您在網路安全方面的第一道防線
人員是保障組織安全的重要一環
隨著網路安全威脅持續增加,與「人為錯誤」相關的攻擊也日益增多。在健全的安全策略所依據的「人員、流程與技術」三大基礎中,「人員」排在首位是有其原因的。當您的員工瞭解網路安全以及自身在其中的角色時,他們便會成為保護組織並降低風險的第一道防線。
安全第一的文化從高層開始
文化不是掛在牆上的一張海報,它體現在團隊的互動方式和受到獎勳的行為中。
安全文化始於組織的高層,也就是您的領導層。它體現在以下三個方面:確立優先順序、有效溝通以及以身作則。
一種能促進主動防禦策略的文化能賦予員工發現及報告風險的能力。我們採用一套簡單卻有效的報告機制,讓員工可將任何可疑情況報告給我們的安全事件應對小組 (SIRT) 進行調查。我們會鼓勵並讚揚每月提交最多安全事件報告的人員。我們會分享各類事件,藉此打造一個以保護和安全為使命的社群。我們的高層領導也會以身作則,報告任何可疑情況。
Cloudflare 的領導層清楚闡明了我們在溝通及釐清安全事項優先順序方面的透明度。不小心點擊了網路釣魚連結,或是讓筆記型電腦處於未受保護的狀態?我們鼓勵團隊進行自我檢舉,因為他們知道自己不會因為錯誤而受到懲罰。這就營造出一種文化氛圍,我們會採取正確措施來減少失誤。
培養一種強化意識的文化
即使在像 Cloudflare 這樣的網路安全公司,也並非每個人都是網路安全專家。即使是那些具有最強網路背景的人,也會難以應對不斷變化的攻擊手段。
分享有關我們的工作如何阻止網路安全攻擊的故事,可讓我們的團隊保持警覺。分享這些見解不僅是在慶祝我們取得的勝利,還能幫助我們從每次事件中吸取教訓,將日常戰鬥轉化為��能強化防禦的經驗教訓。這種做法營造了一種持續學習和隨時備戰的文化,確保從新人到資深專家的每一位團隊成員,都能瞭解威脅的多變性質。
最近我們遭遇了一起事件,我們的員工透過個人社交媒體帳戶成為了攻擊目標。他們明白其中的風險,也知道向我們的 SIRT 團隊報告的重要性。員工的快速反應讓我們能夠將該事件告知團隊,以提高大家的防范意識,展開調查,並透過與社交媒體提供者合作,成功制止了攻擊者。
瞭解每個人都有自己的職責
擁有強大的安全文化和高度安全意識是一個很好的開端。但同樣重要的是,組織的每個成員都瞭解自己在維持強大的安全狀態中所扮演的特定角色。
首先要制定清晰易懂的網路安全政策。務必確保這些準則不僅是理論性的;它們需要解釋清楚「如何做」以及「為什麼要做」,使其具有可操作性。要讓這些政策容易取得,並每年更新一次,以反映新的威脅和科技的變化,強化每個人遵守規定的責任。
讓您的組織掌握立即採取行動的相關知識:如何報告政策違規行為、識別網路釣魚和社交工程嘗試、處理實體安全漏洞(如在辦公室尾隨其後)或發現設定錯誤的系統。
雖然每年進行的網路安全和隱私權意識訓練奠定了堅實的基礎,但還要更進一步,開展針對不同角色的安全訓練。這種方法將安全措施融入組織流程的各個方面,確保安全不僅僅是一項政策,而是融入日常營運中的一種實際做法。
降低人為錯誤的風險
複雜性是整個組織網路安全團隊的一個沉重負擔。
您的系統越複雜,就越有可能發生錯誤。設定錯誤是一項重大風險,攻擊者可能會加以利用。「信任但要驗證」可以說是陳詞濫調,但卻經得起時間的考驗。您的團隊必須驗證設定的有效性以及控制措施的實施情況,以確保不會因人為錯誤而造成漏洞。
透過採用減少點擊操作次數並優先考慮基礎架構即程式碼 (IaC) 的策略,您不僅可以降低人為錯誤的風險,還能實現規模化發展,讓您的團隊得以專注於最重要的工作。我們 Cloudflare 已經採用了這一策略,並分享了我們如何使用 Terraform 來管理 Cloudflare,以及持續改進維護系統的方式,同時降低複雜性和人為錯誤的風險。
安全文化是防禦的一部分
增強網路安全意識不僅是一種預防措施,更是當務之急。透過培養一種讓每個團隊成員都瞭解並積極參與網路安全做法的文化,我們建立的就不僅僅是屏障,而是抵禦數位威脅的防火牆。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
為協助建立熟知最新威脅的強大安全文化,請查閱《應用程式安全性現狀》報告。
作者
Ranee Bray — @raneebray
Cloudflare 資深網路安全策略與執行總監
Jordan Lilly — @jordan-lilly
Cloudflare CSO 辦公室 CSO 安全協作與參與負責人
重點
閱讀本文後,您將能夠瞭解:
領導力在轉變心態和行為方面的作用
如何在組織內建立安全意識
降低網路安全計畫複雜性的好處