如何應對實戰化攻防演練中的“行為漏洞”?
責編:gltian |2022-03-30 13:47:32
近年來,網絡安全在國家安全中的重要性愈發凸顯。隨著國際局勢的日益復雜,國家關鍵信息基礎設施受到的網絡安全威脅日益加劇,在最近爆發的俄烏沖突中,雙方大打網絡戰,無不表明網絡攻擊已成為戰爭標配。嚴峻的網絡安全態勢無疑對實戰化攻防演練提出了更高要求。
實戰化攻防演練中的安全盲區
2016年4月,習近平總書記在網絡安全和信息化工作座談會上指出,“網絡安全的本質是對抗,對抗的本質是攻防兩端能力的較量”。同年,國家相關部門正式拉開實戰化攻防演練的帷幕。
經過六年的發展,無論是活動廣度還是演練深度,實戰化攻防演練實現了跨越式發展,我國網絡安全攻防水平也順利取得了長足進步。
但是,我們也不難發現,實戰化攻防演練在網絡安全意識層面有所欠缺,存在“人員行為漏洞”。究其原因,網絡安全的本質在對抗,其實質是人與人的對抗。網絡安全防護中,人是最大的變數。
數據顯示,超過三分之一的安全事件與員工安全意識薄弱有關。當攻擊者無法通過傳統技術手段實施攻擊時,人的行為漏洞往往更容易成為攻擊者的突破口,修補網絡安全體系中的“行為漏洞”勢在必行。
如何修補人的“行為漏洞”?
加強網絡安全意識宣傳教育。《網絡安全法》第十九條明確強調,“各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育,并指導、督促有關單位做好網絡安全宣傳教育工作。”《數據安全法》第九條也提到,“國家支持開展數據安全知識宣傳普及,提高全社會的數據安全保護意識和水平”。
安全意識宣傳教育的重要性不言而喻。具體實施上,重點是制定詳細的網絡安全意識教育計劃,要確定每次宣教的知識主題與內容,然后從宣教方式、實施時間、實施頻率等不同維度來確定具體工作。
以實戰化攻防演練主題為例,宣傳內容上要有層級區分,從實戰化攻防演練的概述,到釣魚郵件、社會工程、勒索軟件等典型網絡安全主題的綜合宣傳,再到捕捉日常辦公行為中安全意識細節,構建一個能強化宣傳效果的主題宣傳框架。
宣傳形式上,安全意識廠商應著重提供內容覆蓋更廣泛、學習方式更多樣的產品。例如,當員工對釣魚郵件沒有防范認知,企業可以通過可視化教育形式,教會他識別釣魚郵件;當員工不知道如何設置足夠強度的密碼,企業可以通過圖文播報形式,讓他遠離弱密碼。總體來說,宣傳形式越多,越能夠在安全意識學習內容和實施中提供更大的靈活性。
實戰化攻防演練中的網絡攻防演練重要嗎?很重要。但是,有一件事不會改變,網絡攻擊總會繞過技術防護去尋找那些最佳突破口—安全意識薄弱的人,畢竟低成本高收益,網絡攻擊者有什么理由不這樣選?
那么,企業如何加強安全意識宣教?
掃描領取攻防演練宣教體驗包
典型安全意識產品類別
視頻類:網絡安全意識教育動畫、網絡安全意識課程視頻、網絡安全意識教育宣傳片、網絡安全意識真人視頻等。
互動游戲類:手機拼圖游戲、手機微信答題、體感游戲-安全答題、體感游戲-安全跑酷、體感游戲-安全泡泡樂等。
軟件工具類:網絡安全意識評估系統、釣魚郵件。
設計制作類:網絡安全意識手冊、網絡安全意識掌中寶手冊、網絡安全意識漫談、網絡安全意識記事本、網絡安全意識電子手冊(手機版)、網絡安全意識PPT、網絡安全意識長圖(小水滴)、網絡安全意識電子期刊、?網絡安全意識知識圖片、網絡安全意識海報、網絡安全意識易拉寶、網絡安全意識桌面、網絡安全意識屏保等。
現場培訓類:網絡安全意識現場培訓。
定制類:根據企業實際需求,為其提供定制類網絡安全意識產品制作與服務等。