企业面临的主要挑战之一是如何防范数字威胁。即便采取了一系列措施、应用和创新解决方案来防止入侵和数据窃取,这个问题不仅取决于先进技术,也取决于人的行为。网络安全专家、dataRain公司的Leonardo Baiardi指出,74%的网络攻击是由人为因素造成的。他强调,充分的员工培训对于有效的安全策略至关重要。
拜亚尔迪认为,在企业环境中应对网络风险时,人是最薄弱的环节。“公司里的每个人都必须明白,他们有责任保障数据安全,而这只有通过培训、问责制和部门间的沟通才能实现。每个人都需要意识到自己面临的风险。”
专家的观点与Proofpoint发布的《2023年人为因素报告》中的发现相吻合,该报告强调了人为因素在安全漏洞中扮演的重要角色。研究显示,通过移动设备发起的社交工程攻击数量增加了十二倍,这类攻击通常以看似无害的信息开始,建立人际关系。Baiardi认为,这种情况的出现是因为人类行为容易被操纵。“正如传奇黑客凯文·米特尼克所说,人的思维是最容易被攻破的。毕竟,人类拥有情感层面,极易受到外部影响,这可能导致轻率的行为,例如点击恶意链接或泄露敏感信息。”他说道。
报告中记录的最常见威胁还包括旨在绕过多因素身份验证 (MFA) 的网络钓鱼工具包和基于云的攻击(每月约有 94% 的用户成为攻击目标)。
最常见的错误
Baiardi 列举了导致安全漏洞的最常见错误:不验证电子邮件的真实性;电脑未上锁;使用公共 Wi-Fi 网络访问公司信息;以及延迟软件更新。
“这些行为可能会为入侵和数据泄露打开方便之门,”他解释道。为了避免落入骗局,这位专家建议不要点击可疑链接。因此,他建议检查发件人、电子邮件域名以及邮件的紧急程度。“如果仍有疑虑,一个技巧是将鼠标指针悬停在链接上,不要点击,这样就可以查看完整的URL。如果看起来可疑,那很可能就是恶意链接,”他建议道。
网络钓鱼
网络钓鱼是最大的网络威胁之一,攻击者常常利用企业电子邮件作为攻击媒介。为了防范网络钓鱼,拜亚尔迪建议采取分层防御策略:除了强有力的技术措施外,还要提高员工的防范意识并进行相关培训。
保持软件和操作系统更新对于降低漏洞至关重要。“新的漏洞每天都在出现。降低风险最简单的方法就是保持系统更新。在无法持续更新的关键任务环境中,则需要更强大的策略。”
他举了一个真实案例,说明有效的培训如何帮助预防攻击。“在实施网络钓鱼模拟和培训后,我们发现员工报告的网络钓鱼尝试数量显著增加,这表明他们在面对威胁时具备了更敏锐的批判性思维。”
为了衡量培训效果,拜亚尔迪建议明确培训范围,并定期进行带有预设指标的模拟演练。“有必要衡量员工对潜在威胁的反应的数量和质量。”
这位高管引用了网络安全教育公司 Knowbe4 的一份报告,该报告显示巴西在网络安全方面落后于哥伦比亚、智利、厄瓜多尔和秘鲁等国。2024 年的调查凸显了员工虽然了解网络安全的重要性,但并不真正理解威胁的运作方式和原理。因此,报告强调了组织文化在促进安全实践方面的重要性:“如果没有完善的网络安全文化计划,就无法衡量一家公司在这方面的成熟度。”
这位专家还负责领导dataRain公司推广的网络安全产品的交付工作。dataRain提供强大且易于实施的解决方案,例如电子邮件安全、合规性和漏洞评估、终端安全和云治理。“网络安全是一项持续的挑战,而人是确保信息安全和系统完整性的关键。投资于培训和意识提升就是投资于整个组织的安全。我们所有的交付都伴随着知识转移,这使我们能够提高客户对威胁的认识。”他总结道。
