与网络安全相关的风险不断演变,但对于CISO来说,有一个挑战始终存在:管理人为错误。即使有先进的解决方案和复杂的协议,员工仍然会无意中将敏感数据和系统暴露给网络威胁。
根据Verizon 2024年的《数据泄露调查报告》(DIBR),该报告分析了2023年创纪录的30458起安全事件,其中包括10.626起确认的泄露事件——比前一年增加了一倍。显著的是,报告发现超过三分之二(68%)的事件归因于人为因素,这就是为什么CISO必须了解员工在采取危及安全的行动时背后的错误原因。
正如Cyttraction的CISO Carolin Desirée Toepfer所指出的:“从网络安全的角度来看,我们经常忘记的是:我们与之合作的人有着完全不同的背景、不同的日常工作和不同的技术使用方式。”
通过了解影响员工行为的心理因素,CISO可以更好地推动真正的风险意识并带来持久的行为改变。大多数问题归结为三个主要原因之一。
1. 他们不了解自己在防御中的角色
尽管进行了培训,但许多员工并未完全理解需要保持警惕作为第一道防线。相反,他们认为网络安全是IT部门的责任,因此在保护数据方面变得松懈。正如网络安全意识专家Itamar Shalev所解释的:“他们对点击可疑链接的警惕性不够,因为他们相信公司的安全系统能够阻止任何有害内容的通过。”
解决这个问题的一种方法是改变安全培训的形式和频率。Toepfer表示,这样做将有助于更好地传达保持一致警惕的重要性,并让员工有效吸收每个课程,而不是一次性被大量信息淹没。“不要一年只讨论一次这个话题,或者强迫同事参加意识培训,而是通过不同的方式、不同的链接和不同的渠道每年五到六次展示网络安全,”她说,并建议每隔几周向员工展示时长为3-15分钟的专门视频。
相关的问题是,用户往往不愿报告问题,因为他们害怕在采取了危及公司安全的行动后会面临后果,这种通知延迟延长了恶意行为者造成严重损害的时间。根据Verizon的DBIR,企业平均需要55天来修补关键漏洞,这段时间可能导致严重的损失,包括昂贵的勒索软件攻击和公司声誉的损害。
CISO可以通过进一步培养每个人都认识到自己在维护企业安全中的重要角色的文化来解决这个问题。与其通过点名羞辱来助长恐惧文化,CISO可以强调那些做出聪明安全决策并避免风险的人,作为榜样并将事件转化为学习经验。
2. 他们优先考虑方便而不是安全
人们天生倾向于在工作中寻找最快的途径,而这通常会为了方便而采取妥协安全的捷径。即使是技术员工也不例外,例如,导入来自公共库的库,假设这些库是安全的,但它们仍然用于传播恶意软件和窃取密码。
为了避免这些可能威胁系统的捷径,CISO可以实施自动化的 MFA 提示,以避免由于密码泄露带来的风险,并限制访问可能使数据面临风险的服务,包括GenAI 或可下载的代码库。CISO应提供一份安全替代方案列表,供公司的开发人员参考下载,这些替代方案已经过扫描和认证,不含恶意软件。
3. 他们遭受警报疲劳
网络安全顾问 Alexandre Blanc 解释说,人类在处理重复性任务时往往会进入自动驾驶模式,并忽略不断出现的警报。诈骗者利用这一点,将网络钓鱼尝试和其他攻击插入员工经常看到的数字消息中。
虽然可以对这些情况发出警报,但不断的通知流会导致警报疲劳。员工学会忽略这些警报,可能会忽视真正威胁的警告。
Verizon 在其 DBIR 中指出,“最有效的控制措施通常是利用人类因素与技术资源相结合的控制措施。”好消息是,公司正在认识到这一事实。因此,Shalev 表示,许多公司已经开始应用“行为科学技术,如提示和提醒,以鼓励期望的安全行为。”这些提示可以促使员工在采取行动之前暂停并评估数字请求的合法性——而不会导致警报疲劳。
Blanc 建议向员工提供以下三个问题以进行思考:
1. 为什么我会收到这条消息或信息请求?
2. 是我自己要求的吗?
3. 我能通过其他渠道验证这个请求吗?
用户应使用带外通信进行验证,以防止攻击和诈骗。通过预先确定为合法的电话号码或电子邮件联系这些业务,是确定消息是否由其声称的实体授权的好方法。
虽然 CISO 无法完全消除所有人为风险,但他们可以通过制定解决不良决策背后心理驱动因素的策略,显著减少事件发生并促进网络安全意识文化的形成。通过建立透明且注重责任的文化,安全领导者可以培养参与度高且信息丰富的员工,使他们能够作为网络安全防御的第一道防线。
