最薄弱的环节：人为错误如何使企业面临风险

在当今的数字时代，网络安全已成为企业的首要任务，因为网络攻击可能会损害企业的经济和声誉。据国外安全网络机构 Check Point 称，2023 年，71% 的企业成为勒索软件攻击的受害者，平均损失达 435 万美元。员工是网络安全链条中的第一环，也是最脆弱的切入点。

统计数据描绘了人为错误对网络安全影响的惊人景象。根据世界经济论坛《2022年全球风险报告》，95%的网络安全漏洞是由人为错误造成的。现实生活中的例子很多；一个值得注意的事件是2017年Equifax 漏洞，一名员工未能实施安全补丁，导致超过1.43亿人的个人数据被泄露。或者2013年美国发生的Target漏洞，黑客通过发送给第三方供应商的网络钓鱼电子邮件获得访问权限，最终损害了4100万客户的数据。这就是为什么他们对网络攻击的响应和监控至关重要，因为它决定了公司可能遭受后果的严重程度。

常见的人为错误包括使用弱密码、容易遭受网络钓鱼诈骗以及敏感信息管理不善，这些错误通常会导致灾难性后果。当然，我们应该质疑为什么我们人类似乎更容易受到此类网络攻击的影响？心理和行为因素在这些脆弱性中发挥着重要作用。认知偏见，例如过度自信或认为自己比其他人面临的风险较小（乐观偏见），可能会导致安全实践松懈。此外，缺乏对潜在威胁的认识也会极大地增加风险。最近在 CPX Vegas 会议上举行的 CISO 圆桌会议上，Allegiant Air 的 CISO Dan Creed 强调，“鼓励员工并教导他们不遵守安全政策的后果……以 SolarWinds 为例。”社会工程利用这些弱点，操纵个人泄露机密信息或执行危害安全的操作，在网络钓鱼诈骗以及新的深度伪造和语音诈骗中得到大量利用。

为了拥有坚实的保护，公司不仅必须实施零信任架构和威胁检测软件，而且还必须考虑其员工接受的网络安全培训，以便他们成为抵御任何类型的网络攻击的第一道屏障公司网络。

此外，当涉及勒索软件攻击时，员工角色的重要性更加突出，因为这些人为错误与勒索行为相结合，以获取大笔金钱。这些网络攻击变得越来越频繁，根据国外安全机构Check Point 的 2024 年安全报告，2023 年公共勒索的受害者超过 5000 人，比上一年增加了 90%。

以下网络安全措施，这对于在公司中建立坚实的保护至关重要：

• 优先考虑网络安全：公司必须采取网络安全措施。提高对网络威胁及其风险的认识，并提供专门培训以确保员工掌握基本的网络安全知识至关重要。网络攻击通常是由于人为错误而发生，而这些人为错误可以通过最少的培训来预防，例如陷入网络钓鱼电子邮件、使用弱密码或意外泄露信息。在组织内部培养安全文化，将网络安全视为每个人的责任也是关键。

• 零信任策略：零信任或无信任模型在防止未经授权的访问方面非常有效。实施零信任策略从“发现”未受保护的设备开始，然后自动应用最小权限策略，仅允许相关系统和人员访问此数据。

• 事件响应计划：网络威胁的脆弱性是不可避免的，因此针对可能发生的任何潜在危机制定一致的响应计划至关重要。这确保员工知道如何应对可能发生的事件，从而能够快速采取行动并最大程度地减少损失。

• 建立唯一且安全的密码：每位员工的密码应该复杂且唯一。对于这个初始安全层来说，有效防止未经授权的访问和保护公司的机密信息至关重要。建议的最小长度为 14 到 16 个字符，包含不同的字母、大写和小写的混合、符号和数字、使用多重身份验证 (MFA)、以及定期更改密码并在几次后强制执行帐户锁定策略。失败的尝试。

• 弥补人类弱点的技术辅助：双因素身份验证等工具提供了额外的安全层，而自动化安全协议可以减少对手动更新和检查的依赖。人工智能和机器学习的使用正在蓬勃发展，通过识别可能表明安全风险的异常模式或行为，帮助预测和防止与人为相关的违规行为，因为需要人工智能工具来捕获此类人工智能潜在风险或违规行为，因此势在必行。

展望未来，网络安全保护可能会转向以人为中心的解决方案，采取平衡的方法将先进技术与对人类心理和行为的理解相结合。员工的基本培训计划需要更加复杂，甚至可能利用模拟，而人工智能可以不断发展，更加擅长在人为错误导致违规之前进行预测。这就是为什么我们坚持要求公司将技术解决方案与其团队的网络安全培训以及预防措施和一致的响应计划结合起来。

原文始发于微信公众号（河南等级保护测评）：最薄弱的环节：人为错误如何使企业面临风险