压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Proofpoint年度報(bào)告簡(jiǎn)述

今年的報(bào)告基于對(duì)15個(gè)國(guó)家的7500名終端用戶和1050名網(wǎng)絡(luò)安全專(zhuān)業(yè)人士的調(diào)研。難能可貴的是，本報(bào)告不僅基于主觀調(diào)研結(jié)果，還基于真實(shí)釣魚(yú)攻擊數(shù)據(jù)及釣魚(yú)演練數(shù)據(jù)（Proofpoint于過(guò)去12個(gè)月內(nèi)發(fā)送的1.83億次釣魚(yú)模擬郵件，以及2400封(次)用戶釣魚(yú)上報(bào)數(shù)據(jù)）。該報(bào)告對(duì)于企業(yè)用戶在反釣魚(yú)方面的知識(shí)差距及行為習(xí)慣提供了深入洞察，強(qiáng)調(diào)了安全意識(shí)教育、行為改變計(jì)劃與安全文化建設(shè)在降低網(wǎng)絡(luò)釣魚(yú)攻擊威脅中的重要作用。

這是一份有意思的報(bào)告，你可以發(fā)現(xiàn)：

• 為什么員工會(huì)故意采取高風(fēng)險(xiǎn)行為？他們是否意識(shí)到了風(fēng)險(xiǎn)行為的后果？
• 如何建立一個(gè)強(qiáng)大的網(wǎng)絡(luò)安全文化，以促進(jìn)員工對(duì)安全問(wèn)題的積極態(tài)度和責(zé)任感？
• 為什么只有少數(shù)企業(yè)提供了基于崗位角色的、基于員工特定風(fēng)險(xiǎn)的針對(duì)性安全意識(shí)培訓(xùn)？
• 新興網(wǎng)絡(luò)威脅不斷演變，如何確保員工安全意識(shí)培訓(xùn)的及時(shí)性、相關(guān)性及適配度？

根據(jù)調(diào)查數(shù)據(jù)，71%的職場(chǎng)人士承認(rèn)在工作中發(fā)生了一次或多次具有安全風(fēng)險(xiǎn)的行為，例如：與家人或朋友共用工作電腦或處理私人事務(wù)，重復(fù)使用或共享賬號(hào)密碼，訪問(wèn)不良網(wǎng)站、點(diǎn)擊來(lái)自未知發(fā)件人的鏈接或下載附件，或者向不明身份的“熟人”提供賬號(hào)密碼，將敏感數(shù)據(jù)上傳至第三方云服務(wù)，在公共場(chǎng)所連接免費(fèi)Wi-Fi且未啟用VPN的情況下訪問(wèn)公司網(wǎng)絡(luò)等等，其中96%的員工明明知道自己在冒險(xiǎn)的情況下仍然選擇這么做。

員工故意采取高風(fēng)險(xiǎn)行為的原因有多種。其中，方便、省時(shí)和情況緊急是最常見(jiàn)的原因，還有2.5%的員工純粹出于好奇心采取高風(fēng)險(xiǎn)行為。當(dāng)員工在方便和安全之間做選擇時(shí)，員工幾乎每次都會(huì)選擇前者。無(wú)論出于何種原因，員工采取高風(fēng)險(xiǎn)行為并不是因?yàn)樗麄內(nèi)狈Π踩庾R(shí)。通常情況下，員工在采取風(fēng)險(xiǎn)行為時(shí)知道自己在做什么，也意識(shí)到了可能的不良后果，他們是在權(quán)衡利弊之后，仍然心存僥幸，愿意鋌而走險(xiǎn)，從而構(gòu)成了“內(nèi)部人員威脅”。

最常見(jiàn)的與員工相關(guān)的網(wǎng)絡(luò)安全漏洞是什么?

毋庸置疑，最常見(jiàn)的莫過(guò)于員工對(duì)于社會(huì)工程學(xué)攻擊（包括網(wǎng)絡(luò)釣魚(yú)）缺乏“免疫力”。事實(shí)上，絕大多數(shù)成功的網(wǎng)絡(luò)入侵(74%)涉及人為因素，即有員工被欺騙而犯下了“人為錯(cuò)誤”，從而為攻擊者順利訪問(wèn)企業(yè)的信息系統(tǒng)打開(kāi)了大門(mén)。攻擊者繞過(guò)安全技術(shù)防御錯(cuò)誤的最簡(jiǎn)單且最奏效的方式，就是發(fā)送釣魚(yú)郵件。

幾乎所有釣魚(yú)郵件都會(huì)引發(fā)郵件接收者的“情緒波動(dòng)”，受害者在情緒影響的支配下，繞過(guò)理性腦的思考，從而做出不符合自己最佳利益的決策。（如：點(diǎn)擊鏈接、下載附件或掃描二維碼）。社會(huì)工程學(xué)攻擊之所以難防，在于它利用的是刻在人們基因里的人性弱點(diǎn)與情緒漏洞。每一次社會(huì)工程學(xué)攻擊背后都涉及某一種或多種情緒漏洞的操縱，包括但不限于緊迫感、壓力、恐懼、貪婪、順從、驚喜、好奇心、同情心等等。

員工的網(wǎng)絡(luò)安全“責(zé)任認(rèn)知”何在？

許多員工并沒(méi)有遵守一些簡(jiǎn)單的、基本的企業(yè)安全合規(guī)行為準(zhǔn)則，寧愿冒險(xiǎn)，拿企業(yè)的安全防線來(lái)賭一把。且許多員工對(duì)于承擔(dān)網(wǎng)絡(luò)安全責(zé)任缺乏共識(shí)，有很強(qiáng)烈的傾向：安全是IT安全部門(mén)的事兒！。約7%的員工聲稱(chēng)他們根本沒(méi)有安全責(zé)任，只有41%的員工表示，他們知道自己在工作場(chǎng)所應(yīng)承擔(dān)的網(wǎng)絡(luò)安全責(zé)任，而過(guò)半員工(52%)選擇不確定。這與安全團(tuán)隊(duì)的觀點(diǎn)形成鮮明對(duì)比，其中85%的安全人員自以為：大多數(shù)員工知道他們自身的安全責(zé)任。這種認(rèn)知與現(xiàn)實(shí)之間的差距表明，有必要在公司范圍內(nèi)從上至下，就“共同責(zé)任”、“網(wǎng)絡(luò)安全人人有責(zé)”進(jìn)行更清晰的溝通，而不僅僅是開(kāi)展更多的安全培訓(xùn)。

真實(shí)的安全意識(shí)培訓(xùn)與釣魚(yú)演練覆蓋率不足

僅僅依靠安全意識(shí)宣貫與培訓(xùn)，不足以改變員工的不安全行為，知道不等于愿意去做，知道不等于做到位。但是，僅僅是安全意識(shí)宣貫與培訓(xùn)這一最基礎(chǔ)的動(dòng)作，就拿真實(shí)的培訓(xùn)覆蓋率指標(biāo)來(lái)說(shuō)，都令人驚訝。據(jù)調(diào)查顯示，僅有53%受訪的安全專(zhuān)業(yè)人員表示他們對(duì)企業(yè)中的每個(gè)人都進(jìn)行了安全意識(shí)培訓(xùn)，這意味著仍有相當(dāng)一大部分員工是游離于或排除在安全培訓(xùn)或釣魚(yú)演練之外的，可能是高管、高管助理、外包人員等。另一個(gè)問(wèn)題是，培訓(xùn)主題的覆蓋面和相關(guān)性不夠，未形成體系化的安全意識(shí)培訓(xùn)主題，也缺乏個(gè)性化的培訓(xùn)主題，員工的參與度與積極性不高。

另一個(gè)值得關(guān)注的數(shù)據(jù)是員工學(xué)習(xí)時(shí)長(zhǎng)，企業(yè)員工每年參加安全意識(shí)培訓(xùn)時(shí)長(zhǎng)在3小時(shí)以上的占32%，1-2小時(shí)占37%，1小時(shí)內(nèi)占31%。

本報(bào)告內(nèi)容翔實(shí)，極具參考價(jià)值，還涉及釣魚(yú)演練中招率行業(yè)趨勢(shì)，如何利用威脅情報(bào)改善員工風(fēng)險(xiǎn)行為，如何超越安全培訓(xùn)打造安全文化等等。

來(lái)源：超安全