对于组织的信息安全风险管控来讲,员工同时是组织最大的资产和最大的弱点。传统上,组织面临的最大网络安全威胁来自外部,比如黑客、病毒、间谍、窃贼等等,现在业界认为内部人员也是不可忽视的威胁。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:人们常说“内贼难防”,对于一家比较成熟稳固的组织机构来讲,最令人担心的也最为常见的恐怕是“内外勾结”。无论是用户点击网络钓鱼邮件、滥用计算资源、盗窃商业秘密或知识产权、随意分享内部信息,还是自带计算设备,都会使组织受到内部和外部的伤害。究其原因和动机,有的内部人员是故意的,更多的情况则是由于员工们的无知或大意而造成的。

举例来讲,一名高管将不可靠来源的U盘插入他的机器,然后,没有进行任何点击,U盘固件自动安装驱动程序,释放出一种新型病毒,立即导致勒索病毒和数据盗窃事件。重要文件的失窃,让该组织损失了几个亿的“小目标”。高管绝对没有给自己制造麻烦和损失的动机,他只是安全意识薄弱,或者说缺乏提防陌生U盘的安全知识。

再举例来讲,一名新员工友善地帮助一名“尾随者”刷卡进入敏感区域,尾随者在盗窃了关键的内部信息之后,实施了严重的破坏活动并逃之夭夭。新员工受到责难,却认为自己很“无辜”,因为他/她并没有不良的动机,也没有认识和预见到“尾随”人员的危险。新员工的问题仍然是安全意识薄弱,如果进一步的原因是组织没有告诉他/她必要的安全知识,那么新员工则不应该受到责难。

上述这两个例子,尽管可以有技术方案来防范,比如进行严格的外来设备识别管理、最小化用户的驱动程序安装权限、限定一次只能单人出入的安全门、人员异常行为监控与检测等等,但是那些技术方案成本过高,而且影响效率。真正有效的方式是制定可接受的使用政策(正当用途政策、AUP),告知用户(员工)并要求其理解和遵守。

组织制定和实施可接受的使用政策的另一个主要原因,是要“师出有名”。在国家层面,网络安全为人民,网络安全靠人民。在组织层面,人员是网络信息系统和重要信息数据的使用者和创建者,人员与系统和数据的互动,需要一个全过程的安全,这个过程类似生命周期。与创建强密码一样,对信息进行安全分级和标识,了解如何识别虚假邮件地址和网站,以及如何识别网络钓鱼邮件,了解可以和不以连接到网络的设备,了解不再需要的信息该如何安全地销毁或彻底删除等等,都很重要,都是安全意识培训的重要组成部分。

那么,什么是可接受的使用政策呢?可接受的使用政策:是定义可以做什么和不能做什么的政策。通常这些都是常识性规则,例如最终用户不得入侵其他系统,不得绕过安全控制,不得监控其他员工,可以和不能使用哪些设备访问组织的网络,或者不得向其他员工发送色情电子邮件。

编写可接受的使用政策可以让IT、安全与合规部门获得更多的控制权,并教育员工如何最好地保护工作单位的网络、系统和信息。公司最不想要的是最终用户在内部攻击其他信息系统,然后侥幸逃脱,因为他们从未被告知不要这样做。所以,如果想要可接受的使用政策生效,必须首先教育员工们,令其了解规则。违规者要受到惩罚,否则政策只能停留在书面,没有执行力。

通过监控,可以知晓用户们是否严格遵守可接受的使用政策,有没有违反。需要提醒员工们组织机构正在积极监控网络和系统活动,如果最终用户知道并接受他们的活动可能会受到监控,组织机构就具有了相应的威慑力。在现实中,有许多意识计划都忽略了这一点,正如我们所知,大多数组织都会监控他们的网络,以便可以识别和响应事件。但是员工们也需要了解他们的活动也会受到监控,他们对隐私的期望应该有限。此外,例如,通过发布每个月访问外部网站时间最长的前10名员工,不仅可以提醒员工们其浪费了多少工作时间,而且可以提醒他们其网络活动正在受到监控,还将有助于阻止潜在的内部活动或欺诈。

安全意识培训的另一个重要部分是确定员工可以和不能连接到网络的设备。IT部门必须制定有关这些设备以及如何在网络上使用它们的规则。如果员工想要访问USB驱动器中的文件,请让他们与IT部门合作,在隔离的机器上对其进行预测试,并确保其是干净无毒的。此外请记住,财务员工和高管比其他员工更容易成为攻击目标。这些部门应该有特殊的规则,比如可接受的转账流程和付款准则,使用身份验证令牌来完成双因素身份验证等等。

在编写政策或更新后,必须反映及时与员工们分享并培训他们如何将其付诸行动。比如在办公室各处散布一些带有启用宏的文件的U盘。该特制U盘会在打开时提醒每个上钩的人。对财务和高管进行可接受的使用政策的培训,比如与员工们进行角色扮演,冒充高管指示财务付款,然后在每个季度,与财务经理一起审核付款请求,看看政策是否得到执行。当然,在有的机构中,这些审核流程已经存在了,没必要多此一举。不过,这种确保可接受的使用政策得以更新和有效执行的理念和方法是可以借鉴的。

为了真正使可接受的使用政策有效,我们建议将可接受的使用政策置于组织的网络安全意识培训之中。这有助于强化威胁意识和用户责任,并让用户有机会就可接受的使用政策提出问题。如果执行得当,这些培训可以将最大的威胁变成有效的第一道防线,也就是人员防线。

昆明亭长朗然科技有限公司专注于网络信息安全意识培训服务,我们提供免费的可接受使用策略模板,组织机构可以根据自己的实际情况进行调整,然后以可接受的使用政策为基础实施网络安全培训计划。在这方面,我们可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。