網絡安全最大盲區:“人的漏洞”
在現代企業的網絡安全防御體系中,人員是最薄弱的環節,同時也是最不受重視的環節。換而言之,人員是黑客最容易突破和利用的“漏洞”,同時也是企業安全投入最少,提升最慢的短板。
GoSecurity公司2020年全球企業安全調查結果直觀地反映了這個問題:
長期以來,那些手套上鑲著半打零日漏洞寶石,頭上頂著三個博士帽的的國家級黑客,被認為是網絡空間最為危險的物種,而企業界也熱衷于采購最先進的網絡安全技術和方案,并試圖提高安全工具集成度和自動化水平。
但現實情況正如上述調查數據:最有效的網絡安全措施是提升員工安全意識,但員工安全意識培訓獲得的預算最少。
這導致一個全球性的網絡安全盲區和悖論:人員漏洞是最危險也最容易修復的漏洞(不需要昂貴的技術產品和頂尖技術人才),同時也是最難修復的漏洞(不被重視、缺乏預算)。
不難理解,聚焦最前沿網絡安全技術產品的RSAC2020網絡安全大會將“人的因素”作為大會主題。這為2020年網絡安全行業的發展主題定下基調:長期被忽視的人員安全意識和相關管理問題,已經成為網絡安全行業和企業界最大的“安全債”。
2020年網絡犯罪最顯著的趨勢就是產業化和“市場化”,“云犯罪”、“犯罪即服務”、“共享犯罪”、“事件犯罪”、“精準犯罪”等等,不斷拉低APT、勒索軟件、人工智能、僵尸網絡和BEC電子郵件等網絡攻擊技術門檻,讓更多善于利用“人的漏洞”的攻擊者如虎添翼,同時也讓企業網絡安全的短板——人員意識,面臨比過去更加復雜和危險的威脅。
2020年,潛在危害性和損失最為嚴重的安全威脅(例如勒索軟件和BEC郵件攻擊)和安全事件往往都與“人員漏洞”或內部威脅有關,從微盟刪庫到推特大規模賬戶劫持,從本田停產到全球超級計算機集體挖礦…疫情肆虐全球,遠程辦公在未來十年將成為“新常態”,當大批企業員工走出防火墻回到家中辦公,企業面臨的攻擊面成幾何級數放大,利用人的漏洞發起的網絡攻擊能夠輕易地癱瘓一家跨國公司的全球業務。
據華爾街日報報道,70%的企業擔心內部人員威脅。
員工仍然是網絡攻擊最大的安全威脅,但傳統的安全技術和措施無法有效減輕這種網絡威脅。
2020年,人依然是最大的漏洞
根據今年三月份綠盟科技發布的《2019安全事件響應觀察報告》,2019年1/3的安全事件與企業存在的安全管理疏忽或員工安全意識薄弱有關,在2019年處理的安全事件中,弱口令事件占比22%,釣魚郵件相關事件占比7%,配置不當事件占比3%,與人和管理相關的安全事件合計占總數的1/3,安全管理薄弱、員工安全意識不足的問題最易遭到攻擊者的利用。
2020年上半年,疫情導致的全球化遠程辦公進一步放大了來自“人的漏洞”的威脅,市場對安全意識服務的需求也開始快速增長。在美國這個全球最大的網絡安全市場,網絡安全意識教育領域的創業公司KnowBe4的年收入已經超過1億美元,在2020年一季度疫情期間業務同比增長了40%。
2020年,人為錯誤依然是數據泄露的主因
根據Tessian的一份報告,有33%的美國和英國的員工在工作中犯下安全錯誤,對自己或公司造成了網絡安全或數據安全威脅(下圖)。
報告指出,人為錯誤已成為當今數據泄露的主要原因,并進一步研究了人們為什么犯錯誤以及如何在犯錯誤之前預防:
人為錯誤對網絡安全的影響
當被問及犯了什么類型的錯誤時,四分之一的員工承認在工作中點擊了網絡釣魚電子郵件中的鏈接。31至40歲的員工點擊網絡釣魚電子郵件的可能性是51歲以上的員工的四倍,而男性單擊釣魚電子郵件的可能性是女性的兩倍。
47%的員工認為分心是網絡釣魚詐騙得手的主要原因。緊隨其后的原因是,該電子郵件看起來逼真合法(43%),其中41%的電子郵件偽裝成來自高級管理人員或知名品牌的電子郵件。
除了點擊惡意鏈接外,58%的員工還承認向錯誤的收件人發送了工作電子郵件,其中17%的電子郵件發送給了錯誤的外部人員。
這個簡單的錯誤會給個人和公司造成嚴重后果,他們必須向監管機構及其客戶報告該事件。實際上,五分之一的受訪者表示,他們的公司由于發送錯誤的電子郵件而失去了客戶,而12%的員工失去了工作。
電子郵件安全事故的主要原因是疲勞(43%),緊隨其后的是注意力分散(41%)。57%的受訪者表示,他們在家工作時會更加分散注意力,突然轉向遠程工作可能會使企業更容易受到人為錯誤導致的安全事件的影響。
工作壓力如何影響網絡安全
報告的調查結果要求企業了解壓力和工作文化對人為錯誤和網絡安全的影響,尤其是考慮到2020年的事件。員工透露,他們在承受壓力時會犯更多的錯誤(52%)、疲倦(43%) 、分散注意力(41%)和快速工作(36%)。
因此,令人擔憂的是,有61%的受訪者表示他們的公司擁有強調奉獻精神的文化,使他們的工作時間超出了正常范圍,46%的員工則經歷了職業倦怠。
企業還應該注意全球疫情大流行以及居家遠程辦公如何影響員工的福利以及與網絡安全的關系。
斯坦福大學教授,社會動態專家杰夫·漢考克(Jeff Hancock)指出:“了解壓力如何影響行為對于改善網絡安全至關重要。”
2020年職場人士承受著前所未有的壓力,但更糟糕的是,黑客正在利用此漏洞。因此,企業需要對員工進行培訓,使他們了解黑客在這段時間利用壓力的方式以及人為錯誤可能導致的安全事件。”
被忽視的年齡差異
報告顯示,不同年齡、性別和行業的人們,其網絡安全行為存在重大差異,“千篇一律”的網絡安全培訓和意識方法無法防止人為錯誤事件的發生。調查結果包括:
- 18至30歲的員工中,有一半表示自己犯了可使公司網絡安全受到影響的錯誤,而51歲以上的員工中只有10%。
- 18-30歲的年輕人中,有65%表示曾向錯誤的收件人發送電子郵件,而51歲以上的人中只有34%的人發錯電子郵件。
- 接受并點擊網絡釣魚電子郵件的員工中,有70%是年齡介于18至40歲之間的年輕人。相比之下,在51歲以上的人群中,只有8%的人表示自己做過同樣的事情。
- 科技行業的員工最有可能點擊網絡釣魚電子郵件中的鏈接,該行業的47%的受訪者承認他們曾這樣做。緊隨其后的是銀行和金融業的員工(45%)。
Tessian首席執行官Tim Sadler表示:“網絡安全培訓需要尊重這樣一個事實,新一代員工的網絡安全行為模式大不相同,期望每個員工在任何時間段都能100%發現欺詐或做出正確的網絡安全決策也是不現實的。”
為了防止簡單的小錯誤演變成嚴重的安全事件,企業必須在人的層面上優先考慮網絡安全。這要求了解員工個人的行為,并針對性定制培訓和政策,使安全網絡安全實踐成為企業文化的有機成分,而不是充滿儀式感的例行公事。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
