回到基础：网络安全最薄弱的环节

一个大承诺，一个大吸引力。在网络安全领域，您会听到很多这样的消息，在那里您经常被承诺提供快速，简单的修复程序，可以满足您的所有网络安全需求，一次性解决您的安全挑战。

它可能是一个基于人工智能的工具，一个新的高级管理工具，或者其他东西 - 它可能会非常有效地完成它承诺做的事情。

但是，它是您所有网络安全问题的灵丹妙药吗？不。对于网络安全的最大挑战：人类的行为，没有简单的技术驱动的解决方案。

无论你最好的防御有多先进，这都无关紧要。外围防火墙，多层登录，多因素身份验证，AI工具 - 当来自非描述部门的Bob单击电子邮件中的网络钓鱼链接时，所有这些都很容易变得无效。

这对任何人来说都不是新闻

我们以前都听说过这个。人类是网络安全战略的关键缺陷这一事实几乎不是新闻 - 或者至少，它不应该是新闻。但只要问问Uber或Rockstar Games，他们是否认为他们的系统是安全的，不受社会工程的影响。

这两家公司最近都遭到了破坏，因为黑客欺骗了一名员工，让他们违背了每一种安全最佳实践，你想知道被欺骗的人是否听说过任何关于IT安全的消息。

您甚至可能想知道该员工是否接受过任何网络安全培训。

在这两种情况下，成功的攻击都不涉及使用最先进工具的非常复杂的攻击者，同时利用尚未披露的漏洞。

只需要一条简单的社交工程消息 - 例如，“嘿，鲍勃，我来自IT团队，我们需要在您的PC上检查一些东西，所以我向您发送了一个工具供您运行。只需单击下面的链接即可。

然而，我们并没有在学习

20多年前，社交工程是黑客攻击的驱动力，显然，我们仍然没有摆脱它。

雪上加霜的是，成功的社会工程并不局限于非技术性组织。

例如，在穷乡僻壤的政府部门中，一个精明的用户可能会因为社会工程学而堕落，这是非常有可能的，但在一家领先的科技公司工作的人就更不用说了——我们看到Uber和Rockstar Games都受到了社会工程学的影响。

在某些时候，作为一名网络安全从业者，负责教育你的用户，让他们意识到他们（以及组织）面临的风险，你会认为你的同事会停止陷入黑客行动手册中最古老的伎俩。

可以想象，用户在训练期间没有注意，或者只是太忙于其他事情，以至于无法记住某人告诉他们的关于他们可以点击或不点击的内容。

然而，社会工程学攻击一直出现在公共新闻中 - 不仅仅是网络安全新闻 - 以至于“我不知道我不应该点击电子邮件链接”的借口越来越难以接受。

强行强化信息 ——这是你唯一的选择

对于人类行为对网络安全的影响，没有神奇的解决方案。

人类会犯错误，就像在人类反复犯错的每一条生活中一样，加强教育确实是你唯一的选择。

如果像Uber和Rockstar Games这样精通技术的公司可能会出错，那么它也可能发生在其他任何人身上。您唯一的选择是通过严格的教育计划给每位员工留下网络安全最佳实践的印象。

而且，不仅用户需要教育，您还应该在安全团队中通过涵盖修补、权限和整体安全定位来加强这些实践。

总会有这样的风险，即一个糟糕的一天的用户点击一个链接，承诺如果世界偏远地区的某人只访问该网站，就会试图给他们数百万美元。

但是，与每种网络安全方法一样，重点应该是最小化和减轻这种风险。不断的强化和教育是你最好的防御。

原文始发于微信公众号（河南等级保护测评）：回到基础：网络安全最薄弱的环节