意軟件正在變得越來越復(fù)雜，但不幸的現(xiàn)實(shí)卻是，人為因素則可能造成更大的危險(xiǎn)。

特別在面臨針對(duì)性攻擊時(shí)，員工的粗心大意是企業(yè)網(wǎng)絡(luò)安全盔甲上最大的裂縫。高級(jí)黑客經(jīng)常可以使用定制的惡意軟件和高科技攻擊手段實(shí)施盜竊和攻擊，而且他們很可能會(huì)利用最容易的突破點(diǎn)開始攻擊，即利用人的本性。

根據(jù)研究，過去一年發(fā)生的針對(duì)企業(yè)的針對(duì)性攻擊中，有28%都在源頭上使用了釣魚或社交工程攻擊手段。例如，一名粗心大意的會(huì)計(jì)人員很可能會(huì)打開一個(gè)偽裝成發(fā)票的惡意文件，盡管這個(gè)文件看上去是來自某個(gè)承包商。這樣做，可能導(dǎo)致整個(gè)企業(yè)的基礎(chǔ)設(shè)施關(guān)閉，使得這名會(huì)計(jì)成為攻擊者的同謀，盡管他自己并不知情。

卡巴斯基實(shí)驗(yàn)室安全研究員大衛(wèi)·雅各比（David Jacoby）說：“網(wǎng)絡(luò)罪犯經(jīng)常利用員工作為入侵企業(yè)基礎(chǔ)設(shè)施的入口。釣魚郵件、弱密碼、假裝技術(shù)支持的來電等，這些手段我們都見過。即使丟失在辦公室停車場(chǎng)或秘書辦公桌旁邊的一個(gè)閃存盤也可能導(dǎo)致整個(gè)網(wǎng)絡(luò)被入侵——網(wǎng)絡(luò)罪犯只需要有不關(guān)注安全的內(nèi)部人員參與即可。一旦這些設(shè)備連接到企業(yè)網(wǎng)絡(luò)，就可能造成破壞?！?/p>

企業(yè)不會(huì)每天都遇到復(fù)雜的針對(duì)性攻擊，但是傳統(tǒng)的惡意軟件卻會(huì)大規(guī)模實(shí)施攻擊。不幸的是，研究還顯示，即使是惡意軟件感染事件，也經(jīng)常涉及不了解安全和粗心大意的員工，他們導(dǎo)致了53%的惡意軟件感染事件。

如果企業(yè)員工隱瞞涉及到自己的網(wǎng)絡(luò)安全事故，可能會(huì)導(dǎo)致更嚴(yán)重的后果，導(dǎo)致危害增加。即使一起未上報(bào)的事故也可能表明有規(guī)模更大的違規(guī)行為，安全團(tuán)隊(duì)需要快速確認(rèn)威脅，選擇正確的應(yīng)對(duì)策略。

但是，員工可能寧愿讓企業(yè)面臨風(fēng)險(xiǎn)，也不會(huì)上報(bào)問題，原因是害怕遭受懲罰，或者對(duì)于自己的過錯(cuò)而感到難堪。有些企業(yè)嚴(yán)格執(zhí)行規(guī)定，對(duì)員工施加額外責(zé)任，而不是鼓勵(lì)員工謹(jǐn)慎合作。這表明，網(wǎng)絡(luò)保護(hù)不僅在于技術(shù)領(lǐng)域，還在于企業(yè)的文化和培訓(xùn)。所以，企業(yè)的高級(jí)管理層和人力資源也需要參與進(jìn)來。

卡巴斯基實(shí)驗(yàn)室安全教育項(xiàng)目主管斯拉瓦·博麗靈（Slava Borilin）評(píng)論說：“隱瞞事故的問題不僅應(yīng)該傳達(dá)到員工，還要傳達(dá)到高層管理人員和人類資源部門。如果員工再隱瞞事故，肯定是有原因的。有些情況下，企業(yè)引入嚴(yán)格但不明確的政策，給員工施加了太大的壓力，警告他們不要這樣做，否則一旦出錯(cuò)，他們將承擔(dān)責(zé)任。這種政策會(huì)引起恐懼，而且會(huì)讓員工只有一個(gè)選擇，就是想盡辦法避免遭受處罰。如果企業(yè)的網(wǎng)絡(luò)安全文化從上到下是積極的，基于教育手段還不是限制手段，那結(jié)果將很明顯?！?/p>

博麗靈回顧了一個(gè)工業(yè)安全模式，其中報(bào)告和“從錯(cuò)誤中學(xué)習(xí)”方法是該企業(yè)的安全核心。例如，在Telsa的Elon Musk最新的聲明中，他要求所有關(guān)系員工安全的事件都直接上報(bào)給他，他將在解決問題和做出改變過程中發(fā)揮核心作用。

全球的企業(yè)已經(jīng)意識(shí)到員工會(huì)讓企業(yè)變得更易遭受攻擊這一問題：52%的受調(diào)查企業(yè)承認(rèn)員工是IT安全中最薄弱的一環(huán)。很明顯，實(shí)施以人為本的措施的越來越必要。35%的企業(yè)正在通過向員工提供培訓(xùn)來提高安全性，使其成為第二種最常用的防御手段，僅次于43%的計(jì)劃部署更復(fù)雜安全軟件的企業(yè)。

保護(hù)企業(yè)抵御同人為因素相關(guān)的網(wǎng)絡(luò)威脅的最好手段是將正確的工具和正確的做法結(jié)合起來。這需要人力資源部門和管理層的努力，激勵(lì)和鼓勵(lì)員工保持靜態(tài)，在遇到事故時(shí)尋求幫助。為員工提供安全意識(shí)培訓(xùn)，提供明確的準(zhǔn)則，而不是多頁(yè)文件，建立強(qiáng)大的技能和動(dòng)力，培育正確的工作氛圍，這些都是企業(yè)應(yīng)采取的第一步措施。

在安全技術(shù)方面，大多數(shù)針對(duì)不知情或粗心大意的員工的威脅，包括釣魚攻擊，都可以通過端點(diǎn)安全解決方案來應(yīng)對(duì)。這些解決方案可以滿足中小企業(yè)和大型企業(yè)在功能、預(yù)設(shè)保護(hù)和高級(jí)安全設(shè)置方面的需求，最大限度地減少企業(yè)面臨的風(fēng)險(xiǎn)。