安全培训：要求还是打了水漂？

培训经常被认为是安全难题的关键组成部分，因为没有安全系统是万无一失的，用户需要知道他们扮演的关键角色。但也有人认为，太多的安全专业人员依赖培训作为逃避责任和指责的手段，而如今攻击的性质使得培训变得多余。

从最终用户到开发人员，甚至是最高管理层，如果没有对整个企业进行安全培训，您的公司就会将客户、企业信息和声誉置于高风险之中。

举个例子:美国国家税务局的一名雇员最近点击了一个恶意电子邮件链接，这一行为使攻击者获得了380万份包含社会安全号码和银行账户号码的纳税申报单。最终，调查、法律费用和购买身份盗窃监控服务的花费超过1300万美元。

[也：你如何保持你的安全员工队伍]

社会工程攻击一次又一次地证明，人往往是最薄弱的一环，但安全培训可以将普通用户变成强大的资产。当用户知道并了解应该避免哪些陷阱(比如，不受信任的网站和未知的电子邮件附件发送者)，以及应该使用哪些技术(比如，使用加密工具发送敏感信息)，公司受到的攻击就会大大减少。精明的用户是整体安全性的一个关键方面。

但它并没有以用户为终点。系统开发人员需要关于如何避免常见弱点列举/SANS前25个最危险的软件错误的教育和培训。根据CWE和SANS研究所的说法，这些编码错误是最普遍、最容易被利用的，使得网络攻击者可以接管软件，窃取你的数据。对开发人员进行培训，让他们认识到这些漏洞以及如何避免它们，这将降低入侵系统的可能性。这反过来又使客户对您的服务和您保护其个人身份信息的能力更有信心。

高管们也需要特殊的安全培训。他们偶尔会为了自己的生产力或员工的方便而放弃或放松保安措施;然而，他们往往是最有可能的目标，因为他们经常处理最敏感的信息。通过适当的安全培训，高管们将欣赏并支持对他们自己和他们的组织合理的安全实践。

安全必须是全队的努力，这不是一场临时拼凑的比赛。网络操作防御者必须时刻保持警惕，以领先于威胁。如果网络防御者第一次遇到高级威胁是在一个真正的攻击期间，他们可能不会成功地对抗它。但是，如果他们接受过类似的训练，他们就会知道如何保护您的网络和系统。

而培训必须是持续的。今天的劳动力依赖于他们的信息系统来执行自己的责任，而这些系统正越来越受到网络攻击。无论一个公司的业务领域，有网络的演员合作，伤害他们。他们可能是黑客，网络罪犯或身份窃贼。他们的目标可能是破坏，尴尬，勒索，或专有数据被盗。网络参与者使用的策略和工具的阵列，并改善他们的攻击方法。随着这些发展，我们也必须调整和更新我们的防御工事和培训，以保持领先地位的威胁。

在安全培训负担得起的投资可以防止显著的成本和破坏系统，也将确保员工理解的丢失或被盗信息的后果。我们应该为我们的董事会成员，我们的客户，我们的员工，以保护我们已经辛辛苦苦打造：我们公司的成功和声誉。

要求或徒劳?boondoggle指浪费或不切实际的活动。还有什么比由于安全培训不足而遭受网络攻击、丢失关键数据和损害公司声誉更浪费的呢?

知识渊博、训练有素的员工将有助于限制网络威胁的攻击面，帮助确保我们保护专有信息、客户数据，并成功执行我们的企业使命。

网络攻击的后果是太大，不容忽视。当然，你不能阻止每一个网络攻击。但是你应该知道并能够防止最常见的攻击，知道你最大的风险以及如何管理这些风险。整个企业的安全培训是一项核心要求，让您的客户和员工的信任，并保护公司的辛苦赚来的名声。

早在1999年，比尔·普林顿(Bill Plimpton)就为GEICO制作了一些出色的动画短片，其前提是“我们都做傻事。”比如，他的小卡通人物站在佳能前忍不住按下按钮，结果……你猜对了。(你仍然可以找到它们YouTube如果你想笑的话。)

你知道吗?我们都做蠢事。不管你后来把它归结为良好的社会工程、分心，还是我们肩上的小恶魔悄声说“继续，做吧”，当我们不加思考或冲动地行动，扣动扳机，打开装上大规模杀伤性武器的那一刻，对我们所有人来说都将到来。

例子:

*一个公司有一个零日恶意软件，使得它通过内容过滤（云服务，邮件服务器，台式机）的三层约1,000个邮箱的爆发。从社会工程的观点来看的电子邮件看起来合法的和所涉及的典型收件人是相当训练有素约带有附件的未经请求的电子邮件。只有七人打开附件，这从教育的投资回报率角度来看是99.3％的成功率。然而，它仍支持员工参与数十清理小时。
*一个合法的、受人尊敬的、高访问量的网站被基于Java脚本的应用程序破坏了。虽然恶意软件被两种安全系统中的一种拦截，但每次收到拦截/清除警告后，都会有人重复尝试返回该URL，因为该网站的大多数访问者认为这是无可指责的。在这种情况下，虽然有很好的结果，但我所能想到的任何终端用户培训都无法防止来自可信来源的感染。
*一名家庭成员经过“培训”，已经好几年没有破坏自己的系统了，他会在节日期间收到亚马逊的发货通知，他们在那里订购了商品。只是追踪链接并不是指向UPS或亚马逊。如果把它埋在一堆合法的通知中，即使是受过最良好教育的人也可能会犯错误。

从安全的角度来看，这样的时刻永远不会结束，而且没有人有足够的预算资源来确保我们在最终的层面上实现100%的“不做傻事”。

[也：安全培训101]

作为IT领导人，我们不能培养这一点。从统计学上讲，我们的机会不大，而且用于IT安全的资源数量在本质上总是有限的。

相反，这些资源应该用于能够产生更高回报的重点领域。我想到了三个ROI更高的例子:

*边境控制和监测:几乎没有操作今天可以部署一个“气隙”国防(Stuxnet证明,甚至可以突破物理隔离的网络),但由于绝大多数的妥协的努力如今集中在建立链接回到远程指挥和控制系统,收益可以通过监控这些通信的入口/出口点。
*在所有内部软件开发计划中建立集成的安全实践:培训开发和部署团队，在推出之前检查并确保所有代码是安全的，这会带来巨大的回报。通过确保部署团队在操作系统和应用程序层受过教育，建立良好的通信渠道，以及在发现缺陷时制定更新计划，您还可以获得大的成功。
*深入防御:这仍然是旧的备用方案，也是确保在发生妥协时，有不止一种检测和缓解方法可用的最佳方法之一。

最后，它应该和人力资源部门成为朋友。因为尽管我认为把IT资源分配到用户教育上是一件无聊的事，但大多数人力资源部门已经有了设施安全、危机管理、程序和政策方面的培训和继续教育项目。这是最有能力处理组织特有的教育问题的团队，比如适当使用公司资源。

安全角色是一个吃力不讨好的角色，主要是因为，虽然战争可以赢得胜利，但在此过程中，战斗将继续失败。我们需要克服这个事实，承认安全的很大一部分将成为投资的优先事项，我们必须决定什么能给我们带来最好的回报。一旦这样做了，我相信很明显，投入大量的资源来教育人们如何安全地使用它是不可行的，因为它最终会做一件“愚蠢的事情”。

想要更多的技术辩论吗?看看我们的档案页面