10月是美国网络安全意识月,通过媒体我们发现其已经有20 年的历史了,该活动是由美国网络安全和基础设施局 (CISA) 与国家网络安全联盟合作发起的年度活动,旨在提高人们对如何更好地保护数据的认识。
根据美国网络安全媒体说法,近几个月来一些最明显的网络攻击提醒我们,我们所有人都在安全方面发挥着作用,而人仍然是我们最薄弱的环节。威胁行为者继续利用人性,通过网络钓鱼电子邮件、说服性短信和令人信服的电话来访问高价值系统和敏感数据并获取经济回报。鉴于这些头条新闻,本月有必要仔细研究人员问题以及组织可以采取哪些措施来加强防御。
人员问题有两个方面:用户缺乏安全意识和网络安全人才的缺乏。
让我们从第一个挑战开始,看看美国如何建议组织采取哪些措施来提高用户的安全意识。
- 对安全意识计划的支持:根据 SANS 2023 安全意识报告:管理人类风险,与去年相比,安全意识计划的成熟度水平正在提高。然而,组织正在努力解决项目开发的基本问题,包括缺乏预算、员工培训时间限制以及缺乏项目管理人员和时间。毫不奇怪,最有效的计划得到了强有力的领导层的支持,拥有敬业的全职员工,并促进了强大的安全文化,鼓励并简化事件报告,这有助于降低风险。
- 用户培训:同样不足为奇的是,SANS 报告发现网络钓鱼/网络钓鱼/语音钓鱼位居人类风险列表之首,其次是密码/身份验证、检测/报告和 IT 管理员配置错误。培训应重点关注这四个领域,并超越每年基于计算机的培训,包括持续培训,以便全年强化关键概念。让安全团队参与以人为本的安全培训的开发有助于确保内容与组织保持高度相关。与通信和人力资源等其他部门合作以及聘请第三方培训顾问也将有助于在优化资源的同时提高计划有效性。
看看人才问题的第二个组成部分——网络安全人才的缺乏——培训和技术的结合可以帮助缩小目前估计仅在美国就达663,600 人的差距。例如:
- 网络安全专业人员培训:网络安全本身就是一种持续的学习经历,但这一点经常被忽视。Enterprise Strategy Group (ESG) 的最新研究发现,40% 的网络安全专业人士认为,他们的组织应该加大对网络安全培训的投入,通过使组织能够从现有资源中获得更多收益,帮助解决技能短缺问题。与提供产品培训并以多种形式和形式提供产品培训的安全技术供应商合作,包括讲师指导/面对面、讲师指导/虚拟和自助服务,可以灵活地选择最适合您业务的内容模型和您的安全团队。
- 安全自动化:安全自动化的一个重要好处是,您拥有的高技能人力资源可以更聪明地工作,而不是更辛苦。在我们最近委托进行的研究中,安全领导者表示,解决最高挑战(高流动率)的首要方法是使用更智能的工具来简化工作。此外,超过 60% 的受访者预计自动化会对员工满意度和保留率产生积极影响。采用平衡的自动化方法,将重复性、低风险、耗时的任务自动化,以便分析师能够腾出时间来主导不规则、高影响力、时间敏感的工作,从而提高保留率和利用率,同时推动更好的安全成果。数据驱动的自动化方法可确保行动保持相关性,以提高对结果的关注度、准确性和信心。此外,
- 其他新技术:人工智能等方法和技术已经有助于提高效率。具体来说,自然语言处理用于从数据源和情报报告中的非结构化文本中识别和提取威胁数据,例如妥协指标、恶意软件和对手,以便分析师花更少的时间在手动任务上,而将更多的时间用于主动解决风险。机器学习 (ML) 技术被用来理解所有这些数据,以便在正确的时间将正确的数据提供给正确的系统和团队,从而加速检测、调查和响应。带反馈的闭环模型可确保具有人工智能功能的安全运营平台能够随着时间的推移不断学习和改进。
威胁行为者年复一年地继续使用相同威胁向量的变体来执行成功的攻击。幸运的是,我们有能力破坏这个循环。通过为用户和安全从业人员提供有效的方法和工具来加强防御来解决人员问题,将使我们能够更聪明地工作,并迫使攻击者陷入必须更加努力工作的境地。
总的来说,其探讨的是网络安全意识和网络安全人员两个维度,第一个维度是自上而下的意识问题,第二个是人力技能问题。这两个问题,其实并不是美国独有的问题,而是全世界共通的问题。而我们一直以来,也是在这两方面不断加强提升,这些工作属于一个动态的提升过程,一直是正在进行时。
