需求:负责识别和缓解特别针对内部员工的攻击方法及漏洞的安全主管。
很明显,终端用户是大多数重大攻击的主要攻击途径。无论是用网络钓鱼、传统社会工程,还是通过物理入侵,高级攻击者很清楚从用户下手远比探测技术漏洞更容易找到进入公司的有效入口点。同样重要的是,善意用户造成的伤害总的说来比恶意用户造成的伤害还大。因此,需通过意识培训来让用户更能灵活应变,更具恢复力。
现实是,意识培训某种程度上有效,但需要做的事还有很多。
需设置相关技术手段预先阻止用户的危险动作。在安全界,90%的工作场所意外事故都可以通过创建一个能防止员工暴露在危险情况下的环境而得到避免。比如说,在员工经常被叉车撞到的工厂里,可以在过道上画线,开辟明显的走道。这一简单的改变就几乎规避了所有涉及叉车的事故。仅有的零星事故也是因为行人低头看手机太投入而自己撞到叉车上的。
网络安全世界里,创建安全环境意味着运用反恶意软件程序、垃圾邮件过滤器和PC防护措施来阻止用户安装软件。创建一个安全的环境不仅可以过滤掉 99.9% 的潜在攻击,让威胁根本沾不到用户的边儿,还能阻止来自用户自身的破坏或伤害。但很明显,仍有攻击能够突破防线,所以意识培训仍是减少风险的必备措施。
意识培训项目应聚焦用户该怎样恰当地完成自身工作,而不是恐吓他们应该惧怕哪些行为。这就涉及到恰当监管的概念了。用户不可能识别出所有可能的骗局,但他们至少应能够遵循恰当的动作规程。
聚焦用户虽然基本上大多数公司企业都有某种形式的软件来防止用户遭到侵害,有一定的意识培训和类似于策略或规程的东西,但这些工作往往没有形成联动,很零散和随意,并没有专门针对特定攻击或用户行为的工作。
为解决这一问题,需设置负责识别涉及人员的不同攻击方法和漏洞的职位,姑且称之为人力安全官(HSO)吧。HSO审查可能出现问题的地方,指出预防、检测和响应这些攻击或用户行为的最优方法。
有些人或许会以为这是CISO或意识培训项目经理的工作。现实是,意识培训人员的工作非常具体,专注提供信息以令员工改善其安全相关的行为。意识培训团队并没有义务,也无权负责阻止和缓解漏洞的方方面面工作。意识培训团队应向HSO报告。
HSO负责确定与人相关的漏洞存在的地方,专注协调漏洞缓解工作,也就是检查底层业务过程和确定能有效缓解漏洞的最佳技术运营过程组合。然后,HSO还确保意识培训团队将精力集中在解决员工应如何正确完成自己的工作上。
由CISO来负起HSO的职责固然不错,但具有一定规模的企业里,CISO应有一个团队可以分担责任。就好像CISO手下有不同的人各自负责网络安全、事件响应和监管,也应有HSO来专门负责处理涉及人员的所有漏洞。这一角色应与传统意识培训角色区分开来。
