要说我们可以用用户意识程序解决很多问题是正确的,但是不幸的是,对于《幸福的结局》而言,这还远远不够,因为在《幸福的结局》中,几乎所有事情都可以得到最好的解决。
信息安全意识计划是“有组织的工作,旨在使员工和客户意识到个人和公司信息的风险,并向他们提供有关信息技术的必要技能和知识,以避免这些风险。”
让我们明确用户意识计划及其通常涉及的内容;
因为我们可以将它们分为两种类型。
首先,一些课程可以向经理,高级经理或董事会介绍最相关的网络安全主题,以确保他们掌握做出更明智的决策和管理业务风险的知识。 这些课程是全球性的,可洞悉当前的威胁状况,风险以及任何网络安全漏洞的潜在后果。
拥有管理级别的支持将带来更多的自由,更大的预算和更多的支持,从而使网络安全性更加可见和可信。
可信度将在以后的文章中讲述自己的故事……。
我将在这里集中讨论第二种类型,其中程序更适合最终用户,而不论其位置如何。
这些意识提供的大多数都是标准的,内容由一系列可能的基于计算机的培训部分驱动:
·威胁概述:恶意软件,网络钓鱼,社会工程
·密码策略最佳做法
·Web保护:怎么做; 避免什么
·电子邮件保护:怎么办; 避免什么
现在,在同意这些培训很重要并向所有人提供有用信息的同时,我们能否说这将改变一切? 嗯…
网络钓鱼攻击是网络犯罪的最常见形式。
您是否真的认为这些程序提供了防止网络钓鱼的所有密钥? 提供所有线索以识别网络钓鱼电子邮件是什么样的? 不太确定…
范围广泛的预防措施可以应用于Web和电子邮件保护,但是网络犯罪是一种严重威胁,其社会工程攻击变得更加复杂,现实并且难以识别。
了解我们周围的环境很有启发性。
进行演示,举例说明,这是有益的,具有教育意义的,解释如何隐藏或操纵某些信息的方法,具有启发性。
意识计划是有益的,因为它们可以引起注意,并阻止用户盲目打开任何类型的消息。 但是谨慎会带来疑问,这本身就是一种风险,用户对此需要帮助。
怀疑是一个对手。
当用户收到一条新消息并对其感到怀疑时,独自一人在其前面,想知道是否可以安全单击,是否打开附件是否有风险,在此消息中找不到与在执行过程中显示的相同的内容意识计划…该消息最终打开的可能性是多少? 根据经验,概率很高。
现在我们能提供什么帮助?
首先,技术帮助可以是电子邮件保护的高级系统,可以过滤掉大多数恶意项目:
·优点:它可以是全自动的,而监视最少。
·劣势:可能会增加意识上的安全感,用户会因此而感到完全安全……
但是,仍然没有系统可以肯定100%将被阻止。
另一个真正的附加帮助是在遇到疑问时为用户提供帮助。 犹豫不决时,能够在任何情况下向某人寻求帮助都是很棒的。 可以看看的人,检查标题,元数据,最终运行完整的沙箱分析,然后向您解释是否安全。
我并不是说它可以保护所有人,防止任何可能的恶意尝试,但是可以大大减少怀疑可能产生的错误。
它需要人员,需要耐心,需要支持团队的知识,但结果是有价值的。
·缺点:不能自动执行,需要人工操作
·优势:人为处理,提高情报水平并及早发现高级攻击。
我从事网络安全工作已有一段时间了,我知道计算机系统,我使用黑客工具来学习如何识别可疑元素的存在,尽管如此,我不能告诉你我永远不会成为攻击的受害者……
安全是不断改进技术和人员控制的过程,有时人为方面可能是最具挑战性的方面。
但是,更多地依赖技术方面并避免对用户进行隐私或安全控制方面的教育是错误的。
在过去的十年中,大多数意识计划方法都是为了教育用户,但主要是为了保护自己。
仅仅幸福的结局还不够。 但是谁说这应该很容易呢?
精心设计的安全意识计划是激励,培训和帮助人们在我们连接的环境中安全处理信息的关键资源。 这样,也许大多数人会停止感到问题似乎是针对其他人而不是他们。
如果我们想成功地使安全成为每个人的优先事项,那么我们必须挑战自己,以不同的方式思考交流方式和交流内容。 多积极一点。
当员工举报网络钓鱼电子邮件并帮助检测到未遂攻击时,成功共享此信息很重要。
动机是关键因素,只要有疑问,就需要简单的解释,真实的例子,不断的鼓励和帮助。
关于“幸福的结局”是什么,没有一个公认的定义,但是至少为所有用户提供帮助并让他们意识到并参与其中将为场景带来一些改善……
