GoSecurity公司2020年全球企业安全调查结果直观地反映了这个问题:
长期以来,那些手套上镶着半打零日漏洞宝石,头上顶着三个博士帽的的国家级黑客,被认为是网络空间最为危险的物种,而企业界也热衷于采购最先进的网络安全技术和方案,并试图提高安全工具集成度和自动化水平。
但现实情况正如上述调查数据:最有效的网络安全措施是提升员工安全意识,但员工安全意识培训获得的预算最少。
这导致一个全球性的网络安全盲区和悖论:人员漏洞是最危险也最容易修复的漏洞(不需要昂贵的技术产品和顶尖技术人才),同时也是最难修复的漏洞(不被重视、缺乏预算)。
不难理解,聚焦最前沿网络安全技术产品的RSAC2020网络安全大会将“人的因素”作为大会主题。这为2020年网络安全行业的发展主题定下基调:长期被忽视的人员安全意识和相关管理问题,已经成为网络安全行业和企业界最大的“安全债”。
2020年网络犯罪最显著的趋势就是产业化和“市场化”,“云犯罪”、“犯罪即服务”、“共享犯罪”、“事件犯罪”、“精准犯罪”等等,不断拉低APT、勒索软件、人工智能、僵尸网络和BEC电子邮件等网络攻击技术门槛,让更多善于利用“人的漏洞”的攻击者如虎添翼,同时也让企业网络安全的短板——人员意识,面临比过去更加复杂和危险的威胁。
2020年,潜在危害性和损失最为严重的安全威胁(例如勒索软件和BEC邮件攻击)和安全事件往往都与“人员漏洞”或内部威胁有关,从微盟删库到推特大规模账户劫持,从本田停产到全球超级计算机集体挖矿…疫情肆虐全球,远程办公在未来十年将成为“新常态”,当大批企业员工走出防火墙回到家中办公,企业面临的攻击面成几何级数放大,利用人的漏洞发起的网络攻击能够轻易地瘫痪一家跨国公司的全球业务。
据华尔街日报报道,70%的企业担心内部人员威胁。
员工仍然是网络攻击最大的安全威胁,但传统的安全技术和措施无法有效减轻这种网络威胁。
2020年,人依然是最大的漏洞
根据今年三月份绿盟科技发布的《2019安全事件响应观察报告》,2019年1/3的安全事件与企业存在的安全管理疏忽或员工安全意识薄弱有关,在2019年处理的安全事件中,弱口令事件占比22%,钓鱼邮件相关事件占比7%,配置不当事件占比3%,与人和管理相关的安全事件合计占总数的1/3,安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。
2020年上半年,疫情导致的全球化远程办公进一步放大了来自“人的漏洞”的威胁,市场对安全意识服务的需求也开始快速增长。在美国这个全球最大的网络安全市场,网络安全意识教育领域的创业公司KnowBe4的年收入已经超过1亿美元,在2020年一季度疫情期间业务同比增长了40%。
2020年,人为错误依然是数据泄露的主因
根据Tessian的一份报告,有33%的美国和英国的员工在工作中犯下安全错误,对自己或公司造成了网络安全或数据安全威胁(下图)。
报告指出,人为错误已成为当今数据泄露的主要原因,并进一步研究了人们为什么犯错误以及如何在犯错误之前预防:
人为错误对网络安全的影响
当被问及犯了什么类型的错误时,四分之一的员工承认在工作中点击了网络钓鱼电子邮件中的链接。31至40岁的员工点击网络钓鱼电子邮件的可能性是51岁以上的员工的四倍,而男性单击钓鱼电子邮件的可能性是女性的两倍。
47%的员工认为分心是网络钓鱼诈骗得手的主要原因。紧随其后的原因是,该电子邮件看起来逼真合法(43%),其中41%的电子邮件伪装成来自高级管理人员或知名品牌的电子邮件。
除了点击恶意链接外,58%的员工还承认向错误的收件人发送了工作电子邮件,其中17%的电子邮件发送给了错误的外部人员。
这个简单的错误会给个人和公司造成严重后果,他们必须向监管机构及其客户报告该事件。实际上,五分之一的受访者表示,他们的公司由于发送错误的电子邮件而失去了客户,而12%的员工失去了工作。
电子邮件安全事故的主要原因是疲劳(43%),紧随其后的是注意力分散(41%)。57%的受访者表示,他们在家工作时会更加分散注意力,突然转向远程工作可能会使企业更容易受到人为错误导致的安全事件的影响。
工作压力如何影响网络安全
报告的调查结果要求企业了解压力和工作文化对人为错误和网络安全的影响,尤其是考虑到2020年的事件。员工透露,他们在承受压力时会犯更多的错误(52%)、疲倦(43%) 、分散注意力(41%)和快速工作(36%)。
因此,令人担忧的是,有61%的受访者表示他们的公司拥有强调奉献精神的文化,使他们的工作时间超出了正常范围,46%的员工则经历了职业倦怠。
企业还应该注意全球疫情大流行以及居家远程办公如何影响员工的福利以及与网络安全的关系。
斯坦福大学教授,社会动态专家杰夫·汉考克(Jeff Hancock)指出:“了解压力如何影响行为对于改善网络安全至关重要。”
2020年职场人士承受着前所未有的压力,但更糟糕的是,黑客正在利用此漏洞。因此,企业需要对员工进行培训,使他们了解黑客在这段时间利用压力的方式以及人为错误可能导致的安全事件。”
被忽视的年龄差异
报告显示,不同年龄、性别和行业的人们,其网络安全行为存在重大差异,“千篇一律”的网络安全培训和意识方法无法防止人为错误事件的发生。调查结果包括:
- 18至30岁的员工中,有一半表示自己犯了可使公司网络安全受到影响的错误,而51岁以上的员工中只有10%。
- 18-30岁的年轻人中,有65%表示曾向错误的收件人发送电子邮件,而51岁以上的人中只有34%的人发错电子邮件。
- 接受并点击网络钓鱼电子邮件的员工中,有70%是年龄介于18至40岁之间的年轻人。相比之下,在51岁以上的人群中,只有8%的人表示自己做过同样的事情。
- 科技行业的员工最有可能点击网络钓鱼电子邮件中的链接,该行业的47%的受访者承认他们曾这样做。紧随其后的是银行和金融业的员工(45%)。
Tessian首席执行官Tim Sadler表示:“网络安全培训需要尊重这样一个事实,新一代员工的网络安全行为模式大不相同,期望每个员工在任何时间段都能100%发现欺诈或做出正确的网络安全决策也是不现实的。”
为了防止简单的小错误演变成严重的安全事件,企业必须在人的层面上优先考虑网络安全。这要求了解员工个人的行为,并针对性定制培训和政策,使安全网络安全实践成为企业文化的有机成分,而不是充满仪式感的例行公事。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】