很多机构都会举办网络安全意识月活动,旨在帮助员工、客户以及公众提高对网络安全风险的认知水平,其间也强调各类角色在缓解安全风险上所能够发挥的作用。

今年的网络安全意识月重要程度远超以往,这与当下极为严峻的网络安全形势不无关系:从网络钓鱼与域名欺诈,到勒索软件以及超大规模DDoS,网络安全领域的各个方面都呈现出越来越可怕的威胁态势。更糟糕的是,安全威胁已经超越了传统的恶意与财务意图——2016年美国总统大选事件证明,攻击者已经开始利用网络渠道实施与地缘政治相关的活动。

如果员工好不能充分参与,网络安全意识月将无法带来任何符合预期的积极影响。我们需要有各类有趣引人的想法,确保大家能积极参与。下面是我们觉得6个值得一试的有趣思路。

1. 问答之夜

您的员工对于网络安全知识的了解程度如何?事实上,我们可以通过多种方式传授网络安全的知识。您可以通过正式的课堂式集训进行普及,但员工恐怕会厌倦这种枯燥乏味的形式。事实上,其他手段的效果往往不理想:例如作为企业整体安全意识建设计划的一部分,很多员工并不愿意定期阅读自己收到的信息安全电子邮件。

通过组织有趣且存在一定竞争元素,但又不那么严肃正式的问答活动,我们可以更充分地调动起员工积极性。想象一下,在问答之夜活动中,由不同部门作为参赛团队彼此对抗,并为答对最多问题的团队提供奖品——其中贡献最突出的个人还将获得相应的殊荣,是不是很棒?

为了获得更好的效果,请尽可能提出非技术性问题,否则竞赛胜利者的头衔恐怕会长期被IT部门所占据。

2. 敏感文件大搜捕

相信每个人都对寻宝活动抱有浑厚兴趣。因此我们可以任意选择一天,在日常工作结束后指定某一部门的员工在另一部门的工作区内尽可能多地寻找敏感文件或者未及时锁定的计算机。敏感资料泄露量最少的部门,将在比赛中获胜。

其中的问题在于,已经拥有良好文件管理习惯以及信息保护文化的部门往往更有可能刻这一挑战。

为了提升参与积极性,大家可以选择另一种方式:在指定场所内隐藏一份或者多份文件,而后开展文件大搜捕行动。接下来的一整个月都属于搜捕期,那些成功找到相关文件的个人将获得奖励。

3. 模拟钓鱼攻击

设计一份极具诱惑力的钓鱼邮件,并将其发送给组织中的每位成员。我们可以在深夜期间进行发送,以确保员工能够在第二天早上马上看到。您可以使用外部或者欺骗性电子邮件地址,总之尽可能提升内容的可信度就是了。为了强化迷惑效果,大家甚至可以在其中添加企业徽标、品牌宣言、免责声明甚至是高层管理人员的真实姓名等等。

在内容层面,邮件应该要求收件人尽快发送某些机密信息。这场模拟攻击的目标,是为了了解多少员工会根据要求在回复邮件中提供对应的实际数据。

实际上,即使员工没有提供所要求的数据,其做出的任何回复操作都应被视为失败。一般来讲,身份窃取者需要积极搜寻组织内员工的真实姓名以发动进一步攻击,而任何回复都有可能为其提供线索。

当然,在工作人员最终意识到这只是一场小测验时,心态会非常放松。但在放松的同时,他们也学习到了很多关于社会化工程攻击的知识。

4. 活动游戏化

如果大家没有购买现成的应用程序产品,游戏化活动往往会带来不少定制化编程工作量。但是,这一切都将物有所值。此类活动将奖励参与者展示或者提升自身安全意识的行为。为了获得理想效果,游戏活动应该制定有明确的规则,包括员工必须清楚了解他们要如何参与、能够获得怎样的奖励并通过实时排行榜展示当前得分最高的人员等。

举例来说,参与者在完成信息安全测验之后可以获得20分,如果能够确定安全程序失效则可获得50分等等。在网络安全意识月结束后,大家可以为员工安排一场总结活动,并为得分最高的员工提供丰盛的晚宴或者礼品卡等。整个流程应该尽可能自动化,从而提升参与者的信心并缓解紧张感。

5. 充分组织户外活动

如果大家希望员工之间能够进行充分的创新思维交流,在网络安全意识月之内至少应该组织一次户外活动。目前已经存在各种各样的户外团队建设活动,您可以有针对性地向其中加入网络安全元素,并鼓励员工们相互竞争。

户外活动的优势在于,大家不必为获胜的个人或者团队准备太过昂贵的奖品。首先,员工们本身就乐于离开办公室享受户外环境; 其次,新环境下的对抗能够带来不同于以往的乐趣。

这种悠闲的环境能够非常高效地传递严肃信息,并让工作人员彻底摆脱日常办公事务的束缚,专注于网络安全议题开展充分讨论。

6. Bug赏金项目

我们此前强调控制网络安全活动中技术性的重要意义,这主要是为了建立相对公平的竞争环境。尽管如此,必须承认IT部门在保障网络安全控制方面承担着最大的责任。如果大家希望在网络安全意识月中给自己提供一些有针对性、有吸引力的挑战,同样需要动动心思。

因此,对于更熟悉技术知识的员工,大家不妨组织一次漏洞赏金项目——即鼓励参与者在一个月的周期内搜寻各类系统漏洞。

与任何其他渗透测试一样,请确保您的漏洞赏金项目的执行不会影响日常运营。事实上,入侵有可能会给生产环境造成严重影响,因此请谨慎地将黑客尝试限制在低流量日(例如,大多数企业在星期日的流量水平明显较低)。除此之外,大家还可以将演习限制在测试环境当中,但请确保该测试环境与生产系统保持高度一致。

发现漏洞可能是一项既耗时又耗神的工作。因此,对于那些能够发现高严重度漏洞的员工,大家应该为其提供诱人的经济回报。

网络安全意识:投入一月,保障一整年

网络安全意识月代表着一次重要的机会,能够让企业高层管理团队深入理解并积极支持内部的整体安全意识培养。通过这种自上而下的支持并提升活动乐趣水平,员工们将展现出令人兴奋的参与热情,并最终有效强化企业内的数据与系统安全性。

本文由安全内参翻译自techgenix

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。