在大多數人看來,黑客的形象可能都是一些蓬鬆頭髮,大黑眼圈的宅男,他們的世界裡只有代碼。然而事實並非如此,也許回憶你看過的《駭客交鋒》、《機器姬》、《黑客帝國》、《斯諾登》、《007:大破天幕殺機》等黑客題材電影,就能聯想到這些黑客的真正面目了。
其中《我是誰:沒有絕對安全的系統》可謂異常出色,主角利用社會工程手段“策反”了德國安全局的調查員,銷燬了自己的身份檔案,成功逃脫了黑幫的追殺和情報局的監控。片中包含了網絡入侵滲透、社會工程、網絡溯源、反攻擊溯源等情節,並提出了人類才是網絡安全最大“BUG”的主題。
人是網絡安全中最大的漏洞
社會工程是一種非技術手段的黑客行為,利用人與人之間的交往,取得被害人的信任,從而攻破網絡安全體系。網絡安全體系中最沒有辦法控制、打補丁的一個因素就是人,往往通過所謂的:假託、釣魚、在線聊天、下餌等等方式衝破自稱最安全的系統。
“人”本身就是一個安全系統,對任何安全系統的攻破,都可以藉助人性的弱點來達成。且不論成功與否,人成為了網絡安全這一領域內的大問題。尤其是企業,面臨來自人的威脅主要有兩種,一種是斯諾登這種“內鬼”,另一種就是缺乏安全意識的大部分員工。事實上,後者的危害,遠遠大於前者。
讓不懂安全的看懂安全
數據文件在全程高效保護下,再厲害的內鬼,在沒有權限和審批解密的情況下也只能望而生嘆。而缺乏安全意識的大多數員工,他們一次輕率的點擊就可能會給企業帶來災難性的後果。人們如果不明白安全警告的意思,缺乏“痛感”,自然就不會對其做出響應,因此讓他們“看懂安全”顯得更為重要。畢竟安全的本質就是風險控制,讓企業各個部門、各個層面的人都可以理解、執行安全的操作,最終才能解決“人”這一個最大的安全漏洞問題。
縱觀網上的信息,大部分可視化廠商大多提供“檢測+防禦”能力,但是根據計算的路徑地進行異常檢測,並不具備閉環事件的防禦。所以我們認為建立一套“檢測+防禦+預測+響應”的閉環防禦機制是相當有必要的,通過預測用戶行為來扼殺安全漏洞。畢竟可視化的根本目的,必然是通過可視呈現提高安全響應的能力。
在企業內部,人為失誤和缺少體系化的網絡安全意識是企業數據洩露和安全威脅的首要原因。現階段,網絡安全意識雖然在培訓方面取得了很大進展,但仍有很多企業並沒有把員工網絡安全培訓放在首要位置,因此,強調網絡安全意識的重要性並有效地做到這一點,還有一些工作要做。
下面簡單列舉加強企業網絡安全的做法
1、獲得高層對安全意識培訓的授權
當安全專家告知CEO,目前仍有15%的員工會點擊網絡釣魚軟件,而且無論安全專家如何努力,員工的網絡安全意識不提高,企業所面臨的網絡安全風險仍不可能為零時,我們應該換一種說法:公司可以通過安全意識培訓,降低安全風險和安全修復成本。
2、加強對特殊崗位人員的安全培訓
公司應該將安全意識培訓作為一項檢查清單。尤其是執行董事會、高管、財務團隊以及採購部門的高層領導,具有訪問許多個人電腦和公司服務器信息的特殊權限,因此這些人在網絡犯罪分子眼裡是具有高價值的目標。
3、安全意識將作為技能貫穿員工整個職業生涯
我們應該瞭解到,安全意識已經不僅僅是一個商業問題,而是一個現代生活技能問題。人力資源部門在招聘新員工時需要強調培訓方面的內容以及重要性。這將是每一個員工在他們職業生涯中可以隨身攜帶的技能。
4、企業舉行攻防演練,提升防禦能力
很多公司會給員工發送一些網絡釣魚郵件進行內部測試,看看會發生什麼。但是,公司如果有條件,可以進行紅藍對抗比賽,有效提升技術人員的攻防水平,安全團隊也能更有效地應對安全問題。
