领先于骗子:利用智能网络安全技术对抗网络钓鱼
交通运输业是遭受数据泄露最严重的十大行业之一。可想而知,作为北美地区最大的运输和物流公司之一 Werner Enterprises,非常关注和重视这个问题。在我领导的创新部门 Werner EDGE,我们的责任是确保货物通过复杂、安全的网络运输,包括必须扩展保护我们庞大的员工队伍的网络安全方法。
为此,我们必须对网络钓鱼攻击保持警惕,因为这是引发大多数数据泄露事件的根本原因。事实上,尽管企业加强了网络安全培训,但“人为因素”仍然是四分之三的数据泄露事件的诱因。只需点击一个恶意链接,员工就可能让整个公司处于危险境地,例如,美国联邦调查局 (FBI) 表示,迄今为止,商业电子邮件入侵造成的损失已超过 500 亿美元。恶意行为者正在使用日益复杂的方法渗透企业,而 AI 则帮助他们加快攻击速度和范围。
换句话说,网络钓鱼问题不会消失。无论企业的网络架构和安全性多么强大,总是会存在薄弱环节,而且往往是独立的个人因素。一时疏忽可能给整个组织带来灾难。因此,我们越来越清楚地认识到,需要集体调整安全意识培训,以巩固这一道(人类)防线。
说到培训,奖励比惩罚更有效
在个人层面,网络安全意识是指养成一些简单的习惯。就像人们学会在过马路时查看左右两侧的路况一样,需要仔细阅读电子邮件并检查邮件地址,然后再回复或点击链接。Werner 每年通常会开展七次或八次安全培训,包括一次持续 45-60 分钟的强制性年度培训。培训内容相对简单直接,并且涵盖基本知识。我们还提供每季度的巩固培训以及 5-7 分钟的特别培训,让每个人都了解最新的应对方法,特别是在出现新威胁时。这些也是强制性培训。
全年进行安全培训是一种最佳做法,原因如下:
从合规角度来看,保险公司要求我们开展持续的培训。
威胁格局不断变化。恶意行为者一直在寻找新的攻击方法,这对那些即便是最警惕的用户也构成重大挑战,员工需要了解最新的防范策略。
随着时间的推移,员工往往会放松警惕,这是人的本性。培训可以提醒员工认真对待网络钓鱼和其他威胁。
虽然我们在培训中纳入了很多最佳实践,但我们也发现了一些效果并不理想的做法。
最不成功的策略是补救培训。在员工点击某个已知的网络钓鱼链接后,我们可以阻止出站通信并识别是谁回复了违规内容。然后,我们会让受骗者快速复习一下哪些行为不该做。
但是,我们注意到,短短几周内,同一名员工再次上当,遭遇网络钓鱼企图。我估计,在接受了补救培训的受访者中,有近 70% 的人仍然未通过后来的网络钓鱼模拟测试。
与屡次上当的员工交谈让我获得了新的视角:有些人认为接受额外培训是一种惩罚;而另一些人认为此类培训让他们在完成工作所需的基本任务时感到更加紧张,例如阅读电子邮件或打开 Word 文档。
虽然持续的安全意识培训是防范诈骗的关键,但我也得出一个结论:惩罚措施的效果并不好。任何负责网络安全的人都需要找到引人入胜的方式来激励员工注意自己的行为,但同时尊重他们的宝贵时间。
为了获得最佳回应,需要予以奖励,而不是惩罚。
以游戏化方式开展安全培训是一种方法,可以提供正向强化并奖励员工的良好行为,例如举报可疑通信。诸如排行榜、现金奖励、礼品卡或公司赠品之类的激励措施,可以为忙碌的同事们提供切实的理由,促使他们更好地接受培训,并了解更多关于不断演变的网络钓鱼威胁信息。
采取多方位安全措施,始终保持警惕
改进培训只是问题的一方面。总有人会放松警惕,因此,企业必须做好准备,持续强化网络安全态势。
人为错误和疏忽是企业安全面临的两个最大威胁。虽然企业不可能完全消除这些威胁,但可以利用技术作为安全网,最大限度地减少漏洞。
从 Zero Trust 方法入手,企业还可以利用多因素身份验证 (MFA) 和先发制人的电子邮件安全(可能包括用于扫描图像的光学字符识别)等预防工具,减轻 IT 团队和安全团队的负担。
使用端点安全工具来自动隔离并移除网络中受感染的设备也很重要。正如诈骗者利用 AI 发起攻击一样,企业界也必须通过应用 AI 来更快地识别和响应安全漏洞。任何能够利用这些技术的企业,都可以提高防范数据泄露的几率。
网络安全的关键在于面面俱到,以防万一。Werner 会定期运行渗透测试,包括红队测试,即:聘请道德黑客尝试从外部攻击我们的网络。这种做法有助于发现漏洞。
我们的红队也会测试物理安全。他们在停车场四周巡查,检查未上锁的汽车,或在车辆后座上置放笔记本电脑、双肩包或文件。他们还会尾随刷磁卡或扫描工牌的人进入办公大楼。他们会检查是否有未上锁且无人看管的笔记本电脑和智能手机,了解是否有可能从这些设备中窃取文件。对于那些可能认为自己离网络安全问题很远的员工来说,分享这些测试结果可以起到很好的警示作用。
每一位 IT 领导者都深知数据泄露会带来财务、运营和声誉损失,并且深知不应吝惜在安全技术方面的支出。挑战在于如何确保企业内的其他员工对各种威胁保持同样的警惕。
使用一切可用解决方案,抵御网络钓鱼
我主张采取行动,保持紧迫感,以及简化流程。企业必须跟上 IT 创新的步伐以保持竞争力,但也不能行动过快而忘记了安全的基本原则。优化运营、系统和基础设施的各个方面,不仅会减少人为错误,还会减少资本支出和运营支出,从而有可能将更多资金和资源分配给网络安全,应在预算允许的范围内尽可能加强网络安全。
网络钓鱼会给企业造成数百万美元的损失,并且可能扰乱生产、中断服务、疏远客户,甚至导致企业破产。如果一家企业试图在网络安全方面“省钱”或减少员工培训,则将让整个企业陷入危险境地。相反,应该将安全融入公司运营和文化,让员工和企业能够抵抗恶意攻击者发起的攻击。需要这样做来维护公司的健康和安全。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《Zero Trust 架构分步实施路线图》指南,进一步了解如何采用 Zero Trust 方法,让企业在遭受不良行为者攻击时占据竞争优势。
作者
Daragh Mahon — @daraghmahon
Werner Enterprises 执行副总裁兼首席信息官
关键要点
阅读本文后,您将能够了解:
运营和文化是安全不可或缺的组成部分
如何平衡培训、渗透测试和解决方案,防范各种攻击