近在咫尺的危機

趙明

根據卡巴斯基實驗室和B2B International 最新的報告《IT安全中的人為因素：員工如何讓企業更容易遭受攻擊》，全球有40%的企業存在員工隱藏IT安全事故的情況。每年，有46%的IT安全事故是由企業員工造成的。我們必須在多個層面解決這一漏洞，而不僅僅是通過IT安全部門來解決。

無知的或大意的員工是最容易造成網絡安全事故的原因之一，僅次于惡意軟件。惡意軟件正在變得越來越復雜，但不幸的現實卻是，人為因素則可能造成更大的危險。

特別在面臨針對性攻擊時，員工的粗心大意是企業網絡安全盔甲上最大的裂縫。高級黑客經常可以使用定制的惡意軟件和高科技攻擊手段實施盜竊和攻擊，而且他們很可能會利用最容易的突破點開始攻擊，即利用人的本性。

根據研究，過去一年發生的針對企業的針對性攻擊中，有28%都在源頭上使用了釣魚或社交工程攻擊手段。例如，一名粗心大意的會計人員很可能會打開一個偽裝成發票的惡意文件，盡管這個文件看上去是來自某個承包商。這樣做，可能導致整個企業的基礎設施關閉，使得這名會計成為攻擊者的同謀，盡管他自己并不知情。

卡巴斯基實驗室安全研究員大衛·雅各比（David Jacoby）說：“網絡罪犯經常利用員工作為入侵企業基礎設施的入口。釣魚郵件、弱密碼、假裝技術支持的來電等，這些手段我們都見過。即使丟失在辦公室停車場或秘書辦公桌旁邊的一個閃存盤也可能導致整個網絡被入侵——網絡罪犯只需要有不關注安全的內部人員參與即可。一旦這些設備連接到企業網絡，就可能造成破壞。”

企業不會每天都遇到復雜的針對性攻擊，但是傳統的惡意軟件卻會大規模實施攻擊。不幸的是，研究還顯示，即使是惡意軟件感染事件，也經常涉及不了解安全和粗心大意的員工，他們導致了53%的惡意軟件感染事件。

如果企業員工隱瞞涉及到自己的網絡安全事故，可能會導致更嚴重的后果，導致危害增加。即使一起未上報的事故也可能表明有規模更大的違規行為，安全團隊需要快速確認威脅，選擇正確的應對策略。

但是，員工可能寧愿讓企業面臨風險，也不會上報問題，原因是害怕遭受懲罰，或者對于自己的過錯而感到難堪。有些企業嚴格執行規定，對員工施加額外責任，而不是鼓勵員工謹慎合作。這表明，網絡保護不僅在于技術領域，還在于企業的文化和培訓。所以，企業的高級管理層和人力資源也需要參與進來。

卡巴斯基實驗室安全教育項目主管斯拉瓦·博麗靈（Slava Borilin）評論說：“隱瞞事故的問題不僅應該傳達到員工，還要傳達到高層管理人員和人類資源部門。如果員工再隱瞞事故，肯定是有原因的。有些情況下，企業引入嚴格但不明確的政策，給員工施加了太大的壓力，警告他們不要這樣做，否則一旦出錯，他們將承擔責任。這種政策會引起恐懼，而且會讓員工只有一個選擇，就是想盡辦法避免遭受處罰。如果企業的網絡安全文化從上到下是積極的，基于教育手段還不是限制手段，那結果將很明顯。”

博麗靈回顧了一個工業安全模式，其中報告和“從錯誤中學習”方法是該企業的安全核心。例如，在Telsa的Elon Musk最新的聲明中，他要求所有關系員工安全的事件都直接上報給他，他將在解決問題和做出改變過程中發揮核心作用。

全球的企業已經意識到員工會讓企業變得更易遭受攻擊這一問題：52%的受調查企業承認員工是IT安全中最薄弱的一環。很明顯，實施以人為本的措施的越來越必要。35%的企業正在通過向員工提供培訓來提高安全性，使其成為第二種最常用的防御手段，僅次于43%的計劃部署更復雜安全軟件的企業。

保護企業抵御同人為因素相關的網絡威脅的最好手段是將正確的工具和正確的做法結合起來。這需要人力資源部門和管理層的努力，激勵和鼓勵員工保持靜態，在遇到事故時尋求幫助。為員工提供安全意識培訓，提供明確的準則，而不是多頁文件，建立強大的技能和動力，培育正確的工作氛圍，這些都是企業應采取的第一步措施。

在安全技術方面，大多數針對不知情或粗心大意的員工的威脅，包括釣魚攻擊，都可以通過端點安全解決方案來應對。這些解決方案可以滿足中小企業和大型企業在功能、預設保護和高級安全設置方面的需求，最大限度地減少企業面臨的風險。