网络安全意识的重要性

#赞助

勒索软件攻击几乎是每个系统管理员的噩梦。每天都有新公司成为成功勒索软件攻击的受害者，导致停机、数据和声誉损失。

为了保护我们的环境，我们进行异地备份，增强端点的安全性，并加强防火墙。但您是否知道，超过 80% 的成功勒索软件攻击都是人为错误的结果？

让我们仔细看看人为错误在网络安全中的作用以及如何减少人为错误的机会。

人为错误在网络安全威胁中的作用

当谈论网络安全中的人为错误时，大多数人立即想到的是陷入网络钓鱼邮件或下载受恶意软件感染的文件的用户 - 基本上，这是用户无意中所做的事情。

然而，事情还不止于此。我们可以将人为错误分为两类：基于技能的错误和基于决策的错误。导致安全漏洞的无意错误属于基于技能的错误类别。

在这些情况下，用户没有集中注意力或没有接受适当的培训。陷入网络钓鱼邮件是基于技能的错误的一个很好的例子。用户要么没有接受足够的培训来识别网络钓鱼邮件，要么措手不及而上当。

对于基于决策的错误，要么缺乏行动，要么缺乏知识，从而导致错误的决策。

不及时更新软件就是缺乏行动的一个很好的例子。我们都知道您需要及时修补您的软件和服务器。不及时更新可能会导致网络安全漏洞——这是人为错误的结果。

此外，缺乏知识——不了解某些事物的风险——是网络安全的一大威胁。例如，在不使用 VPN 的情况下通过公共无线网络访问敏感数据。或者将密码写在便利贴上。

误送

除了基于技能和决策的错误之外，另一个常见的人为错误是错误交付。当用户意外地将包含敏感信息的电子邮件发送给错误的人时，就会发生误送。例如，当您点击“回复全部”时，或者当您将收件人放入“抄送”字段而不是“密件抄送”字段时。

此类错误不会导致勒索软件攻击，但仍然是网络安全漏洞。根据公司和泄露的信息，错误交付可能会导致股价下跌或声誉受损。

减少人为错误的变化

那么我们如何降低人为错误的风险呢？嗯，就像所有安全措施一样，这都是关于添加层的。如果用户不知道风险是什么或如何处理某些情况，他们就会不断犯错误。因此，我们需要尽可能地减少人为错误的可能性。以下是一些方法。

使用策略和控制

确保网络安全稳健性和减少人为错误的第一步是在组织中实施正确的策略和控制。例如，并非所有用户都需要访问个人或敏感数据。如果用户无法访问它，那么他们也无法意外共享它。

例如，Microsoft 365 中的数据丢失防护 (DLP) 策略会扫描传出文档和电子邮件以查找敏感数据，例如社会保险号或信用卡号。它可以在发送之前触发警报或发送电子邮件以供经理批准。这双额外的眼睛减少了无意中共享敏感信息的机会。

密码策略和 MFA

通过网络钓鱼电子邮件窃取凭证仍然是最常见的数据泄露类型。问题在于，它们通常需要很长时间才能识别（平均超过 300 天），每次数据泄露的平均成本为 450 万美元 [2]。

当然，强大而独特的密码是第一步，但它们也是一个问题。用户发现很难记住它们，并且经常将它们写在便利贴上。实施 Windows Hello 企业版等功能可以减轻用户的负担。同样，允许用户访问密码管理器可以减少重复使用密码和便签问题的机会。

保护用户凭据的下一步是使用多重身份验证 (MFA)。如果它可用，那么你应该使用它——句号。这也应该是公司的官方政策。幸运的是，如今 MFA 在 Microsoft 365 上是强制性的。

我们看到 MFA 的唯一问题是“MFA 疲劳”。用户过于频繁地收到推送通知，导致他们盲目接受请求。事实上，去年我在我管理的一位租户身上就经历过这种情况。几天前，该用户成为网络钓鱼攻击的受害者，在收到 MFA 请求时，他甚至没有在计算机上工作。尽管如此，他还是批准了外交部的请求，这导致了数据泄露。

为了消除 MFA 疲劳，我们可以做一些事情。例如，我们可以将受信任设备的 MFA 请求量减少到 90 天。这有助于防止用户无意中批准 MFA 请求。

要添加的另一个重要功能是数字匹配。 。这样，用户只需匹配登录屏幕上显示的号码即可批准请求。当然，最后一步是用户培训。确保他们知道哪些操作可能会导致 MFA 请求，以及在收到没有登录操作的请求时该怎么做。

使其可讨论

组织中的一个常见问题是用户不敢说出自己做错了什么。这通常不仅限于网络安全，但它是问题的一个重要组成部分。

当用户更愿意承认自己所犯的错误时，事件的影响往往会大大降低。这不仅限于用户； IT 员工还必须对自己所犯的错误保持公开透明。只有共同努力才能降低网络安全风险并限制违规行为的影响。

用户意识培训

即使采取了所有可能的安全措施，人类仍然是最薄弱的环节。这就是为什么用户意识培训如此重要。他们需要能够识别网络钓鱼、假冒电子邮件和其他网络安全威胁。

意识培训不仅限于网络钓鱼电子邮件。还应解决数据保护、远程位置安全工作、密码和一般 IT 卫生问题。

当涉及到用户意识培训时，定期重复基础知识非常重要。仅仅一个小时的训练是不会有效果的；几周后用户就会忘记它。良好的用户意识培训需要是交互式的并根据用户的需求进行定制，因为某些用户比其他用户需要更多的培训。

包起来

显然，考虑到人为错误在成功的勒索软件攻击中所起的重要作用，我们需要减少网络安全漏洞出现人为错误的可能性。

我们可以借助正确的安全措施和工具来减少机会。但更重要的是我们对用户进行投资，并通过量身定制的用户意识培训计划来培训他们。只有这样，我们才能对网络安全中的人为错误风险产生重大影响。

来源：
- [1] IBM X-Force 威胁情报指数 2022
- [2] https://www.ibm.com/reports/data-breach