員工資安教育培訓的四個要點

對於負責監管組織內資料保護以及資訊安全的人來說,”員工因開啟郵件中的附件感染勒索病毒而影響商務”是一種很熟悉的故事情節。

這樣的新聞頭條並不新鮮。即使是最先進的安全防護技術,面對鎖定對象的目標式駭客攻擊也不可能是萬無一失。只要員工開啟一個惡意附件或是點了一個有害連結,全公司的網路安全便暴露在風險中。

因為這些行為如此簡單且普遍 – 打開電子郵件,連接到網站等等 – 企業加強網絡安全比以往任何時候都困難。

資訊安全最脆弱的環節:員工

一直以來,員工是企業資訊安全中最脆弱的一環現在,CIO的撰稿人Clint Boulton指出,這不只包含基層員工,還包括了監督和管理階層。駭客持續利用先進的技術騙過員工並進行攻擊。

此外Boulton發現,許多員工會陷入虛假的網路安全感,當採用了先進的資料保護技術以及防護工具時。

當然,先進的防護解決方案對抗資料外洩或是資料盜取是非常有用的,但是企業還需要投入必要的時間和精力進行適當的安全培訓,而不只是單純依賴資安防護軟體或是解決方案。

透過強健的員工資訊安全培訓,企業可以降低員工為駭客開啟大門的風險。

 “那是我們目前看到的一個大問題” Theodore Kobus, BakerHostetler 隱私以及資料保護主管告訴Boulton說。公司真的需要關注這個關鍵的議題以便在攻擊的初始階段就可以進行攔阻。

目前的統計數據支持這一論點:總體而言,網絡釣魚,駭客攻擊和惡意程式導致了大多數網絡安全事件,佔43%。據Boulton報導,其中32%來自人為疏失,18%來自設備遺失或被盜。

在2016年,網絡釣魚,駭客和惡意程式佔所有網絡安全事件的43%

由於員工自身行為導致的問題比例如此之高,企業再也無法忽視用戶在整體網路安全中的關鍵作用。 適當的培訓,包括需要注意的可疑事件以及對當前駭客技術的認識,應該成為任何企業組織的首要任務。

進行員工的資訊安全培訓的四個重點

企業組織可以將下列提示以及最佳實務融入到員工的培訓中以達到最佳成效。

1.確保員工了解重要性

正如安全顧問和作者Anthony Howard對BitSight Tech所說,在培訓中最重要的其中一點是確保員工了解流程的重要性。雖然員工可能意識到目前網絡安全領域發生的攻擊類型,但IT主管和其他部門經理必須讓員工了解培訓和適當安全措施的重要性。

基本底線:若你的員工不了解數據隱私和保護的重要性,無論使採用哪一種的防火牆,入侵偵測或是 VPN都沒有多大的差別。Howard指出”沒有人會關心資料安全,隱私政策,智慧財產權的保護以及資料外洩,除非你告訴他們為什麼重要,如何影響他們,然後告訴他們如何防止。”

無論公司規模大小,網路釣魚,駭客攻擊以及惡意程式仍是非常普遍

2.提升目前資安危脅的意識

安全培訓的重要性是勢不可擋的,尤其公司或組織從未舉辦過這類型的培訓。由於資安威脅情勢不斷地在改變,因此跨出第一步可能非常困難。然而,認識目前主要的資安威脅是個好的起點,並確保員工了解這些漏洞如何影響公司或組織,以及他們可以採取哪些措施來降低這種情況發生的可能性。

如同趨勢科技2018上半年資安總評所強調,今年上半年面臨的一些主要問題包括:

  • 嚴重的軟體或硬體弱點,以及更新修補程式面臨的挑戰
  • 勒索病毒
  • 虛擬貨幣挖礦病毒
  • 超大型資料外洩,超過1百萬筆以上的資料外洩事件
  • 貧弱的路由器安全性
  • 變臉詐騙
  • 無檔案式以及小檔案惡意程式

確保員工意識並了解主要的資安威脅,例如勒索病毒或是變臉詐騙,可以大大的降地這些威脅影響公司的安全性。

3.專注於關鍵的策略:網路釣魚和社交工程攻擊

教育員工了解駭客如何進行變臉詐騙或是勒索病毒的攻擊的手法也非常重要。這包含了網路釣魚以及社交工程攻擊,趨勢科技 Chris Taylor在2017年黑帽安全大會上的報告,網路釣魚和社交工程攻擊被與會者列為最耗時的安全問題

Taylor解釋“網路釣魚是網路犯罪最常使用的手法”,”使用社交工程攻擊的手法,通常目的在誘騙用戶點擊惡意連接或打開帶有惡意程式的附件。這可能會感染勒索病毒或成為資料盜取攻擊行動的第一階段攻擊行為,這些攻擊行動可能是為了挖掘重要資料或是敏感的智慧財產權。”

確保員工了解這些策略可以進一步支持企業的主動網路安全態勢,並使員工能夠識別新興或即將發生的威脅的可疑活動。

4.能存取公司重要系統的人都可能存在弱點,包括所有用戶:主管,顧問和供應商

並非只有一般員工會成為社交工程攻擊,網路釣魚以及其他駭客攻擊的受害者。 高階主管,經理,合作夥伴以及廠商等可以存取公司重要系統的人都可能存在弱點。這是Target在其2013年資料外洩事件後獲得的一個嚴酷教訓,由於駭客利用零售商第三方HVAC供應商的竊取憑證

透過這種方式,安全培訓應擴展到所有可以存取公司基礎架構平台的所有用戶,包含外部顧問或服務提供商,以及內部主管和經理。正如Jerumai CISO Rocio Baeza告訴BitSight Tech,隨著公司之間的合作的增加,這成為培訓中越來越重要的一部分。

“要求資訊安全策略套用在員工,約聘人員以及服務供應商” Baeza指出。”公司經常忽略約聘人員以及服務供應商,這代表著其他人可以輕易帶走你的重要資料”。

想要了解有關員工資訊安全培訓的最佳實務以及資安解決方案在企業整體安全中可以發揮的作用,請立即與趨勢科技的專家聯繫

◎原文來源: The Importance of Employee Cybersecurity Training: Top Strategies and Best Practices