Proofpoint在2022年早些時(shí)候發(fā)布的《2022年內(nèi)部威脅成本全球報(bào)告》顯示,，因內(nèi)部人員導(dǎo)致的安全事件數(shù)量正在顯著增長，而在這些事件當(dāng)中,，有56%的比例是源自于員工疏忽，憑證管理問題是員工最容易出現(xiàn)的安全問題之一,，有18%的威脅是源自于這一點(diǎn),。這些數(shù)據(jù)或多或少的表明一個(gè)事實(shí)，那就是安全是一個(gè)融合所有與企業(yè)關(guān)聯(lián)的人和事當(dāng)中,。此前我們曾探討,，企業(yè)應(yīng)對員工的安全意識和素養(yǎng)予以足夠高的重視，應(yīng)當(dāng)注重結(jié)果而非過程,。（擴(kuò)展閱讀：《員工不應(yīng)成為企業(yè)安全建設(shè)短板 安全素養(yǎng)培訓(xùn)當(dāng)以結(jié)果為導(dǎo)向》）,，那么在現(xiàn)實(shí)情況中，我們身邊的企業(yè)對于這一問題的表現(xiàn)又是如何的呢,？針對這一話題,，我們與國內(nèi)專注于人員網(wǎng)絡(luò)安全意識教育領(lǐng)域的企業(yè)——北京紅山瑞達(dá)科技有限公司取得聯(lián)系，并邀請其副總經(jīng)理李翔一同來分享他們的一些心得,。

　　企業(yè)對員工安全意識重視程度提升

　　安全教育與培訓(xùn)服務(wù)市場高速增長

　　李翔表示,，隨著安全事件的不斷爆發(fā)以及大型攻防演練活動(dòng)的推進(jìn)運(yùn)行，其中很多事件都表明,，企業(yè)因員工缺乏安全意識而被攻擊者成功的以社工攻擊,、釣魚攻擊等方式入侵的情況比比皆是，甚至引發(fā)一系列嚴(yán)重后果,。無論是從新聞報(bào)道還是演練活動(dòng)的實(shí)戰(zhàn)體驗(yàn)中,，企業(yè)對于員工可以成為整個(gè)安全建設(shè)中的薄弱環(huán)節(jié)這一情況有了較為深刻的認(rèn)知，對員工的安全意識和素養(yǎng)予以更高的重視已漸成企業(yè)安全建設(shè)中的一個(gè)趨勢,。在從認(rèn)知到需求層面,，李翔告訴我們，從紅山瑞達(dá)近幾年的服務(wù)情況看,，所有類型的企業(yè)（包括國央企,、民企、外企）對于網(wǎng)絡(luò)安全意識培訓(xùn)相關(guān)的服務(wù)需求都有增加,。

　　反饋到市場層面,，依據(jù)IDC在今年10月發(fā)布的《2022上半年中國IT安全服務(wù)市場跟蹤報(bào)告》顯示，2022上半年中國IT安全服務(wù)市場廠商整體收入約為12.25億美元（約合79.4億元人民幣）,，而IDC認(rèn)為,，2022年上半年中國網(wǎng)絡(luò)安全服務(wù)市場實(shí)現(xiàn)增長，主要由IT安全教育與培訓(xùn)服務(wù)市場和托管安全服務(wù)市場帶動(dòng),。其中,，IT安全教育與培訓(xùn)服務(wù)市場今年上半年增速最快,，規(guī)模同比增長達(dá)到33%。IDC分析稱,，認(rèn)證培訓(xùn)和安全實(shí)訓(xùn)演練測試平臺(tái)與服務(wù)市場,，共同推動(dòng)IT安全教育與培訓(xùn)服務(wù)市場上半年實(shí)現(xiàn)高速增長。

　　任何一個(gè)事情從理論到落地總會(huì)需要一個(gè)過程,，而對事情的正確認(rèn)知能夠大大加快這一過程，綜合來看,，企業(yè)一側(cè)在這方面整體表現(xiàn)令人頗為樂觀,。但在這背后，是否也存在有一些其他的問題,？

　　安全意識培訓(xùn)不能止于被動(dòng)式教育

　　需關(guān)注實(shí)戰(zhàn)中解決問題能力的訓(xùn)練

　　有了正確的認(rèn)知并付諸于行動(dòng),，是否就一定到位呢？答案顯然是否定的,，就像網(wǎng)絡(luò)安全領(lǐng)域中很多企業(yè)在安全建設(shè)方面是以應(yīng)付合規(guī)的態(tài)度一樣,，“很多企業(yè)目前仍只是停留在關(guān)注培訓(xùn)過程本身這件事情上，而對真正解決問題方面依然存在不足,?！崩钕璞硎荆缟绻す?、釣魚攻擊等,，企業(yè)很清楚這些對他們構(gòu)成了威脅，也會(huì)組織員工進(jìn)行有針對性的培訓(xùn),，但其中有部分企業(yè)還是習(xí)慣于將關(guān)注點(diǎn)放在這樣的活動(dòng)進(jìn)行了多少次,、每次多少人參加等流于表面的形式?！霸诒粍?dòng)式單向灌輸?shù)呐嘤?xùn)方式之下,，很難收獲到安全意識培訓(xùn)這項(xiàng)工作的預(yù)期效果。以我們的經(jīng)驗(yàn)來看,，哪怕是經(jīng)過不止一次這種培訓(xùn)的員工,，在面對網(wǎng)絡(luò)釣魚攻擊時(shí)仍會(huì)上鉤?！?/p>

　　而這一結(jié)果相信對于培訓(xùn)的甲乙雙方而言,，都是一種難以接受的結(jié)果，一方面是為員工培訓(xùn)付出不小成本的企業(yè),，仍會(huì)因?yàn)閱T工的安全意識問題而在相關(guān)的攻擊事件中蒙受損失,；另一方面則是負(fù)責(zé)培訓(xùn)的一方恐怕也只能撈一個(gè)服務(wù)水平極其堪憂的負(fù)面評價(jià)。

　　“相比之下,，一些更有危機(jī)意識的企業(yè)會(huì)更多從實(shí)戰(zhàn)的視角出發(fā),，理論知識教育要有,，實(shí)戰(zhàn)行為演練更是要有?！崩钕枵劦?，紅山瑞達(dá)推出的“防網(wǎng)絡(luò)釣魚模擬演練系統(tǒng)”也是基于這一理念，希望能夠令企業(yè)員工在安全意識培訓(xùn)之后,，以一種接近于實(shí)戰(zhàn)的方式去考察培訓(xùn)成果,，經(jīng)過長期的實(shí)踐和迭代后，目前該系統(tǒng)可為不同行業(yè),、不同崗位提供有針對性的上千個(gè)訓(xùn)練場景,，覆蓋郵件、短信,、二維碼,、WiFi乃至USB設(shè)備等多個(gè)可能被釣魚的領(lǐng)域。

　　紅山瑞達(dá)推出的網(wǎng)絡(luò)釣魚郵件仿真體驗(yàn)系統(tǒng)

　　實(shí)踐證明,，在經(jīng)歷過多次防釣魚模擬演練的員工在實(shí)際工作中識別攻擊意識和能力顯著高于被動(dòng)式教育培訓(xùn)的員工,。

　　安全培訓(xùn)也應(yīng)分事前、事中,、事后三步走

　　談到企業(yè)應(yīng)如何做好網(wǎng)絡(luò)安全意識培訓(xùn)這一話題時(shí),，李翔坦率表示，“安全意識培訓(xùn)說容易也容易,，但說難也難,。一方面大家已經(jīng)不糾結(jié)于‘做還是不做’的問題，另一方面,，人的水平是參差不齊的,，要想將所有人的安全意識統(tǒng)一提升到某一個(gè)很高的水平，難度就會(huì)很大,?！边@一點(diǎn)也是我們所強(qiáng)調(diào)的，安全培訓(xùn)完成后要強(qiáng)調(diào)實(shí)戰(zhàn)訓(xùn)練之外,，也還需關(guān)注“因材施教”的問題,，因此，有效的安全意識培訓(xùn)也應(yīng)分為事前,、事中以及事后三個(gè)步驟完成,。

　　事前階段

　　該階段的目標(biāo)是完成對企業(yè)員工安全意識狀況的一個(gè)整體摸排，隨后根據(jù)企業(yè)的實(shí)際情況將不同級別的員工劃分成為數(shù)個(gè)組,，以為接下來實(shí)施有針對性地安全意識培訓(xùn)工作提供幫助,，其作用類似于病人到醫(yī)院的初診，醫(yī)生通過化驗(yàn),、檢查結(jié)果給出診斷書,。具體來看,，企業(yè)可以通過一套成熟的網(wǎng)絡(luò)安全意識測評，以問卷筆試+模擬測試方式進(jìn)行,。對員工模擬測評的行為進(jìn)行記錄,、統(tǒng)計(jì)和分析，最終得出員工網(wǎng)絡(luò)安全保密行為報(bào)告,，這種方式就有利于企業(yè)準(zhǔn)確掌握內(nèi)部人員自身的安全風(fēng)險(xiǎn)狀況,，為進(jìn)一步有針對性地提升人員安全意識提供決策依據(jù)。

　　事中階段

　　該階段是根據(jù)被測員工的安全意識水平和存在的問題,，有針對性地制定方案并開展安全意識培訓(xùn),，其作用類似于醫(yī)生開藥和治療方案，開展治療,。目的是要讓員工清晰的了解哪些不良習(xí)慣會(huì)導(dǎo)致企業(yè)遭受安全風(fēng)險(xiǎn)，并掌握一定的安全技能以應(yīng)對可能出現(xiàn)的風(fēng)險(xiǎn),，進(jìn)而提升安全意識和相關(guān)能力水平,。“考慮到培訓(xùn)對象大多都是沒有技術(shù)背景的,，因此這種安全意識培訓(xùn)必須要以深入淺出的方式,，將復(fù)雜的東西簡單化，將專業(yè)的東西平?；?，以便于他們理解和掌握?！崩钕枵劦?，一定要讓他們真正理解那些自己所能接觸到的安全風(fēng)險(xiǎn)，才能有利于摒棄不良習(xí)慣,，降低被社工,、釣魚攻擊的風(fēng)險(xiǎn)。

　　事后階段

　　該階段是通過后期的實(shí)戰(zhàn)模擬演練檢驗(yàn)培訓(xùn)結(jié)果,，其作用類似于病人吃了藥和治療后的復(fù)查,。該階段類似于病人吃了藥和治療后的復(fù)查。目標(biāo)是通過后期以實(shí)戰(zhàn)的方式進(jìn)行模擬演練,，讓接受培訓(xùn)的員工在面對近乎于真實(shí)的場景下去面對風(fēng)險(xiǎn),，以考察他們應(yīng)對風(fēng)險(xiǎn)的安全意識以及相關(guān)能力水平。這里值得注意的是,，筆試作為培訓(xùn)成果的考核方式并無問題,，但決不能以它作為考評的唯一成果。

　　員工缺乏安全意識是“慢性病”

　　如想改觀需做長期準(zhǔn)備

　　在采訪的最后,，李翔特別強(qiáng)調(diào)道：

　　“提高安全意識,，無論是理論知識的培訓(xùn)還是模擬實(shí)戰(zhàn)的演練,，在企業(yè)中應(yīng)當(dāng)作為一種常態(tài)化的工作，貫穿在企業(yè)發(fā)展和安全建設(shè)的整個(gè)過程,?！?/p>

　　“針對員工的攻擊普遍都是利用人的弱點(diǎn)，想要實(shí)現(xiàn)100%規(guī)避的可能性較低,，而且人的弱點(diǎn)會(huì)有反復(fù),。員工可能會(huì)在接受教育、培訓(xùn)的那段時(shí)間內(nèi),，在安全意識方面的確有提升,，但若干時(shí)間之后（尤其是較長時(shí)間沒有出現(xiàn)安全風(fēng)險(xiǎn)的情況下），他的安全意識極有可能會(huì)松懈,，不良習(xí)慣也會(huì)再次出現(xiàn),。”李翔指出,，“因此,，提高員工安全意識這件事，我們要將它視作為一種‘慢性病’,，要將培訓(xùn),、演練形成常態(tài)化，才能保障內(nèi)部員工在安全意識水平方面盡可能鞏固在較高水平,，以降低企業(yè)面臨相關(guān)安全風(fēng)險(xiǎn)的可能性,。”

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<