網路安全意識培訓的六個創新思路
很多機構都會舉辦網路安全意識月活動, 旨在幫助員工、客戶以及公眾提高對網路安全風險的認知水平,其間也強調各類角色在緩解安全風險上所能夠發揮的作用。
今年的網路安全意識月重要程度遠超以往,這與當下極為嚴峻的網路安全形勢不無關係:從網路釣魚與域名欺詐,到勒索軟體以及超大規模 DDoS ,網路安全領域的各個方面都呈現出越來越可怕的威脅態勢。更糟糕的是,安全威脅已經超越了傳統的惡意與財務意圖—— 2016 年美國總統大選事件證明,攻擊者已經開始利用網路渠道實施與地緣政治相關的活動。
如果員工好不能充分參與,網路安全意識月將無法帶來任何符合預期的積極影響。我們需要有各類有趣引人的想法,確保大家能積極參與。下面是我們覺得 6 個值得一試的有趣思路。
1. 問答之夜
您的員工對於網路安全知識的瞭解程度如何?事實上,我們可以通過多種方式傳授網路安全的知識。您可以通過正式的課堂式集訓進行普及,但員工恐怕會厭倦這種枯燥乏味的形式。事實上,其他手段的效果往往不理想:例如作為企業整體安全意識建設計劃的一部分,很多員工並不願意定期閱讀自己收到的資訊保安電子郵件。
通過組織有趣且存在一定競爭元素,但又不那麼嚴肅正式的問答活動,我們可以更充分地調動起員工積極性。想象一下,在問答之夜活動中,由不同部門作為參賽團隊彼此對抗,併為答對最多問題的團隊提供獎品——其中貢獻最突出的個人還將獲得相應的殊榮,是不是很棒?
為了獲得更好的效果,請儘可能提出非技術性問題,否則競賽勝利者的頭銜恐怕會長期被 IT 部門所佔據。
2. 敏感檔案大搜捕
相信每個人都對尋寶活動抱有渾厚興趣。因此我們可以任意選擇一天,在日常工作結束後指定某一部門的員工在另一部門的工作區內儘可能多地尋找敏感檔案或者未及時鎖定的計算機。敏感資料洩露量最少的部門,將在比賽中獲勝。
其中的問題在於,已經擁有良好檔案管理習慣以及資訊保護文化的部門往往更有可能刻這一挑戰。
為了提升參與積極性,大家可以選擇另一種方式:在指定場所內隱藏一份或者多份檔案,而後開展檔案大搜捕行動。接下來的一整個月都屬於搜捕期,那些成功找到相關檔案的個人將獲得獎勵。
3. 模擬釣魚攻擊
設計一份極具誘惑力的釣魚郵件,並將其傳送給組織中的每位成員。我們可以在深夜期間進行傳送,以確保員工能夠在第二天早上馬上看到。您可以使用外部或者欺騙性電子郵件地址,總之儘可能提升內容的可信度就是了。為了強化迷惑效果,大家甚至可以在其中新增企業徽標、品牌宣言、免責宣告甚至是高層管理人員的真實姓名等等。
在內容層面,郵件應該要求收件人儘快傳送某些機密資訊。這場模擬攻擊的目標,是為了瞭解多少員工會根據要求在回覆郵件中提供對應的實際資料。
實際上,即使員工沒有提供所要求的資料,其做出的任何回覆操作都應被視為失敗。一般來講,身份竊取者需要積極搜尋組織內員工的真實姓名以發動進一步攻擊,而任何回覆都有可能為其提供線索。
當然,在工作人員最終意識到這只是一場小測驗時,心態會非常放鬆。但在放鬆的同時,他們也學習到了很多關於社會化工程攻擊的知識。
4. 活動 遊戲化
如果大家沒有購買現成的應用程式產品,遊戲化活動往往會帶來不少定製化程式設計工作量。但是,這一切都將物有所值。此類活動將獎勵參與者展示或者提升自身安全意識的行為。為了獲得理想效果,遊戲活動應該制定有明確的規則,包括員工必須清楚瞭解他們要如何參與、能夠獲得怎樣的獎勵並通過實時排行榜展示當前得分最高的人員等。
舉例來說,參與者在完成資訊保安測驗之後可以獲得 20 分,如果能夠確定安全程式失效則可獲得 50 分等等。在網路安全意識月結束後,大家可以為員工安排一場總結活動,併為得分最高的員工提供豐盛的晚宴或者禮品卡等。整個流程應該儘可能自動化,從而提升參與者的信心並緩解緊張感。
5. 充分組織戶外活動
如果大家希望員工之間能夠進行充分的創新思維交流,在網路安全意識月之內至少應該組織一次戶外活動。目前已經存在各種各樣的戶外團隊建設活動,您可以有針對性地向其中加入網路安全元素,並鼓勵員工們相互競爭。
戶外活動的優勢在於,大家不必為獲勝的個人或者團隊準備太過昂貴的獎品。首先,員工們本身就樂於離開辦公室享受戶外環境 ; 其次,新環境下的對抗能夠帶來不同於以往的樂趣。
這種悠閒的環境能夠非常高效地傳遞嚴肅資訊,並讓工作人員徹底擺脫日常辦公事務的束縛,專注於網路安全議題開展充分討論。
6. Bug 賞金專案
我們此前強調控制網路安全活動中技術性的重要意義,這主要是為了建立相對公平的競爭環境。儘管如此,必須承認 IT 部門在保障網路安全控制方面承擔著最大的責任。如果大家希望在網路安全意識月中給自己提供一些有針對性、有吸引力的挑戰,同樣需要動動心思。
因此,對於更熟悉技術知識的員工,大家不妨組織一次漏洞賞金專案——即鼓勵參與者在一個月的週期內搜尋各類系統漏洞。
與任何其他滲透測試一樣,請確保您的漏洞賞金專案的執行不會影響日常運營。事實上,入侵有可能會給生產環境造成嚴重影響,因此請謹慎地將黑客嘗試限制在低流量日(例如,大多數企業在星期日的流量水平明顯較低)。除此之外,大家還可以將演習限制在測試環境當中,但請確保該測試環境與生產系統保持高度一致。
發現漏洞可能是一項既耗時又耗神的工作。因此,對於那些能夠發現高嚴重度漏洞的員工,大家應該為其提供誘人的經濟回報。
網路安全意識:投入一月,保障一整年
網路安全意識月代表著一次重要的機會,能夠讓企業高層管理團隊深入理解並積極支援內部的整體安全意識培養。通過這種自上而下的支援並提升活動樂趣水平,員工們將展現出令人興奮的參與熱情,並最終有效強化企業內的資料與系統安全性。
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。