安全意識提升攻略

提升安全意識看似簡單，不過相信大家在實踐后就會發現并非易事。其不僅需要資源等客觀條件準備到位，對于人員的培訓同樣必不可少。因此企業在進行安全意識培訓時，可能會遇到復雜度極高、成本不菲等眾多問題。不過，通過科學的方法，這些困難或許都能得到有效解決。

無論大企業還是小公司，曾經都可能有過提升員工安全意識的計劃。盡管項目結果未必完美無缺，但其中大部分仍會有收效。從本質上講，保證項目獲得成功的關鍵在于，企業必須真正理解自身的目標規劃。

在這一課題的研究過程中，CSO網站曾對眾多從業專家以及企業高管進行了調查。

一般而言，企業高管會將信息安全與業務視為兩項獨立的事務，而且盡管這種觀點現在發生了一定轉變，但大多數管理者仍然很難將安全防護納入整體業務流程。

雖然對于那些已經將安全與業務聯系起來的高管們來說，許可更新、支持與服務協議、防火墻以及其他相關安全設備已經成為其必須深入了解的安全組件。但即便如此，對于管理者而言，安全意識培訓似乎更像是一種整體安全培訓的擴展與延伸，這類似于需要單獨撥款的項目往往得不到管理者的認可。

不可否認的是，伴隨一些重大信息安全事件的發生，一些企業管理層開始意識到事態的嚴重性，很多企業在安全預算方面也確實增加了不少，但大部分企業還沒有意識到這一點。

安全意識培訓是否必要？

安全意識培訓的實際價值在專家眼中同樣存在爭議。一部分人認為很有必要，不過也有不少專家覺得這純粹是在浪費時間和資源。

CSO網站專欄作家Dave Aitel這樣論述他的安全意識培訓無用觀點：“與其投入時間、金錢與人力資源嘗試向員工傳達安全意識，企業還不如將注意力高度集中在業務環境保護以及網絡隔離上。這才是更科學的企業管理哲學。員工應該可以點擊任何鏈接或者打開任何附件，而這些都不應該給企業帶來安全風險。”

“由于員工有可能這樣做，因此我們不妨以此為核心作好規劃。這是CSO、CISO或者IT安全經理的本職工作，即確保威脅在接觸到員工之前就受到扼止。如果這些手段未能奏效，那么網絡隔離機制也必須有能力控制感染的進一步擴散。”Aitel說。

不過另一位專欄作家Ira Winkler則從反面提出了不同的見解：“我們要關注的是，安全意識培訓所需要的成本是否低于由此可能帶來的實際損失。舉例來說，每一次成功的釣魚攻擊都會造成相應的經濟損失，如果大家能夠通過培訓將釣魚攻擊成功的機率降低50%、那就相當于降低了50%的潛在損失。”

“有觀點指出，科學有效的安全意識培訓能夠將攻擊活動的成功率降低90%甚至95%。很明顯，這足以證明安全投入的物有所值，特別是在大多數安全意識培訓方案甚至并不需要花費多少資金的前提之下。”Winkler表示。

安全意識培訓存在的意義并不是為了取代傳統的網絡安全設備或者管理策略。同樣，它也不是為了替代緊急事件的響應與處理機制。事實上，安全意識培訓根本也起不到這樣的作用。安全意識培訓的惟一作用在于提高業務流程的恢復成功率，并在問題發生時顯著縮短響應時間。

雖然通過培訓能夠使員工輕松識別并上報釣魚攻擊或者郵件惡意附件，但這并不代表此類攻擊會被徹底消滅。其更多作用是幫助安全團隊的技術人員更快發現問題，而這最終很可能成為決定事故到底是一場虛驚還是一場災難的關鍵性因素。

從零開始分步實施

提升安全意識，首先要構建起科學的安全意識培訓機制。值得注意的是，一定要把安全意識培訓與安全培訓區分開來。對于普通員工來說，安全意識與安全事件的處理能力是完全不同的兩類內容。

安全培訓的目的在于提供一套目標明確的執行規則，而這也是大多數審計工作人員在進行合規性檢查時的考量重點。安全意識培訓則意在糾正員工的行為方式。如果能夠以正確的行為方式行事，企業員工將成為現有安全體系的延伸與擴展。相比之下，安全訓練可以每年進行一次，但安全意識培訓則是一個漫長且持續性的過程。

安全意識提升實例

Amanda Berlin在美國中西部一家中等規模的醫療企業負責安全相關的工作。在過去幾個月，她在幾乎沒有任何資源的前提下構建起了一套行之有效的安全意識培訓方案。

由于她所供職的企業無法提供安全意識發展與培訓所需要的資源，但安全意識培訓又是必要的，所以Berlin只能選擇自己解決。雖然整個過程持續了很長一段時間，但她的努力現在已經開始收到成效，員工對于安全相關事務的關注讓企業避免了不少損失，而這部分工作也沒有給財務支出帶來大的壓力。

“由此我們意識到，安全事務當中最薄弱的一環就是員工本身，”Berlin在接受CSO網站采訪時指出。“雖然對于企業而言，我們可以部署IDS/IPS，甚至大規模實施電子郵件過濾機制，但員工的疏忽仍然會給惡意人士留下可乘之機。”

正如前面所提到的，員工培訓從長遠角度看能保證攻擊活動始終被屏蔽在業務網絡之外，但這并不是萬能的。

過去在尚未推動安全意識培訓工作時，Berlin所在企業需要應對眾多不同類型的攻擊，主要包括隨機來電及傳真（例如虛假域名發來的催款賬單），因此在企業正式進行滲透測試之前，一直沒有認真考慮對員工進行大規模安全意識培訓。

“我們進行了一次實驗性測試，其中包含某些釣魚機制，并由域管理員向被測試人員發送訪問鏈接。不到15分鐘，就開始有員工點擊這些陷阱鏈接，這直接導致安全證書失效并讓‘惡意人士’入侵到內部環境中來。”Berlin表示。

這是一次令人吃驚的測試。除了接受過安全培訓、了解HIPAA以及其他相關監管要求的員工，她所在企業中沒有一個員工意識到這是一次針對釣魚或者類似攻擊活動的安全意識培訓演練。

從此次活動可以看出，如果人為因素能夠得到強化、或者至少是做好更為充分的準備，再配合網絡層面的其他防御手段，那么攻擊行為將更難獲得成功。

利用有限資源構建科學的培訓方案

對于Berlin而言，從零開始構建安全意識培訓方案經歷了一系列步驟，而第一步在于同她的老板以及企業的培訓部門進行磋商。

該項目的基本思路在于開發出能夠讓所有員工受益的培訓內容。其前提之一是，必須保證這些內容通俗易懂，這樣相關信息才能為員工所理解接受，技術層面的話題也不至于讓員工感到一頭霧水。

“我們最終選擇了能夠被所有終端用戶輕松理解的內容，例如說明不要點擊哪些類型的電子郵件。我們不會在這方面做出太多深入的解釋，只是告訴大家應該怎么做，不能怎么做。”Berlin解釋道。

在通過各種正式與非正式員工會議將這些建議傳達下去后，接下來要做的就是對效果進行檢驗，看他們是否能夠學以致用。

在項目開始運作的第一個月，她們開始嘗試以特定方式推行該培訓方案。Berlin選擇的是原本就已經公開的企業電子郵件地址，并在其中選定了一部分員工作為潛在的攻擊受害群體，希望用這種方法了解培訓項目的進展情況。

接下來，她利用社交媒體工具包編寫了一封明顯可疑的電子郵件，并在其中留下一個能夠收集安全證書信息的網頁鏈接。

“這只是一封由短短兩三行內容組成的HTML郵件。我希望讓員工們能明顯感覺到它來自不合法的地址。至于目的，我打算借此了解大家的個人過濾機制效果到底如何，”Berlin在回憶起第一封發給同事們的測試郵件時解釋稱。

第一批電子郵件由某個特意為該測試所創建的Gmail賬戶發出，內容中包含未經驗證的信息，并利用一個基本的HTML鏈接指向作為陷阱的某個本地IP。在發出數百封郵件之后，Berlin說她已經收到了指向目標中大約六成的安全證書信息。

這樣的測試結果證明企業在安全領域確實存在重大缺陷，但同時也反映出培訓項目需要加以調整，從而更好地對測試結果加以追蹤。整個測試周期持續了幾個月，Berlin才最終做好了正式實施該方案的準備。

通過獎勵激發員工熱情

雖然初步測試已經證明了安全意識培訓的必要性，但接下來的問題在于，哪些員工應該被作為培訓計劃的首批對象。事實上，目前很多服務供應商都可以提供來自外部的安全意識培訓方案，然而雇傭外部人員的高昂成本可能令企業管理層望而卻步、同時也會給現有財務預算帶來額外壓力。

Berlin的做法是借助內部力量開展與培訓相關的事務。此外，管理層也劃撥了一筆由此節省的費用（共1000美元）來建立員工獎勵機制。

“也就是說，每當有人報告發現了釣魚郵件，無論來自我們的測試流程還是真正的外部攻擊，他們都可以將其轉發到后臺或者通過電話上報，這樣我們就能實際查看到這類郵件。如果其確實屬于不合法郵件，我們會采取一系列措施將其屏蔽；如果確認是誤判，我們則通知員工可以安心收取并查看該郵件。”

這樣的機制鼓勵員工將真正的非法釣魚郵件以及來自當前安全意識培訓的考查郵件上報給相關部門。

而激勵方案本身也非常簡單，以員工的個人興趣為核心。公司每月會準備幾張面值為20美元的禮品卡，季度禮品卡的面值則提升為50美元，可用于在Bass Pro商店或者紅龍蝦餐廳的消費。當然，年度大獎則是面值達400美元的Amazon禮品卡，這足以為獲獎者本人或者親朋好友選上幾份不錯的禮物了。

財務激勵對于項目進展起到了顯著的推動作為，Berlin表示企業中針對非法釣魚攻擊的上報數量“如火箭般持續攀升”。更令人欣慰的是，員工們徹底擺脫了報告潛在問題或者承認被攻擊所帶來的緊張與不安情緒。

盡管回報相當顯著，但對于Berlin所在的企業而言，追蹤并衡量項目進展才是真正需要關注的重點。在推行了很短的一段時間后，她的項目就已經達到了較為理想的效果。培訓流程本身組織的攻擊活動在成功率方面不斷下降，這樣的成績與當初第一次進行測試時的狀況形成了鮮明的對比。

根據他們的統計報告顯示，1月，培訓項目共向員工發出985封郵件，其中有53%的受測試目標點擊了釣魚鏈接。在點擊鏈接的員工當中，有36%輸入了安全憑證信息，但只有11%的員工報告稱他們遭遇攻擊。

2月，培訓項目共向員工發出893封郵件，其中有47%的受測試目標點擊了釣魚鏈接。在點擊鏈接的員工當中，有11%輸入了安全憑證信息，另有11%員工報告稱他們遭遇攻擊。

而在3月，這一項目陷入了停滯階段，在發出1095封郵件后，只有3%的被測試目標點擊了釣魚鏈接。而在點擊鏈接的員工當中，沒有一個人輸入過安全憑證信息。且3月份每一位點擊了該鏈接的員工都報告稱自己遭遇攻擊。

“我認為3月份員工點擊率變低的主要原因在于，員工已經了解到培訓設置的釣魚測試主題，”Berlin在談到統計結果時指出。“我們在3月遇到了畸形兒基金會的活動高峰，員工們收到大量關于捐贈或者相關銷售主題的郵件。我們認為不少員工可能在收到此類郵件時直接選擇刪除或者視而不見。”

4月則出現了另一種有趣的現象。沒有一個員工在鏈接中輸入安全憑證信息，因此培訓項目開始將關注重點放在了釣魚鏈接點擊方面。任何點擊了釣魚鏈接的員工都會直接收到一條“你被攻擊了！”的消息。

在這輪測試中，共發出1111封郵件，其中2%的受測試者進行了點擊，有25%的點擊者報告稱他們收到了這條提示消息。

盡管Berlin的安全意識培訓已經明顯地改變了員工的操作習慣，并大大提升了所在企業的整體安全觀念，但這并不足以讓安全團隊高枕無憂。整套方案還有很多可供提升的空間，而且項目本身也處于不斷的調整當中。

舉例來說，他們計劃進一步提升測試追蹤效果，并讓整套流程更加易于管理。就目前而言，追蹤機制仍然依靠人力操控，因此下一步的目標是將其全面推向自動化。除此之外，Berlin還打算將移動設備的測試引入到該項目當中，因為當前企業中已經有不少員工在利用平板電腦處理日常工作。

安全意識只是安全保衛戰的一部分

安全意識培訓還僅僅是信息安全保衛戰中的一小部分。當釣魚郵件被發送至用戶手中時，就意味著一部分安全鏈接已經失效（被反垃圾郵件系統攔截），接下來對抗攻擊的任務就落在了整個體系中最為薄弱的人身上。

如果用戶接受過培訓或者擁有上報隨機異常狀況的習慣，那這種被動型釣魚攻擊很有可能宣告失敗。然而人都不是完美的，而且指向性明確的釣魚攻擊總能找到可以利用的突破口。

鑒于此，管理層應該鼓勵員工積極報告任何可疑的嘗試乃至安全問題，即使被認定為誤報也不可對其加以懲罰。擺脫了這種顧慮，員工們將幫助企業大大縮短處理此類意外狀況的時間，在某些情況下甚至能夠避免災難的發生。

雖然企業要為安全意識培訓調配一定的資源，但相對于數據違約所造成的損失可以說是九牛一毛。所以還猶豫什么呢？構建起適合自己的安全意識培訓方案已迫在眉睫。

CSO網站專欄作家Dave Aitel這樣論述他的安全意識培訓無用觀點：“與其投入時間、金錢與人力資源嘗試培訓員工的安全意識，企業還不如將注意力高度集中在業務環境保護以及網絡隔離上。這才是更科學的企業管理哲學。”

CSO專欄作家Ira Winkler認為：“我們要關注的是，安全意識培訓所需要的成本是否低于由此可能帶來的實際損失。舉例來說，每一次成功的釣魚攻擊都會造成相應的經濟損失，如果大家能夠通過培訓將釣魚攻擊成功的機率降低50%、那就相當于降低了50%的潛在損失。”