网络安全的人为因素

虽然技术在保护组织方面发挥着重要作用，但人的因素也同样重要。人们常说，最复杂的安全协议可能会因为不知情或粗心的员工的一次点击而遭到破坏。在本文中，目的是阐明经常被忽视的“人为因素”，并提供建议来帮助企业加强网络安全链中这一最薄弱的环节。

当前的威胁形势

全球网络安全形势复杂且不断变化，几乎每天都会出现新的漏洞和威胁。我们在实施零信任架构、实施先进的人工智能 (AI) 算法、防火墙、入侵检测系统等方面取得了长足的进步，以保护我们的组织。然而，令人惊讶的是，大多数安全事件不仅仅是复杂的黑客技术造成的，而且往往是人为错误造成的。

人为错误，例如陷入网络钓鱼电子邮件、弱密码实践或意外数据泄露，可能会使组织的强化网络容易受到攻击。这些错误不仅限于初级员工；甚至高管也成为此类攻击的受害者。显然，没有人能够幸免，这使得人为因素成为每个组织的迫切关注点。例如，最近米高梅度假村的违规事件就是简单的社会工程的结果。威胁行为者在没有足够信息的情况下欺骗服务台服务员重置密码。

疏忽的代价

忽视人为因素可能会导致巨大的财务损失、声誉受损以及客户信任的丧失。有时，损害是不可逆转的。事件发生后，组织通常意识到，如果他们投资于足够的以人为本的安全措施，他们本可以避免漏洞。

此外，自 2023 年 12 月 18 日起，SEC将要求上市公司在四个工作日内报告重大网络事件。这将为投资者和客户带来更大的透明度，也将使遭受重大违规的公司受到关注。

减少人为风险的策略

在一个充满网络威胁的世界中，仅仅关注技术解决方案就像建造一座堡垒但不把守大门。事实上，Check Point 总裁鲁帕尔·霍伦贝克 (Rupal Hollenbeck) 经常说，网络安全实际上是关于“人员、流程和技术——按这个顺序”。通过提高对网络安全中人为因素的认识和理解，组织可以针对网络威胁建立更强大、更全面的防御。

作为一名架构师和传播者，我强烈主张将以人为本的策略整合到您的网络安全方法中。请记住，最有效的安全策略是同时考虑机器和人类漏洞的策略。

根据经验，CISO 做出了一些改变，通过执行以下操作来降低这种风险：

网络钓鱼攻击

欺骗的艺术是黑客最好的工具。员工经常成为看似真实但旨在收集敏感信息或安装恶意软件的电子邮件或消息的受害者。大多数组织将其防御仅限于企业电子邮件，而忽略了移动威胁防御的最大威胁媒介——通过在同一移动设备上运行的不同聊天应用程序或个人电子邮件，保护员工免遭短信或短信攻击。事实上，网络钓鱼漏洞的平均成本为 476 万美元。这显然需要成为更好保护的重点。

网络培训

大多数组织都会进行一次性网络钓鱼活动来满足合规性需求，但却忘记了网络威胁正在不断演变。员工必须不断更新防御措施，以应对这些不断变化的威胁。

关于良好网络卫生的定期培训对于减少人为错误导致违规的可能性非常重要。好消息是，有很多培训选择——从虚拟逃生室到网络钓鱼游戏，再到高级网络课程。

凭证管理

各行业的安全领导者面临着确保组织的数字资产受到保护的艰巨任务。其中的关键方面之一是密码管理。以下是一些推荐的最佳实践。

• 零信任架构：采用零信任模型，默认情况下不信任任何用户或系统。所有设备都必须经过验证和身份验证，无论其相对于网络边界的位置如何
• 单点登录 (SSO)：考虑实施 SSO 解决方案以减少员工需要记住的密码数量。但是，请确保 SSO 解决方案本身极其安全
• 多重身份验证 (MFA)：实施 MFA 增加了一层额外的安全性，通常涉及用户知道的内容（密码）和用户拥有的内容（用于在身份验证器应用程序或短信上接收一次性代码的移动设备） ）
• 定期审核：进行定期审核以确保遵循密码策略。许多现代系统允许管理员查看用户是否重复使用密码或者是否没有足够频繁地更改密码。
• 帐户锁定策略：实施帐户锁定策略，在一定次数的登录尝试失败后临时锁定帐户。这可以阻止暴力攻击，但应该平衡，以免无意中锁定合法用户。
• 密码过期和轮换：定期要求用户更改密码可以防止攻击者长时间访问帐户。然而，这需要平衡，因为频繁的更改可能会导致错误的密码选择。

用于降低风险的非技术变更或增强

根据行业可用数据和调查，首席信息安全官和首席执行官还利用以下非技术解决方案来保护其组织。

实施变更控制/管理系统：怎么强调实施多审批级别变更控制系统的重要性都不为过。在网络威胁复杂的时代，人为因素往往成为漏洞。多层审批流程使我们能够增加审查层数，涉及从技术专家到高管的各种角色，有效减少单点故障。这种方法可以最大限度地减少与人为错误相关的风险，并确保与网络安全策略保持一致。它是一个重要的制衡系统，使我们的网络防御更具弹性和适应性，以适应不断变化的威胁形势。

问责文化

• 奖励计划：实施报告漏洞或潜在风险的奖励计划
• 透明度：就安全的重要性保持公开对话

供应商风险管理

• 尽职调查：在加入新供应商之前进行尽职调查。确保它们遵守您组织的安全标准。
• 持续监控：定期审核供应商安全合规性。

法律框架

• 保密协议 (NDA)：签订法律合同以保护敏感信息。
• 定期审核：确保遵守数据保护法律和行业标准。

事件响应计划：在网络安全威胁不断发展的形势下，安全事件不再是是否会发生的问题，而是何时发生的问题。这使得有效的事件响应计划(IRP) 和内部红队对于任何认真对待网络安全态势的组织来说都是不可或缺的。

原文始发于微信公众号（河南等级保护测评）：网络安全的人为因素