安全专家认为,人类是安全链中最薄弱的环节。几乎所有的人都同意,安全意识培训可以增强很多的弱点。
但如何更好地做到这一点可以产生一些争论。
迈尔斯lysA的,安全研究员ESET,在最近的文章中她说的是从一些演讲,在最近举行的黑帽大会上集体总结消息:虽然可以培养员工成为“比它解决的过度警惕,它可以创造更多的问题。
“这不是为个人或和谐的团队动力学是在不信任的恒定状态有益,”她写道。
〔也可CSO:曾经在这些社会工程的情况呢?]
主持人,谁列入齐奈达尼森的IT基础设施的安全实验室在埃尔兰根 - 纽伦堡大学;德勤的耶勒Niemantsverdriet;和霍夫斯特拉大学的朱迪思Tabron,强调对安全的需求培训人员听取用户和适应教育和安全防御,“人们实际上怎样做他们的工作。”虽然这不能消除安全故障 - 事实上,什么都不会 - 它会“让人们更容易做出更好的安全决策更多的时候,”迈尔斯写道。
尼森,在演示文稿标题,“开拓好奇心和上下文,”报道从哪里接到1600名多名大学生两个用户研究的结果鱼叉式网络钓鱼邮件从不存在的人。56% - 那些谁在什么将是一个恶意链接点击的比例从大约三分之一到一半以上不等。
该学生的点击原因是出于好奇不等,由他们的名字被寻址,接受适合他们生活方式的消息或思考他们知道发件人。
“因此,应该有可能使几乎任何人点击一个链接,”尼森在她的演讲摘要中写道,并称期待,“在这种情况下没有错误的决策似乎是非常不现实的。”
定期发送鱼叉式网络钓鱼邮件给员工,以测试他们的认识,她认为,可能会适得其反。“人们的工作效能会降低,因为他们将不得不怀疑几乎每个收到的消息的,”她写道。
这样的说法得到褒贬不一的评价,从一些专家,尽管在许多情况下,它涉及到如何定义超警惕。没有人认为安全培训应该让员工感到瘫痪或偏执,但由于品种繁多,复杂性和威胁程度,最有发言权的有点偏执狂是一件好事。
[ 更多:是您的安全意识培训计划的工作?]
兰斯Spitzner,导演,SANS确保人力,说人的安全需要妥协。“我们需要有怀疑的人们一定水平,但多少取决于组织,”他说,并指出,该水平是在一所大学比国防部的不同。
兰斯Spitzner,导演,SANS确保人类
但怀疑的底线是,“没有足够和坏人打通。太多的绝对信任和工作能力一起打散,”他说。
约瑟夫·卢米斯CyberSponse的创始人兼CEO,一致认为,“意识是好的,但不合理的,不切实际的是另一回事。如果没有平衡,没有什么会在企业工作“。
不过,他说,即使有人他知道送他一个链接,他检查就可以了,“因为我是理所当然的不采取任何。帐户被盗用是常有的事“。
在CEO和PhishMe的创始人之一Rohyt Belani,认为,“识别潜在的攻击时的偏执本身的状态,但谨慎或警惕的适当水平。”安全培训不应该鼓励,
他指出,美国国土安全部(DHS)和纽约警察局都有“见什么就说什么”活动,不鼓励人们成为民团,而仅仅是为了报告任何可疑的东西给当局。
特雷弗山楂,袋熊安全公司的首席技术官表示,目标不应该是创建偏执,但“聪明的怀疑论者。”
他把它比喻成一个孩子学习过马路 - 它需要不断的,并且在一开始或许是紧张,家长的参与。但最终孩子学会如何做到这一点 - 与未禁止的危险不断认识。“孩子将能够在自己的十字架没有感觉很可怕的,他不能过马路,”他说。
鉴于网络威胁的水平,“意识的培训需求是恒定的,”他说。“它不仅坚持的消息,但它也使培训和模拟用户的‘新常态’。”
斯泰西雪莱,在PhishLabs副总裁兼首席传道者说,尽管不信任一个恒定的状态将是破坏性的,工人确实需要有“持怀疑态度的水平升高过程中的情况下,当更多的审查和不信任是必不可少的。这些可能包括一切从在电子邮件中帮助台的请求的链接或附件一的密码来执行远程系统更新。
Rohyt Belani,CEO和创始人之一,PhishMe
“用户需要超警惕时,会需要它。有效的培训应着重于帮助用户识别那些有风险的情况下,”他说。
而凯文·米特尼克,一度被称为“世界头号通缉黑客”现在头米特尼克安全咨询的,经常说,即使是激烈的,意识培训应该不会对士气和生产率产生负面影响。