安全从组织内部人员开始

admin 2022年12月27日17:42:05企业安全评论2 views2578字阅读8分35秒阅读模式
事实证明,雇用的人员可能是组织对网络安全的最大威胁。根据2018年Finn Partners Research的一项研究,员工对其组织构成重大网络风险。
研究包括对美国各个组织的500名全职员工进行的一项调查,发现近 40% 的员工公开承认点击了他们不认识的发件人的链接或打开附件。虽然这对不知情的人来说似乎微不足道,但这种网络安全遗漏可能会导致在公司设备上安装恶意软件,最终让攻击者获取机密的公司信息。
Finn Partner的高级合伙人、美国网络安全专业组负责人 Jeff Seedman 表示,攻击者获取敏感组织数据的最快、最简单的方法是让毫无戒心的员工点击恶意链接。此类威胁可以嵌入公司电子邮件、网站甚至员工个人设备中。
研究表明,BYOD(自带设备)日益增长的社会趋势表明,超过55%的员工正在使用个人设备进行工作。这种做法直接增加了组织面临黑客攻击、恶意软件和数据泄露等安全威胁的风险。员工经常错误地假设他们的个人设备是安全的;然而,未能定期更新软件或使用适当的保护措施,往往会挑战这种信念。如果员工的个人设备最终丢失、被盗或被黑客入侵,机会主义黑客很容易收集组织的机密信息。

五分之二的员工承认点击了他们不认识的发件人的链接或打开了附件。

安全从组织内部人员开始

在这个时代,每年的网络安全意识培训方案不会削减。统计数据表明,超过 31% 的受访者已经成为此类违规或攻击的受害者,因此定期培训应该是所有组织不可或缺的举措。
组织可以从今天开始采取多项举措来帮助减轻组织的网络风险状况。首先,花时间与员工一起解决整个组织当前的网络安全问题。每月的内部通讯或培训课程可用于分享技巧和技术,以帮助员工保护自己和组织的数据。双重身份验证 (2FA)也是许多组织防御涉及盗窃/重复使用员工密码的网络钓鱼的核心部分。最重要的是,采取熟练且敬业的渗透测试团队的年度使用将按优先级顺序显示贵公司的网络安全漏洞。
渗透团队通常会执行网络钓鱼活动以评估用户意识。此类活动允许组织测试和衡量其员工对网络钓鱼的抵抗力,理想情况下,他们没有意识到;类似于消防演习。管理合伙人 Richard Rogerson 估计,大多数组织中多达四分之一的员工打开链接、恶意文档或提供此类活动的凭据,强化了对更全面培训的要求。
在国内,渗透测试往往被认为是安全服务,甚至有点喧宾夺主的感觉。话又说回来了,很多时候我们的对安全的理解不够充分,所以也给与渗透测试一个喧宾夺主的机会。我国在网络安全领域有了长足发展,但是当下各类噱头齐飞,也误导了市场和客户,所以网络安全相关知识和内容正确宣贯,成为了当下一个非常重要的事项,我们将结合自身的长处以及行业特性,争取给所有用户一个值得信赖的安全服务,让各自概念回归其本原,让所有用户得到真实的安全服务,为区域性网络安全的提升,承担起自身的社会责任。
谁是我们的敌人?谁是我们的朋友?这个问题是革命的首要问题(《毛选》第一卷:中国社会各阶级的分析)。网络安全也是一样,分清黑客性质,是我们面临的首要问题,也是我们采取策略的基础。

白帽黑客

白帽黑客是通过发现可以缓解的系统漏洞来保护数据免受其他黑客攻击的黑客。白帽子通常由目标系统的所有者使用,并且通常会为他们的工作获得报酬(有时相当高)。他们的工作并不违法,因为它是在系统所有者同意的情况下完成的。

黑帽黑客

黑帽或破解者是怀有恶意的黑客。他们经常窃取、利用和出售数据,并且通常出于个人利益的动机。他们的工作通常是非法的。破解者就像黑帽黑客,但特别是那些非常熟练并试图通过黑客来赚取利润或利益的人,而不仅仅是为了破坏。破解者发现系统漏洞的利用,并经常通过将修复程序出售给系统所有者或将利用程序出售给其他黑帽黑客来利用它们来窃取信息或获得版税。

灰帽黑客

灰帽是计算机黑客或计算机安全专家,他们有时可能违反法律或典型的道德标准,但没有黑帽黑客典型的恶意意图。

注:我在网盘里放了HTML5和JPG两种格式导出版,需要清晰版的朋友可以直接在网盘中获取。




  1. >>>等级保护<<<
  2. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  3. 网络安全等级保护:等级保护测评过程及各方责任
  4. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  5. 网络安全等级保护:什么是等级保护?
  6. 网络安全等级保护:信息技术服务过程一般要求
  7. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  8. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  9. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  10. 闲话等级保护:测评师能力要求思维导图
  11. 闲话等级保护:应急响应计划规范思维导图
  12. 闲话等级保护:浅谈应急响应与保障
  13. 闲话等级保护:如何做好网络总体安全规划
  14. 闲话等级保护:如何做好网络安全设计与实施
  15. 闲话等级保护:要做好网络安全运行与维护
  16. 闲话等级保护:人员离岗管理的参考实践
  17. 信息安全服务与信息系统生命周期的对应关系
  18. >>>工控安全<<<
  19. 工业控制系统安全:信息安全防护指南
  20. 工业控制系统安全:工控系统信息安全分级规范思维导图
  21. 工业控制系统安全:DCS防护要求思维导图
  22. 工业控制系统安全:DCS管理要求思维导图
  23. 工业控制系统安全:DCS评估指南思维导图
  24. 工业控制安全:工业控制系统风险评估实施指南思维导图
  25. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  26. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  27. >>>数据安全<<<
  28. 数据安全风险评估清单

  29. 成功执行数据安全风险评估的3个步骤

  30. 美国关键信息基础设施数据泄露的成本

  31. VMware 发布9.8分高危漏洞补丁

  32. 备份:网络和数据安全的最后一道防线

  33. 数据安全:数据安全能力成熟度模型

  34. 数据安全知识:什么是数据保护以及数据保护为何重要?

  35. 信息安全技术:健康医疗数据安全指南思维导图

  36. >>>供应链安全<<<

  37. 美国政府为客户发布软件供应链安全指南

  38. OpenSSF 采用微软内置的供应链安全框架

  39. 供应链安全指南:了解组织为何应关注供应链网络安全

  40. 供应链安全指南:确定组织中的关键参与者和评估风险

  41. 供应链安全指南:了解关心的内容并确定其优先级

  42. 供应链安全指南:为方法创建关键组件

  43. 供应链安全指南:将方法整合到现有供应商合同中

  44. 供应链安全指南:将方法应用于新的供应商关系

  45. 供应链安全指南:建立基础,持续改进。
  46. 思维导图:ICT供应链安全风险管理指南思维导图

  47. 英国的供应链网络安全评估


原文始发于微信公众号(祺印说信安):安全从组织内部人员开始

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月27日17:42:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安全从组织内部人员开始 http://cn-sec.com/archives/1482196.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: