軟件安全專家Hugh Thompson指出，企業往往過于依賴安全技術，而忽視“人類防火墻”對安全的影響。在接受SearchSecurity.com采訪時，Thompson解釋說社會工程攻擊讓員工很難辨別合法郵件和那些誘騙用戶透露敏感數據的郵件。

數據丟失防護、Web過濾和反惡意軟件技術能夠提高安全保護，但Thompson表示，企業應該致力于在企業內部營造一種安全意識的文化，這可以讓員工成為安全保護的最后一道防線。

IT安全團隊需要平衡風險緩解工作和員工工作效率，確保員工可以使用他們喜歡的工具來完成工作，同時保護敏感數據的安全。Thompson表示，從數據管理的角度來看，文件共享服務、網絡郵件、社交網絡和其他在線協作工具帶來了有趣的挑戰。

Thompson目前是網絡安全廠商Blue Coat公司的首席安全戰略師兼高級副總裁，他同時也是RSA大會程序委員會主席。他還是安全意識和安全編碼培訓公司People Security的首席安全戰略師。

在數據泄露事故中，我們經常能夠看到社會工程的身影。在某些情況下，攻擊者甚至不需要利用軟件漏洞，他們只需要誘騙員工透露其賬戶登錄信息，就能入侵系統。這方面的用戶教育很失敗嗎？

Hugh Thompson：這正是目前安全領域的關鍵問題，即安全的人員因素。如果你是一名試圖入侵某企業系統的攻擊者，你是愿意花幾周時間甚至幾個月的時間來尋找他們系統中的特定未知漏洞，還是嘗試社會工程攻擊？通過社交網站查找特定員工的信息，然后給這些員工打電話或者發送電子郵件。你當然會選擇后者，因為它更加容易。

現在的問題是，大多數人每天在選擇信任或者不信任某些事物時，并沒有考慮到安全風險問題。而且這種信任/不信任的選擇變得比以前更加復雜。在過去，我們很容易判斷某個人是否在騙你。而現在，這些通過電子郵件或者網站的欺騙信息非常枯燥，就像我們每天必須處理的所有其他枯燥的東西一樣，我們越來越難以分辨攻擊信息和合法信息。我認為我們碰到這個信任危機問題是因為，即使是受過教育、具有安全意識且中度偏執的人，也更難判斷好網站和不良網站或者合法郵件和不良郵件。我認為，教育仍然很重要，但企業還需要部署工具來幫助用戶做出判斷。

IT安全團隊未能創造一種安全文化嗎？在企業內發展一種安全意識的文化需要很長時間嗎？

Thompson：在安全行業，這是個有爭議的話題。我是一個樂觀者，也是教育者，我的觀念是對于安全問題，人們的防御能力是可以提高的。如果給他們提供合適的教育機會，即在合適時間進行合適培訓，那么，隨著時間的推移，他們面對攻擊時，能夠變得更靈活更具防御性。但如果你去跟一些首席安全官交談，他們可能會告訴你他們糟糕的培訓經歷，隨后他們放棄了，而只是保證合規工作。當發生這種情況時，這意味著你的企業已經走上一條危險的道路。

這條危險的道路是什么樣的？

Thompson：不努力提高員工的安全防范意識的話，你將完全依賴于第三方工具或者加強環境中的安全控制。我認為現在這種人類防火墻變得越來越重要，這種防火墻意味著當你點擊或安裝從未見過的瀏覽器插件或事物時，你腦海中會出現的想法和安全意識。另外，你的企業和風險之間的安全控制非常重要，它們管理web，同時我也認為，你腦子里的安全意識也變得越來越重要，它們決定信任/不信任。

想一想像DLP這樣的技術，這種技術非常善于解決特殊用途的問題，以及查找結構化數據以確定這些數據是否將被發送到不對的位置。但你可以假設有一些非常想得到這些數據（例如社會安全號碼等）的攻擊者，他們意識到某種DLP軟件正在環境中運行。他們可能會創造某種高度定制化的社會工程攻擊，發送紙質的郵件給受害者，要求他們填寫表格中的信息，然后通過郵件寄回。這不僅不需要正面攻擊DLP系統，甚至不需要接觸這個技術。面對這種社會工程攻擊的危害，我們有必要打造人類防火墻，這是我們在安全行業中最大的挑戰之一。