在大多数人看来,黑客的形象可能都是一些蓬松头发,大黑眼圈的宅男,他们的世界里只有代码。然而事实并非如此,也许回忆你看过的《骇客交锋》、《机器姬》、《黑客帝国》、《斯诺登》、《007:大破天幕杀机》等黑客题材电影,就能联想到这些黑客的真正面目了。
其中《我是谁:没有绝对安全的系统》可谓异常出色,主角利用社会工程手段“策反”了德国安全局的调查员,销毁了自己的身份档案,成功逃脱了黑帮的追杀和情报局的监控。片中包含了网络入侵渗透、社会工程、网络溯源、反攻击溯源等情节,并提出了人类才是网络安全最大“BUG”的主题。
人是网络安全中最大的漏洞
社会工程是一种非技术手段的黑客行为,利用人与人之间的交往,取得被害人的信任,从而攻破网络安全体系。网络安全体系中最没有办法控制、打补丁的一个因素就是人,往往通过所谓的:假托、钓鱼、在线聊天、下饵等等方式冲破自称最安全的系统。
“人”本身就是一个安全系统,对任何安全系统的攻破,都可以借助人性的弱点来达成。且不论成功与否,人成为了网络安全这一领域内的大问题。尤其是企业,面临来自人的威胁主要有两种,一种是斯诺登这种“内鬼”,另一种就是缺乏安全意识的大部分员工。事实上,后者的危害,远远大于前者。
让不懂安全的看懂安全
数据文件在全程高效保护下,再厉害的内鬼,在没有权限和审批解密的情况下也只能望而生叹。而缺乏安全意识的大多数员工,他们一次轻率的点击就可能会给企业带来灾难性的后果。人们如果不明白安全警告的意思,缺乏“痛感”,自然就不会对其做出响应,因此让他们“看懂安全”显得更为重要。毕竟安全的本质就是风险控制,让企业各个部门、各个层面的人都可以理解、执行安全的操作,最终才能解决“人”这一个最大的安全漏洞问题。
纵观网上的信息,大部分可视化厂商大多提供“检测+防御”能力,但是根据计算的路径地进行异常检测,并不具备闭环事件的防御。所以我们认为建立一套“检测+防御+预测+响应”的闭环防御机制是相当有必要的,通过预测用户行为来扼杀安全漏洞。毕竟可视化的根本目的,必然是通过可视呈现提高安全响应的能力。
在企业内部,人为失误和缺少体系化的网络安全意识是企业数据泄露和安全威胁的首要原因。现阶段,网络安全意识虽然在培训方面取得了很大进展,但仍有很多企业并没有把员工网络安全培训放在首要位置,因此,强调网络安全意识的重要性并有效地做到这一点,还有一些工作要做。
下面简单列举加强企业网络安全的做法
1、获得高层对安全意识培训的授权
当安全专家告知CEO,目前仍有15%的员工会点击网络钓鱼软件,而且无论安全专家如何努力,员工的网络安全意识不提高,企业所面临的网络安全风险仍不可能为零时,我们应该换一种说法:公司可以通过安全意识培训,降低安全风险和安全修复成本。
2、加强对特殊岗位人员的安全培训
公司应该将安全意识培训作为一项检查清单。尤其是执行董事会、高管、财务团队以及采购部门的高层领导,具有访问许多个人电脑和公司服务器信息的特殊权限,因此这些人在网络犯罪分子眼里是具有高价值的目标。
3、安全意识将作为技能贯穿员工整个职业生涯
我们应该了解到,安全意识已经不仅仅是一个商业问题,而是一个现代生活技能问题。人力资源部门在招聘新员工时需要强调培训方面的内容以及重要性。这将是每一个员工在他们职业生涯中可以随身携带的技能。
4、企业举行攻防演练,提升防御能力
很多公司会给员工发送一些网络钓鱼邮件进行内部测试,看看会发生什么。但是,公司如果有条件,可以进行红蓝对抗比赛,有效提升技术人员的攻防水平,安全团队也能更有效地应对安全问题。
