最近筆者的郵箱充斥著各種IT供應商的信件聲稱自己的產(chǎn)品是防止類似索尼數(shù)據(jù)泄露事故的“靈丹妙藥”，但現(xiàn)實是，并沒有靈丹妙藥。但這并不意味著你沒有辦法防止你的公司淪為網(wǎng)絡(luò)罪犯的受害者。重要的需要認識的是，有些數(shù)據(jù)泄露事故可能幾乎不可能阻止，但這只是少數(shù)。

[[125407]]

首先，你要知道的是，雖然你不能通過技術(shù)完全解決數(shù)據(jù)泄露問題，你還是應該繼續(xù)使用現(xiàn)有的技術(shù)(包括防火墻、電子郵件篩選設(shè)備、反惡意軟件和類似產(chǎn)品)來保持控制。這些技術(shù)確實有所幫助。通過利用最好的產(chǎn)品，你至少可以阻止大部分惡意攻擊，讓你可以專注于其他方面。

其次，雖然幾乎所有數(shù)據(jù)泄露事故都是因為可信員工或承包商犯錯誤的結(jié)果，但你不能認為他們很愚蠢，而無法預防泄露事故。

KnowBe4首席執(zhí)行官Stu Sjouwerman表示，“他們只是在另一個領(lǐng)域訓練有素的人，但企業(yè)不能簡單地認為這些安全問題是愚蠢的用戶無法避免的問題，“要知道，愚蠢的用戶可能是CFO。”

他的觀點是，企業(yè)中很多員工并沒有接受過IT方面的培訓;或者安全方面的培訓，他們不一定會認識到安全威脅。

戰(zhàn)略與國際研究中心的副主任Denise Zheng稱：“沒有辦法對愚蠢的用戶打補丁。”Sjouwerman并不認同。事實是，對于在如何響應網(wǎng)絡(luò)威脅方面犯錯誤的用戶，企業(yè)是可以打補丁的，即培訓，這并不需要太困難或者昂貴。只是需要連續(xù)培訓。Sjouwerman的建議也得到很多安全專家的認同，他們認為，為了確保安全計劃的有效性，這需要涉及使用網(wǎng)絡(luò)的人。

雖然很明顯，你企業(yè)的員工是安全薄弱點，但我們也有辦法來減小(如果不能消除的話)這個問題，并且，這并不意味著你需要解雇所有員工。這就是說，企業(yè)應該開展基本的一對一安全培訓，讓企業(yè)每個員工都了解安全威脅是什么樣。他表示，這并不是茶話會式的年度安全講座。

這需要員工與IT人員坐下來，了解實際網(wǎng)絡(luò)釣魚電子郵件長什么樣，他們可以如何發(fā)現(xiàn)安全威脅在透支其銀行賬戶。而且，還需要實際操作。這種一對一安全培訓應該對每個新員工開展。

Sjouwerman解釋說：“你至少可以在員工入職時進行安全意識培訓，然后進行定期模擬網(wǎng)絡(luò)釣魚攻擊。”他表示，這種網(wǎng)絡(luò)釣魚模擬攻擊可以使用真正的網(wǎng)絡(luò)釣魚郵件，而將原有惡意鏈接替換為通知IT的鏈接(當有人點擊時)。這樣一來，員工就知道網(wǎng)絡(luò)釣魚攻擊是怎么回事，這可以幫助他們在未來避免這種攻擊。

另外值得一提的是，還需要得到管理層的支持。雖然有效的安全培訓并不一定要花費很多時間，但這確實需要一定的時間和費用，因此，這需要管理層的關(guān)注。

重要的是，所有員工都應該得到最初的安全培訓，然后重復的培訓。網(wǎng)絡(luò)罪犯通常瞄準高層管理人員，因為他們能夠訪問罪犯最想要竊取的數(shù)據(jù)。而在攻擊的最開始，他們通常會瞄準最容易攻擊的對象，即那些沒有得到很好培訓的人員。