根据Elevate Security与Cyentia Institute发布的调查报告,安全意识培训与网络钓鱼模拟等传统意义上的风险缓解措施,改善员工的实际网络安全实践方面效果有限。
这项报告综合整理了恶意软件、网络钓鱼、邮件安全以及其他真实场景下的攻击数据,发现虽然安全培训能够略微降低受训用户的网络钓鱼模拟点击率,但在组织层面或者实际攻击收效上无法带来显著改善。
此外,模拟与培训的增加还可能适得其反。报告发现,接受过五次或更多培训的用户,实际上要比从未接受任何培训的用户更有可能点击网络钓鱼链接。报告得出的主要结论包括:
少数用户(约7%)曾经运行或下载过恶意软件;如果以部门为单位衡量,则这一比例增长至31%;从组织整体出发,恶意软件被引入企业资产的可能性进一步激增至100%。
重复培训效果不佳:在仅接受过一次培训的用户中,有11.2%点击了网络钓鱼链接;但在接受过五次培训的用户中,则有14.2%点击了恶意链接。
Elevate Security首席产品官Masha Sedova表示,“考虑到近三分之二的数据泄露事件与人为风险有关,可以肯定引发安全隐患的根源仍然是老问题——人为错误。长期以来,人为错误也一直被视为网安领域最无解的难题之一。”
“调查数据最终表明,传统安全意识培训与网络钓鱼模拟活动对于组织保护几乎没有什么积极影响。这些千篇一律的程序只能满足合规性与审计要求,但在风险管控效果上并不理想。”
个人得分高于集体得分
从结果来看,培训与模拟确实能够给个人用户带来一定程度的风险意识提升,但在组织层面则起不到任何有实际意义的效果。
以网络钓鱼模拟为例,个人用户中只有6%在诱导下点击了恶意链接。但在多人模拟当中,培训效果开始快速衰减。
40%的用户未能通过网络钓鱼测试,而三分之二的部门不幸中招。从组织整体的角度看,几乎100%会有人被钓鱼活动骗倒。
两个重要变量:组织层级与人口统计因素
对于普通员工、经理与供应商,员工群体点击网络钓鱼链接的可能性最高,而且组织内层级较低的基层员工安全意识较差,往往无法通过网络钓鱼模拟测试。
在基层员工当中,有7%到10%的受试者受到恶意软件感染;而在高层员工中,只有1%意外中招。有17%到24%的基层员工点击了伪造邮件,而高层员工的点击比例仅有3%到10%。
这样的统计学结论证明:合理评估具体风险与设计干预措施同样重要,而且往往在网络安全工作当中更具有指导意义。
密码管理器有助于降低人为风险
实际使用密码管理器与未使用密码管理器的用户相比,前者下载或执行恶意软件的几率仅为后者的十九分之一。根据具体数据,我们有理由相信密码管理器能够在各类用户群体中发挥良好的保护作用。
此外,层级较高的人员往往更可能使用密码管理器。调查发现,近30%的经理级雇员使用密码管理器,而普通员工的使用比例为20%。
Elevate Security公司CEO Robert Fly表示,“企业在安全技术方面投入数百万美元,但仍然无力应对因简单错误引发的安全事件。”
“如果找不到一种能够实现人为风险基准化、并对最容易受到攻击的员工加以适当控制与限制的攻击面管理方法,那么以往的所有技术支出及管理投入都没有任何意义。只有以更全面的方式理解并管理人员攻击面,才能帮助CISO对于高风险人群建立起独特见解,进而增强组织的整体网络防御策略。”
参考来源:helpnetsecurity.com
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
