如何应对实战化攻防演练中的“行为漏洞”?
日期:2022年03月29日 阅:126
近年来,网络安全在国家安全中的重要性愈发凸显。随着国际局势的日益复杂,国家关键信息基础设施受到的网络安全威胁日益加剧,在最近爆发的俄乌冲突中,双方大打网络战,无不表明网络攻击已成为战争标配。严峻的网络安全态势无疑对实战化攻防演练提出了更高要求。
实战化攻防演练中的安全盲区
2016年4月,习近平总书记在网络安全和信息化工作座谈会上指出,“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”。同年,国家相关部门正式拉开实战化攻防演练的帷幕。
经过六年的发展,无论是活动广度还是演练深度,实战化攻防演练实现了跨越式发展,我国网络安全攻防水平也顺利取得了长足进步。
但是,我们也不难发现,实战化攻防演练在网络安全意识层面有所欠缺,存在“人员行为漏洞”。究其原因,网络安全的本质在对抗,其实质是人与人的对抗。网络安全防护中,人是最大的变数。
数据显示,超过三分之一的安全事件与员工安全意识薄弱有关。当攻击者无法通过传统技术手段实施攻击时,人的行为漏洞往往更容易成为攻击者的突破口,修补网络安全体系中的“行为漏洞”势在必行。
如何修补人的“行为漏洞”?
加强网络安全意识宣传教育。《网络安全法》第十九条明确强调,“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。”《数据安全法》第九条也提到,“国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平”。
安全意识宣传教育的重要性不言而喻。具体实施上,重点是制定详细的网络安全意识教育计划,要确定每次宣教的知识主题与内容,然后从宣教方式、实施时间、实施频率等不同维度来确定具体工作。
以实战化攻防演练主题为例,宣传内容上要有层级区分,从实战化攻防演练的概述,到钓鱼邮件、社会工程、勒索软件等典型网络安全主题的综合宣传,再到捕捉日常办公行为中安全意识细节,构建一个能强化宣传效果的主题宣传框架。
宣传形式上,安全意识厂商应着重提供内容覆盖更广泛、学习方式更多样的产品。例如,当员工对钓鱼邮件没有防范认知,企业可以通过可视化教育形式,教会他识别钓鱼邮件;当员工不知道如何设置足够强度的密码,企业可以通过图文播报形式,让他远离弱密码。总体来说,宣传形式越多,越能够在安全意识学习内容和实施中提供更大的灵活性。
实战化攻防演练中的网络攻防演练重要吗?很重要。但是,有一件事不会改变,网络攻击总会绕过技术防护去寻找那些最佳突破口—安全意识薄弱的人,毕竟低成本高收益,网络攻击者有什么理由不这样选?
那么,企业如何加强安全意识宣教?
扫描领取攻防演练宣教体验包
典型安全意识产品类别
视频类:网络安全意识教育动画、网络安全意识课程视频、网络安全意识教育宣传片、网络安全意识真人视频等。
互动游戏类:手机拼图游戏、手机微信答题、体感游戏-安全答题、体感游戏-安全跑酷、体感游戏-安全泡泡乐等。
软件工具类:网络安全意识评估系统、钓鱼邮件。
设计制作类:网络安全意识手册、网络安全意识掌中宝手册、网络安全意识漫谈、网络安全意识记事本、网络安全意识电子手册(手机版)、网络安全意识PPT、网络安全意识长图(小水滴)、网络安全意识电子期刊、 网络安全意识知识图片、网络安全意识海报、网络安全意识易拉宝、网络安全意识桌面、网络安全意识屏保等。
现场培训类:网络安全意识现场培训。
定制类:根据企业实际需求,为其提供定制类网络安全意识产品制作与服务等。
谷安天下是国内中立性网络安全与风险服务机构,成立十年来专注于信息安全与 IT 风险管理领域的研究与实践,致力于全面提升中国企业的安全能力与风险管控能力,为数百个金融、政府、运营商、央企、能源客户提供了咨询服务,并为国内信息安全及IT 审计领域培养了大批专业人才。谷安公司经过十余年的不懈努力,已成为国内专业的安全与风险服务品牌。安全牛也成为行业内具有影响力的媒体品牌。