背景:
近年来随着网络安全政策、技术的不断发展,国内企业对于安全的重视程度越来越高,安全建设投入力度越来越大,安全防御能力得到了明显的提升。然而,企业面临一个尴尬的问题就是,企业即使做了很多安全防御措施,但依然无法有效的避免信息安全事件,而这些安全事件中绝大多数与企业内部员工安全意识不足有关。据相关机构数据统计,在所有的安全事件中,只有20-30%是由于黑客入侵造成的,而70-80%则是由于内部员工的疏忽或有意泄漏造成的。于此同时,2017年《中国网民网络安全意识调研报告》统计显示,近90%的网民认为当前的网络环境是安全的,但是82.6%的网民没有接受过任何形式的网络安全培训。员工安全意识薄弱已经成为企业面临的最大风险。提高员工安全意识,做好安全教育工作刻不容缓。
面对该问题,国家相关部门也将员工安全意识教育写入政策法规中:
1.《网络安全法》‐第三十四条(二)规定,定期对从业人员进行网络安全教育、技术培训和技能考核。
2.《等保2.0》‐6/7/8/9.1.7.3:应对各类人员进行 安全意识教育和岗位技能培训,并告知相关的安 全责任和惩戒措施。
3.《关基安全保护条例》‐第二十七条:运营者应 当组织从业人员网络安全教育培训,每人每年教 育培训时长不得少于1个工作日,关键岗位专业技 术人员每人每年教育培训时长不得少于3个工作日。
网络钓鱼Phishing
在提高员工安全意识的工作中,网络钓鱼演习无疑是一种行之有效的手段,也是近年来黑客针对员工进行攻击时惯用的手段。由于其攻击成本低效果明显饱受青睐,在整个网络攻击活动中占比高到78%,因此,员工学会如何识别网络钓鱼,学会避开此类攻击将会大大的减少安全事件。
网络钓鱼结合了社会工程学和欺诈技巧,通常利用人性的弱点:贪婪、恐惧、好奇、同情、对权威的敬畏、认知的局限性及偏差来实现。网络钓鱼的形式可能是一个邮件附件,会加载恶意软件到你的计算机;也可能为一个非法网站的链接,诱骗用户下载恶意软件或泄露个人信息甚至是窃取重要的凭据;或者是一个伪造的登录页面,来骗取用户登录凭据。
图1 钓鱼攻击概览图
知名反网络钓鱼组织APWG (Anti-Phishing Working Group)2021年第三季度对目前的网络钓鱼事件态势分析总结如下:
-
2021年7月共监测到260,642次网络钓鱼攻击,这是APWG报告历史上最高的月度。
-
自2020年初以来,网络钓鱼攻击的数量翻了一番。
-
软件即服务和网络邮件领域是第三季度最常受网络钓鱼攻击的领域,占所有攻击的29.1%。
-
针对金融机和支付服务提供商的攻击持续不断,占所有攻击总数的 34.9%。
-
针对加密货币目标(加密货币交易所和钱包提供商)的网络钓鱼占攻击的 5.6%。
-
2021 年,受到攻击的品牌数量有所增加,从每月 400 多个增加到 9 月的 700 多个。
-
巴西的网络钓鱼攻击从第二季度的 4,275 次上升到第三季度的 7,741 次。
安全意识提升七大指标
结合国内外安全意识提升的资料来看,不难发现安全意识的提升主要从两个方面进行:安全培训和模拟演习。以下就如何做好安全培训和模拟演习需要关注的多项指标进行叙述。
1、安全培训关键指标
大多数的企业均在安全方面都做过或多或少的培训工作,来确保发生安全事件人员有足够的能力和应急措施去应对。但是为什么在这么多工作的前提下,员工在遇到真实的钓鱼攻击还是会大片的沦陷?这是因为员工没有养成防钓鱼的潜意识以及不同场景下的思考决策能力。综合学习整理国外两大安全意识培训公司的方案,给出以下三大指标:1.课程完成率,2.知识吸收转换率,3.非测试期间活动检测率。
(1)课程完成率
图2 课程完成率
无论是安全行业还是其他行业的,在入职培训期间,均会进行安全意识培训。其中的课程五花八门,但有的员工学了,有的员工觉得无聊跳过了,而更甚者员工直接忽略接收。因此相应的难题就回归到了课程培训的组织者。
组织者必须知道,如何检测学员的完成率,导致这种情况的问题因素在哪里,最后通过课程检测可以输出什么。
首先检测手段,我们可以查看员工的学习轨迹(包含时长、时间段等),然后依据结果制作出表格,分层级展示(个人<小组<部门<企业)。其次我们应该思考三个点:
1、怎么制作体系化的课程和阶段化的课程;
2、员工有什么课程是一次性完成的,什么是暂停/跳过的,为什么?
3、随机挑选的课程中,员工更愿意学习什么课程,不愿意看的课程又是什么原因呢?
课程完成率这个指标,最能直观的体现出员工的学习态度、进度、以及课程的精度。这里介绍一个课程制定的原则:BEST。
-
简洁(Brief) 长时间的电脑课件培训会让员工厌烦