每天开放约800万网络邮箱
每周通讯即IT最佳做法提供该栏目点击在此订阅.
人往往是网络安全防御中的弱链路人行为不可预知 因为我们有时受情感驱动 并受固有信任和取悦他人的欲望驱动同时,我们倾向于走最小阻抗路径,即使路径无意中制造网络安全风险
攻击者理解这些人性特征, 正因如此,他们常常成功利用人寻找更可预测的机器防御举个例子 考虑网钓算法估计全球每日开放800万网友邮件,其中80万接受恶意消息者点击嵌入式链接10%点击链接的人实际提供信息,例如个人申请登录证书或雇主申请
Verizon表示,89%2015年商业安全故障是由于有组织罪犯打网微软2014估计, yshing每年对全世界的影响可能高达50亿美元
今年早些时候安全认知公司Wombat安全技术发布它Phish状态报告表示钓鱼对各种规模的组织来说 仍然是一个巨大且日益增长的问题60%受访者报告网钓攻击率总体上升长矛钓鱼事件从2014年到2015年上升22%,三分之二受访者表示去年曾经历长矛钓鱼
钓鱼令许多组织 — — 特别是那些没有强安全认知程序的组织 — — 严重关切,但肯定不是终端用户往往最弱连接的唯一领域。供报告使用超出PhishWombat分析近2千万题解答过去两年安全教育平台上各种题解答这些问题是不同组织终端用户培训与安全认知程序的一部分根据报告,许多人仍然在下列领域挣扎:
必须指出这些统计来自使用安全教育平台帮助员工学习减少风险网络行为的公司可能那些为没有正式员工培训的公司工作的人 会忽略更高百分比的相同问题
时间成本尝试修改风险终端用户行为是否值得?归根结底,如果四分之一到三分之一接受训练的工人仍然与关键网络安全题争吵,培训值何在?多量报告 阿伯丁集团题为 "IT安全最后一程:用户行为变化....
报表作者Derek Brink写道,用户行为造成的感染比例估计介于70%至95%之间。因此,如果用户行为可以修改以避免冒险行为,那恶意感染就会下降。实战点播速率由Wombat分析显示恶意软件感染通过用户认知培训可减少45%至70%
另一项Abordeen研究显示用户认识和培训为公司提供另一种好处:投资这类培训与实现顶级企业性能之间存在强连通度关系。简言之,公司工人接受IT安全训练时表现更好研究结果可见于Abordeen报告“成功IT安全项目投资不仅仅是技术投资,而且是人投资”。
人往往是网络安全薄弱链路, 带点认知训练 和一些固态行为指南, 我们可以支持链路