知名研究机构Gartner发布的网络安全趋势中,将“实施安全行为与文化计划以降低人为风险”,列为2024年九大趋势之一。安全行为与文化建设首次入选Gartner年度安全趋势。
这主要是由于绝大多数的网络攻击利用“人的漏洞“。2023年的多次个重大安全事件利用了社工攻击。Gartner的安全行为调查发现,69%的的受访者在过去12月曾故意绕过公司的安全机制。
在生成AI加剧政企安全风险之际,传统的网络安全意识教育却无法有效减少员工行为导致的安全事件。新兴的人为因素风险管理旨在从提高意识转向促进行为改变,推动安全意识进入2.0时代。
一、令人防不胜防的社工攻击
在2023年,多个重大安全事件中,社工攻击成为重要的手段,其中最引人注目的莫过于2023年9月针对米高梅国际酒店集团的勒索软件攻击事件。
攻击者先从职业社交网站查找目标公司的员工,然后冒用他们的身份致电IT技术支持部门,仅仅花了不到10分钟就获得了访问网络所需的密码和凭证,进而窃取了客户的个人数据,包括联系方式、性别、出生日期和驾驶执照号码等。据估计,这次攻击导致米高梅集团遭受1亿美元的利润损失。一个大型跨国集团公司连防范社会工程学攻击都束手无策。
实际上,几乎所有成功的网络入侵或数据泄漏事件都有一个共同点:涉及人的因素。企业不断加大安全投入,部署了先进的安全技术平台与工具,遵循了更为严格的网络安全与数据安全标准,但有一个问题始终困扰着各个行业的大中小型企业。即黑客以“人”为目标对象,利用人性弱点、心理学和黑客技术,发起网络钓鱼攻击、社会工程学攻击,几乎可以100%实现成功侵入企业内网。网络犯罪分子通常将“操纵员工”视为进入公司信息系统和访问机密数据的最简单、最快捷、最有效的方式。
社会工程学攻击之所以防不胜防,是因为它攻击的是人类大脑的底层操作系统:即本能脑和情绪脑,激发受害者的紧迫感、贪婪与恐惧、惊喜与好奇,产生取悦或服从的冲动,从而绕过理性脑做出不明智的安全决策。
除了员工因安全意识薄弱而被黑客轻易拿下,员工有意或无意造成的“人为错误”,也是造成数据泄漏的一个重要原因。例如,因疏忽误配置、误发送邮件至错误收件人、为省心使用弱口令或共享账号密码、为提升工作效率走捷径而绕过安全管控措施、因心怀不满或威逼利诱而窃取/倒卖/删除公司数据等等。
对于组织而言,员工是抵御社会工程学攻击的一道重要防线,而安全意识教育是武装员工大脑,为员工赋能的关键措施。尽管越来越多的企业意识到安全意识的重要性,推出了全员安全意识培训计划,但传统的安全意识教育往往收效甚微。
米高梅被勒索的安全事件也反应了传统安全意识培训的失败。
正如Gartner在研究中所指出的,机构只是注重提高员工的网络安全意识,但在很大程度上无法有效减少因员工行为而导致的安全事件的数量。Gartner 的安全行为驱动因素调查发现:69% 的受访员工承认在过去 12 个月内故意绕过安全控制。93% 的员工明知自己的行为会增加组织的风险,但还是采取了这些行动。
二、安全意识教育1.0没落
“网络安全,人人有责”、“人是最薄弱的一环”、“人的漏洞最难修补”等等金句对于社会公众、企业员工来说已经耳熟能详。这些观念与论断的初心是好的,但无形中也造就了目前安全团队及安全意识教育的尴尬局面,且长期未被打破。
但凡提到安全,都会强调 “人人有责任”。但当责任感未能深入人心、未细化到每个人的时候,人人有责常常沦为“人人无责”。这就是“责任分散效应”惹得祸,也就是如果一件事是要求一个群体共同完成的,群体中的每个个体的责任感就会减弱,面对困难或追究责任时往往会退缩、推诿。在缺乏网络安全文化的公司里,尽管安全团队一厢情愿地大力倡导“网络安全人人有责”,但员工总是有一种强烈倾向“网络安全是IT安全部门的事儿”,即使出了安全问题,也会有安全团队或其他人兜底,安全责任与我无关。
此外,“人是最薄弱的一环”、“人的漏洞最难修补”,这一定位是将员工定位为一个弱者与受害者的形象,一个“不被信任”的角色,这样一个身份定位并不利于组织安全文化建设,员工的信念、态度、行为也会受到负面影响,会更加理所当然地推卸责任或不作为。当人们被认同、被肯定、被信赖时,会变成一个好人。而当人们被不断检验或否定时,他就会用犯错来证明你的检验确实是有必要的。因此,安全团队想要与全体员工形成“统一战线”对抗外部攻击的策略,也就成了一种奢望。
从目前来看,传统安全意识培训存在诸多问题,包括安全意识的培训理念与技术落后,这直接导致培训成本高、效果差。
1、安全意识培训成本高、效果差
很多公司将员工安全意识培训成本看成是固定的(例如,年度预算30万),这是一个很大的误区。安全意识培训的间接成本(时间成本、机会成本)实际上是很昂贵的。以一家1万人规模的公司为例,每月员工围绕一个安全意识主题的平均学习时长为30分钟,公司全员总学习时长为0.5万小时。如果全年完成12个主题模块学习,累积时长为6万小时(2500天)。如果这6万小时用于生产性工作任务,能产生多少价值呢?如果6万小时的学习并没有带来实际结果,这又会造成多少浪费呢?试想一下,如果安全意识培训搞“一刀切”且枯燥乏味,而培训内容本身必须塞进很多专业术语,员工只好硬着头皮应付学习,对于这样被动式的学习,其知识吸收与保留率可想而知。大部分培训内容很可能会从一只耳朵进另一只耳朵出,仅一天之后,员工就会忘记70%以上的内容,也就更谈不上形成知识转移、行为养成与投入产出比了。
另外,企业安全团队很容易会陷入一个误区,认为一年内面向员工推出一些安全意识培训课程和测试,发送一些邮件宣传海报或公众号长图文,定期组织几场钓鱼模拟演练,开展线上线下安全日/周/月体验活动,就能解决网络安全中人的风险问题。但是,正如许多企业后来发现的那样,按照上述业内实践年复一年地做下去,并未看到明显的收益,表面功夫上的努力不足以真正改变员工的风险行为,提升组织的网络安全弹性。
2、安全意识教育理念与技术长期停滞
安全意识与培训在理念、技术、标准及实践等方面经历了一个缓慢的演变过程。例如,在安全意识标准方面,早在2003年美国国家标准与技术研究院就已经推出了NIST SP 800-50标准—《构建信息技术安全意识与培训计划》,一直以来作为业内的“金牌”参考指南,直到20多年后的2023年终于迎来了改版(新标准更名为:《构建网络安全与隐私学习计划》,草案已完成征求公共意见阶段,尚未正式发布)。
在安全意识方法论方面,不论是安全意识厂商还是企业用户,大约15年前就停留在安全合规与意识提升层面,鲜有提及行为改变、风险度量与文化变革。
在安全意识与培训技术方面,约10年前就引入了钓鱼模拟演练、线上或线下密室逃脱、攻防模拟演示等。约5-6年前(2017-2018年)传统教育领域中的互动学习、微学习、游戏化学习、社会化学习、混合式学习等技术逐步引入安全意识教育领域。此后,VR技术、游戏技术、度量指标技术也被逐步引入安全意识培训。
但安全意识厂商的“杀手锏”仍是围绕着内容做文章(如:内容丰富、形式多样、风格迥异、时长差异等),对于培训效果、用户行为缺乏关注和长期跟踪。
安全意识领域显然需要的是一场革命,而不是进化。长时间以来,无论是出于预算或人力的限制,还是由于一贯的业内实践,企业安全团队开展安全意识工作在很大程度上依赖于基于合规的或基于风险主题内容的宣贯与培训活动。对于绝大多数员工来说,安全意识培训则是一项无聊的、强加给自己的额外任务,占用了其完成手头工作的宝贵时间,仅仅依赖于安全意识宣贯与培训并不是有效降低人为因素风险的最佳方法。
三、“人为因素风险管理”兴起,安全意识进入2.0时代
近两年“人为因素风险管理”逐渐成为安全意识领域未来发展的下一个“风向标”,其核心目标是“以人为中心”,在整个组织内创造真正的“行为改变”,而不是在安全事件发生后再追根溯源、追加培训、追究责任。
Gartner 2022 年推出安全行为和文化计划 (SBCP) 概念和相关的 PIPE(实践、影响、平台、推动者)框架。安全行为和文化计划 (SBCP) 涵盖传统实践,例如意识培训和网络钓鱼模拟,以及一系列影响行为的学科。
2021年初,一些小而美的安全意识厂商开始推出“人为因素风险量化”技术——即通过员工行为度量而不是测试分数和钓鱼模拟中招率计算出员工的行为风险值。还有一些安全意识厂商开始借助于心理学、行为科学与数据科学,以科学的方式更好地管理风险行为数据,以便安全团队能够将有限的时间和资源,聚焦于薄弱环节,有的放矢。一些创新性安全意识厂商开始探索与安全技术厂商形成合作伙伴关系,通过与EDR、SEG、TIP、UEBA、DLP等平台打通,收集与员工风险行为相关的实时数据,并根据员工表现出的不安全行为提供及时的学习内容。另外,安全意识自动化技术(如智能聊天机器人、虚拟助手等)也开始在学习管理平台尝试应用。值此,越来越多的传统安全意识厂商开始刻意摆脱安全意识培训的标签定位,对于企业来说,可选择的安全意识方案越来越多,以合规为目的的安全意识计划逐步迈向到以行为改变与文化塑造为目的的阶段。
1、安全意识2.0特性之一:基于行为的风险度量
管理大师德鲁克有句明言:“你如果无法度量它,就无法管理它”。安全意识1.0时代度量关注的是参与率、完成率、考试通过率、学习时长等指标,这些学习层面的合规性指标并不能衡量学习带来的实际结果,不足以反映员工在日常工作中是否真正践行了安全行为。而安全意识2.0时代主要关注的行为层面的影响力指标,即行为改变与实际效果。一些可量化指标包括但不限于:安全制度违规事件数量、网络攻击与数据泄漏事件数量、钓鱼演练中招率与上报率、安全行为抽检合规率、弱口令使用率等,以及文化层面的组织网络弹性指标,例如:全体员工的安全认知、责任感、自我效能、事件平均响应时长/平均恢复成本的变化趋势等。
2、安全意识2.0特性之二:基于数据的深度洞察
安全意识2.0很大程度上依赖于平台,强调数据的重要性,核心是人为因素风险量化、人为因素风险基线划定,以及人为因素风险持续监控。通过将员工学习数据、行为数据、事件数据、钓鱼演练数据、调查/调研数据等等可定量及可定性数据融合在一起,形成组织、部门及员工层面的人为因素风险全景图。通过风险仪表板,管理层及安全团队可以一目了然地掌握人为因素风险的动态变化。例如,公司当前及近一年最大的“人为因素”漏洞是什么?风险值最高及优先级最高的部门和个人是谁?有多少人在使用弱口令?有多少人远程办公未启用VPN?有多少员工发挥了“风险吹哨人”的作用,积极上报了可疑邮件和疑似攻击?从而,安全团队可以基于客观数据,针对高风险群体量身定制个性化教育计划,提升他们的安全意识与风险防范能力,从而短时间内便可以获得看得见投资回报,获得管理层的认可。员工则可以随时了解自身的薄弱环节所在,有针对性地学习对自己工作最相关、影响最大的内容,从而节省了时间,还可自由掌控学习进度。
3、安全意识2.0特性之三:基于风险的干预措施
一旦安全团队识别了人为因素风险,确定了风险优先级,接下来就可以采取适当的行动应对人为因素风险,在员工的不安全行为发生之前进行及时干预,而不是风险发生之后再进行亡羊补牢。干预措施可以是基于培训的,这时安全意识宣贯培训仅仅是整个风险应对环节的一部分,在合适的时间向适当的员工推送最合适的内容。例如:向员工推送一个提醒通知,推送一门针对性课程,推送一个互动课件或小游戏;也可以是基于制度或权限的,根据员工的行为风险重新评估当前的安全策略,及时调整相关安全规范或降低用户相关权限;还可以是基于人工辅导的,例如,向高风险员工(如员工越权下载非授权应用)所在部门的领导发送一个预警,通知其及时参与员工线下督导,第一时间纠正员工的不当行为。以上所有推送策略都是基于数据与算法,根据风险优先级自动化执行的,向员工提供有关可疑行为或风险行为的即时反馈或及时干预。随着AI聊天机器人与平台的融合,还可以触发人机互动聊天策略,一步步引导员工做出更明智的安全决策。
4、安全意识2.0特性之四:基于内容的持续传播
安全意识2.0时代并不是要完全摒弃安全意识宣贯与培训,安全团队总是需要优质的主题内容素材,以合适的频率持续传播安全理念,吸引广大员工关注,影响各利益相关方,但内容传播策略需要革新,个性化、交互式与游戏化是重点。
每个部门和岗位所接触的数据敏感程度和重要性不同、系统权限不同、安全培训需求也有差异,“一刀切式”的发送给所有员工的培训课程,没有充分尊重员工的时间,没有理解员工的知识需求与现状差距,会导致课程缺乏吸引力和无效学习。安全意识2.0学习管理平台基于数据分析为员工定制不同的学习路径,提供员工最需要的、最相关的、最实用的培训内容,而不是用相同的主题、相同的数量、相同的频率“轰炸”所有员工,浪费员工的时间和生产力,从而有效提升员工主动参与学习的积极性。
传统的安全意识教育往往是基于文本或视觉的“单向沟通”,缺乏与员工的互动反馈与正向激励,时间久了,这样的课程会让员工感到厌倦。而交互式内容对于吸引员工积极参与很有帮助,员工在学习过程中是“双向沟通”,有点击、有拖拽、有问有答、有即时反馈,员工学习完成后会有更强的参与感、掌控感和成就感。
游戏化,也就是“寓教于乐”。一类是纯粹的安全游戏,通过游戏模拟攻防场景,使员工在游戏过程中应用知识,锻炼安全思维,形成对安全风险的肌肉记忆。另一类是应用游戏化元素,将积分、勋章、排行榜等元素融入安全学习过程中,巧妙地应用挑战机制、荣誉机制、良性竞争机制最大限度地吸引员工参与,激发员工的求知欲与好奇心,解锁更多课程模板。
5、安全意识2.0特性之五:基于人性的文化塑造
安全意识2.0时代的企业安全文化建设,首先,安全文化与价值观变革必须得到高层的重视与支持,管理层发挥着至关重要的作用,如果管理层没有从思想上、预算上、行动上“开绿灯”,安全文化在公司内部推行起来将面临重重阻力。
其次,要改善安全团队本身的形象和影响力。在管理层眼里,安全团队是一个IT成本部门,还是创效部门?在业务部门和员工眼里,安全团队是一个到处预警、四下救火的消防站?是一个制造麻烦的、“考核问责”的衙门,还是一个可信赖的赋能部门?安全团队是管控思维,还是利他思维?是“零信任(这一概念需要换一种思路向管理层及员工沟通清楚,否则会产生很多误解)”还是充分信任?对于员工的钓鱼演练中招行为或高风险行为是否一概通告、警示、处罚、限制权限?安全团队是否为组织创造了一个“心理安全”的办公环境?“有毒”的企业安全文化,会造成员工与安全团队关系紧张、不愉快、安全事件瞒报漏报或不报,破坏安全团队的声誉,不利于“联防联控、群防群治”的人防策略落地。
最后,要善于应用心理学与行为科学,从人性角度充分理解和尊重员工。人类三种核心动机包括:追求希望,逃避恐惧;追求认同,逃避排斥;追求快乐,逃避痛苦。安全团队需要反思:员工对于安全意识宣贯与培训是否表达了不满或反感?是否对于钓鱼模拟演练感到不安、焦虑或丢面子?对于员工的积极安全行为/对安全的贡献是否得到了认可,是否配套了相应短期与长期激励计划?面对网络威胁,员工在态度、认知、信念方面是否真得与安全团队站在同一条战线上(员工是否将保障安全视为自己的责任)?安全团队需要相信员工性本善,员工不是最薄弱的一环,通过有效的人为因素风险管理,员工也可以成为一道强大的安全防线!
四、总结
人为因素风险管理可以克服安全意识与培训的不足,未来企业安全迈向高质量发展的关键一环。但员工的安全意识提升、安全行为养成与组织安全文化塑造,不可能一蹴而就,也没有简单的“一键升级”按钮。
网络安全问题的核心是人的问题,无论是技术方案,还是安全文化建设,都需要充分考虑人性的特点,以解决人的问题的思路,来解决人为因素风险。
安全意识2.0可能需要5~10年才能广泛应用于各行各业。Gartner则预计,2025 年40% 的网络安全项目将部署社会行为原则(例如推送技术)来影响整个组织的安全文化。让我们共同期待“技防+人防”实现质的飞跃,让人为因素风险尽在掌控!
关于作者
谢超首,虎符智库特约作者,超安全文化研究院创始人,人为因素安全风险管理专家,世界500强前30企业原集团安全意识与文化负责人
如有侵权请联系:admin#unsafe.sh