译者 | 刘涛
审校 | 孙淑娟
尽管我们经常会庆祝技术的发展和创新的进步,但网络攻击的日益复杂性使得情况不容乐观。
网络安全措施需要比网络攻击提前一步,才有希望与其对抗,但是随着黑客和网络安全工具的发展几乎步调一致,如果没有对人们的网络安全意识进行培训,科技将不可能迅速发展到足以保护企业的程度。
黑客采取的攻击手段也更加个性化,因此网络安全培训必须跟上。网络钓鱼可以针对个人,而不仅仅是“spray和pray”攻击,它利用受害者生活中的个人隐私来触发回应。
技术对这种威胁无能为力;唯一的保护措施就是训练网络安全从业人员识别骗局。
风险逐渐增大
网络钓鱼攻击的危险性一直在增加。远程办公和企业混合办公(Hybrid Work)的激增扩大了网络攻击范围,这是因为很多人都在办公室防火墙之外工作,并且缺乏安全团队不断发出地威胁警告。
据普华永道(PWC)称,43%的首席信息官(CIO)最担心的就是企业混合办公对数据隐私和网络安全造成的影响。
如今,网络入侵不仅变得更加频繁,而且随着数字化浪潮的兴起,它们也变得更加地昂贵和危险。黑客们今天所能够收集到的信息远比几年前要重要得多。
美国联邦调查局(FBI)5月份公布的数据显示,自2016年以来,商业电子邮件入侵(BEC)攻击已造成超过430亿美元的损失,其中包括网络钓鱼和其他社会工程手段。
乌克兰战争以及西方国家对中国不断升级的网络侵略行为,使得某些政治代理人越来越多地使用网络战,而不仅仅是出于贪婪驱使的黑客。
这些政治代理人在国家高层的直接或者默许授权下,试图改变全球力量的平衡,相比于那些只想赚钱的网络窃贼,这类人往往拥有更多的自由去操纵使用更好的黑客工具。
网络战加剧了供应链攻击,使小企业、公用事业和大型企业都成为攻击的首要目标。黑客们知道,数字化意味着所有的公司紧密相连,因此他们把目光投向了供应链中最薄弱的环节。
太阳风公司(Solarwinds)的恶意入侵事件给我们敲醒了警钟:成功地入侵一家小型企业,可以为以后入侵大型企业打开后门。
针对人的网络攻击需要对员工专门培训
尽管我们希望科技可以拯救人类,但迅速发展的黑客技术和破坏力表明,只有把解决问题的思路聚焦于人本身才是最有效的。数字加速带来了更加先进的网络安全工具,同时也带来了更新更复杂的网络攻击。
今天,黑客和首席信息官/首席信息安全官(CIOs/CISOs )陷入了一场势均力敌的斗争。
黑客很清楚这种势均力敌的局面,所以他们故意把目标锁定在员工身上。
人为错误仍然是每个团队的弱点;ThoughtLab网站的一份报告指出,在未来两年内,安全高管们预计来自社会工程(包括网络钓鱼)的攻击将会增加。
不同于其他网络攻击,网络钓鱼攻击的目标不是防火墙,也不是服务器,而是依赖于人类的恐惧和希望来发挥破坏作用。恶意攻击者通常会亲自动手研究,以发现个体目标的具体触发因素。
俄乌战争、生活成本不断飙升、对大流行病的焦虑以及长期冠状病毒疾病的影响,这些事件为网络入侵者提供了许多新的手段,而现有的网络安全工具无法阻止这些攻击策略。
培训需要把重点放在教育员工认识和抵制这些入侵手段。
庆幸的是,这种培训非常有效。霍克斯亨特(Hoxhunt)的研究表明,随着员工完成模拟课程,他们识别钓鱼邮件的能力得到了提高,识别威胁的报告率也随之上升,仅仅六次培训,威胁报告率就从0提高到了65%。
与此同时,平均失败率从14%降至4%。
员工培训不能仅局限于技术层面
尽管基于模拟的培训非常普遍和有效,但是它还远远不够。
如果对防范网络钓鱼的培训仅仅基于技术,那么单凭预先设置好的模拟仿真不足以训练员工适应真实世界的网络入侵情况。
至关重要的是,要确保员工了解所涉及的入侵手段,而不是简单地惩罚他们的高失败率。真正的网络钓鱼往往比模拟仿真更有说服力。因此,如果模拟仿真不完善,员工还是会在最重要的障碍处跌倒。
让网络钓鱼模拟仿真足够引人注目需要的不仅仅是技术,有效的培训是建立在行为科学的基础上的。因此,员工意识越强,模拟就越困难。
这需要理解每个员工的触发点、文化共鸣以及他们可能点击钓鱼链接的原因。黑客投入了那么多精力,所以模拟仿真也必须这么做。
技术需要和人类情感携手合作
要成功应对日益增长的网络安全威胁,需要同时利用技术工具和人类情感。
只有跟真正的黑客交过手,开发出真实的模拟仿真才能触动员工们的警惕心,从而让员工做好防范网络钓鱼和保护公司的准备。
译者介绍
刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人。
原文标题:Tech Can Only Do so Much to Prevent Today's Sophisticated Cyber Attacks,作者:Gabrielle Sadeh
