很多时候,企业网络战略往往会忘记网络安全中的人为因素,从而可能导致更多的网络攻击和灾难性后果。
当我们想到企业级信息系统时,我们会想到一个由所有数字系统和工具组成的网络,这些系统和工具可以自动化信息的收集、分析和交流,以推动运营和业务决策。这可能包括企业的服务器、可能由人工智能驱动的软件以及数据收集和共享设备的网络,其中包括计算机和智能手机。
除了这些关键要素之外,还有一个经常被忽视的关键系统组件——相关人员。就像人们对信息系统的参与被忽视一样,企业也往往会忽视网络安全中的人为因素,可能会导致严重的后果。
让我们看一个假设的场景:
在度假期间,一家价值数十亿美元的公司的区域销售主管Jane在她的手机上收到了一封电子邮件。来自Bill,她办公室的IT管理员,她碰巧也很了解他。这封邮件首先为短暂中断她的假期而道歉,但表示有一些紧急的事情需要做。Bill要求Jane快速回复其专有CRM应用程序的登录凭据,因为似乎存在一些需要尽快修复的问题!而Jane,部分是毫无戒心,部分是想回到假期模式,输入对她的要求并点击“发送”。然后她继续她的假期。一周后,简回到工作岗位,震惊地发现公司包含数千名客户个人信息的CRM数据库被黑客入侵并泄露了信息。简没有注意到她收到的电子邮件,只是一次钓鱼网络尝试。
任何系统的安全性取决于其薄弱的环节。谈到企业网络安全,薄弱的环节恰好是参与系统的人。尽管组织安全系统随着时间的推移变得越来越智能,但组织安全系统也是如此。人工智能和机器学习算法在安全方面日益重要的作用确保了组织数据在不断变化的威胁下仍然受到保护。将现有的算法安全系统与区块链等技术相结合,可以使安全更加安全,至少在理论上是这样。
然而,需要注意的是,大多数网络攻击的成功都是由于网络安全中的“人为因素”造成的脆弱性。超过90%的成功网络攻击是由于网络钓鱼造成的,网络钓鱼利用了人们在区分真实通信和欺诈通信方面的无意识和判断力。这不仅证实了投资于最智能的安全系统并不能保证保护机密数据的事实。
事实上,企业组织正在大力投资网络安全,从2017年到2021年,全球网络安全支出估计将超过 1 万亿美元。为了完全保护数据免遭非法访问和丢失,投资于更智能的系统应该与让人们在安全方面更聪明。现在,不要误会我的意思。我所说的更聪明并不是质疑人们的智力或他们对数字安全的了解。
员工需要提高意识
在安全方面的智能意味着了解您从谁那里接收通信、您单击哪些链接或打开哪些附件、不同类型的网络犯罪和威胁,以及组织通信、隐私和安全政策。
对智能的需求不仅适用于设备、软件和这些设备的主要用户,还适用于整个组织金字塔。这包括较高领导层,他们不一定参与使用数据管理系统,但需要使用组织渠道进行内部沟通。加强数据安全应采取自上而下和自下而上的方法,以确保政策、技术和人员方面的漏洞最小。
更智能的安全措施
为了拥有一个强大的安全系统来保护企业范围的网络,组织不仅应该规划和投资于可用的较佳技术,而且还应该让他们的员工更加了解网络安全。以下实践可以帮助组织形成全面的威胁预防策略:
培训和意识计划:制定智能安全策略的第一步是确保所有员工了解网络安全的重要性,并教会他们在与IT基础设施交互和使用IT基础设施时遵守标准协议。应让员工了解企业信息系统安全可能受到损害的不同方式,以及它可能对组织和员工本身产生的严重影响。他们应该特别接受培训,以识别利用网络安全中的人为因素的网络钓鱼企图和其他网络攻击策略。这种培训应该旨在实现用户群中的实际行为改变,并且除了建立意识之外,还必须结构化这样做。通过进行后续测试(例如内部进行的网络钓鱼活动)来评估此类培训的有效性,将有助于改善未来的结果。
隔离内部和外部通信:在功能上可行的范围内将内部通信网络与外部通信网络隔离将防止恶意软件和其他传染性元素传播到关键系统。除了在基础设施上隔离内部和外部网络,即将关键系统与外部网络物理隔离之外,组织还应该标准化所有用户必须遵守的内部通信协议。组织还应建立标准的沟通渠道,以避免任何混淆和错误,例如打开可能导致安全漏洞的传染性链接。
入侵您自己的网络:道德黑客是入侵安全网络但没有任何恶意意图的程序员。组织可以让道德黑客入侵他们的网络以识别零日漏洞,即系统所有者以前不知道的漏洞。识别新的可能威胁将允许系统所有者修复它们,以免它们被不合格的未知攻击者利用。应尽早修复由此确定的漏洞或漏洞。
随着物联网(IoT)的引入和传播,从智能手机和智能手表到国家电网,物联网将所有可以想象的电子设备连接起来。随着每台设备添加到物联网网络,安全故障结果的风险和严重性都会增加。因此,现在是企业和其他组织改善网络安全中的技术和人为因素的较佳时机。