AwareGo 的行為科學專家 Maia Bada 博士在Infosecurity?Europe 2022第 2 天的主題演講中表示，利用終端用戶行為分析來增強員工的網(wǎng)絡(luò)安全意識計劃對于防御網(wǎng)絡(luò)威脅至關(guān)重要 。

Bada 強調(diào)，據(jù)數(shù)據(jù)顯示，85% 的成功網(wǎng)絡(luò)攻擊是因用戶遭受網(wǎng)絡(luò)釣魚等社會工程攻擊而產(chǎn)生的。盡管如此，組織仍然傾向于過度關(guān)注技術(shù)和流程，而不是人為因素。“我們還需要識別、衡量和補救人類風險因素，”她說。

新冠疫情的發(fā)生使這個問題變得更加嚴峻，例如在不安全的網(wǎng)絡(luò)中工作和更多地使用個人設(shè)備。因此，加強對員工的網(wǎng)絡(luò)安全意識培訓(xùn)至關(guān)重要。這種培訓(xùn)應(yīng)該對員工的行為產(chǎn)生長期的影響，包括態(tài)度和心態(tài)。“這是一個漫長的過程，而不是一次性的培訓(xùn)，”Bada 評論道。

組織經(jīng)常使用的方法是網(wǎng)絡(luò)釣魚模擬，但這些方法經(jīng)常被使用不當，導(dǎo)致安全疲勞和恐懼等問題。例如，Bada 引用了一個案例，組織中的員工將所有電子郵件都視為網(wǎng)絡(luò)釣魚，拒絕打開或回復(fù)任何進入他們收件箱的郵件。

一個主要挑戰(zhàn)是評估意識培訓(xùn)的有效性，并了解它在改變組織文化方面的有效性。這樣公司可以根據(jù)員工的不同關(guān)注點定制個性化的培訓(xùn)計劃。例如，為不同的部門量身定制，如人力資源、財務(wù)和安全。

Bada 表示，分析顯示應(yīng)該尋求提供有關(guān)四個關(guān)鍵評價指標的見解：

· 訓(xùn)練前、中、后的效率

· 獲取知識、行為和文化

· 提供組織可用來改進計劃和政策的可行見解

· 它的相關(guān)性、參與性和教育性如何

Bada 說，實現(xiàn)這一目標的最佳方法是通過終端用戶行為分析。這可以識別諸如日常行為模式和員工弱勢群體等。

然后，她重點介紹了 AwareGo 一項針對 160 位網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的調(diào)查 ，向他們詢問了他們組織的意識培訓(xùn)實踐。結(jié)果發(fā)現(xiàn)，62% 的公司正在開展意識培訓(xùn)計劃。制定計劃的最大原因是合規(guī)性（72%），其次是管理層的戰(zhàn)略決策（58%）。令人擔憂的是，只有 13% 的受訪者提到了提高安全意識。這表明培訓(xùn)通常是一項旨在履行法律和公司義務(wù)的勾選框練習。

Bada 概述說，這項研究進一步表明需要“以人為本的方法來關(guān)注超越合規(guī)性和網(wǎng)絡(luò)釣魚的意識”。

她總結(jié)道：“人是第一道也是最后一道防線，我們需要加強每家公司的人力防火墻。”

原標題：Focus on End-User Behaviors to Enhance Security

作者：James Coker

鏈接：https://www.infosecurity-magazine.com/news/end-user-behaviors-security/