行業新聞與部落格

#Infosec2024:為什麼人類風險管理是網路安全意識的下一步

儘管網路威脅者經常被警告擁有先進的能力,但針對人類弱點仍然是攻擊者的主要初始攻擊方法。這一現實導致了人類風險管理 (HRM) 的發展,這一概念側重於有針對性的、情報主導的干預措施,以改善安全行為。

Verizon 的 2024 年資料洩露調查報告 (DBIR) 強調了人為風險因素的規模,該報告發現 2023 年所有洩露事件中有 68% 涉及非惡意的人為因素。

多年來,網路安全意識培訓在組織中已經很普遍,但人為錯誤問題仍然存在,例如點選網路釣魚電子信箱中的惡意連結。

單靠訓練不足以解決這個問題,尤其是因為所涉及的人往往不是罪魁禍首。

CultureAI 首席網路安全研究員 John Scott 告訴Infosecurity:“人們總是會犯錯。這不是道德缺陷,有時這是由於系統等因素,你的老闆大聲催促你儘快完成某件事。”

這種認識催生了人力風險管理(HRM)的概念,該概念承認人為錯誤會發生,但會主動識別個別員工的風險,從而能夠採取有針對性的干預措施。

人類風險管理如何促進網路安全

斯科特指出,傳統的安全意識培訓的目的是讓員工瞭解網路安全風險,但未能培養反應和習慣。

例如,員工可能知道他們不應該透過公共 Slack 頻道與同事分享個人資訊,但他們這樣做是因為他們面臨時間壓力。

斯科特說:“我們的大腦知道這一點,但我們的直覺不知道。”

制定人力資源管理戰略的第一步是獲得整個組織的可見性,瞭解個別員工的網路風險所在,然後監控他們的實際行為。

這樣就可以實現“及時指導”——實時提醒糾正已知存在的行為。這種有針對性的方法還可以防止培訓疲勞——如果員工不斷被告知做一些與他們無關的事情,他們就會失去興趣,甚至因此規避控制。

“我們不會告訴你停止做你沒有做的事情——這是對你時間的尊重,”斯科特解釋道。

這些提醒並非命令,而是為了提醒員工注意潛在的不安全行為。例如,“你是想在 Slack 上分享這些資訊嗎?”然後員工可以選擇是否繼續該操作。

這些提醒還可以與安全流程相結合,讓員工更容易做出安全的選擇,比如傳送一條訊息通知他們某些資料將在 30 秒內被刪除,除非他們另有指示。

斯科特指出:“使用良好的選擇架構並將預設值設為最安全的選項,對於推動而言至關重要。”

他還強調,催促不應過度使用,因為每一次催促都可能分散注意力。例如,如果某位員工是唯一能夠解決這個問題的人,而且能夠快速完成,那麼催促就值得使用。

“我們發現,催促和其他事情一樣容易讓人感到疲倦。如果你在每件事上都受到催促,最終你會開始忽略這些催促,”斯科特解釋道。

有效實施人力風險管理

自動化技術可以極大地幫助獲得勞動力活動的必要可見性——斯科特將其描述為顯示風險所在位置的“單一玻璃”。

然後,組織需要將流程與自動化相結合,以實施適當的干預措施。

隨著員工變動和新技術能力在整個組織內推廣,人力資源管理計劃也需要不斷更新。斯科特表示,人力資源管理平臺必須與所有新資料來源整合。

一個關鍵的例子是各組織越來越多地使用大型語言模型 (LLM),例如 ChatGPT。這導致機密公司資訊被髮布到這些公共平臺上。

“您的平臺需要增加整合的數量,以便能夠監控所有存在人為風險的地方,”斯科特說。

他補充說,從人力資源管理專案中獲得的見解可以用來不斷加強意識培訓,使其更具針對性——無論是涵蓋的主題還是針對的員工。

例如,如果發現新手更容易點選網路釣魚郵件,那麼他們應該成為網路釣魚訓練練習的重點。

尋找創新方法應對針對人為因素的網路威脅將成為歐洲資訊保安會議計劃的主要部分。

該活動將於 6 月 4 日至 6 日在倫敦 Excel 舉行。請在此註冊以確保參加。

需要幫助嗎?聯絡我們的支援團隊 線上客服