馬漢

根據(jù)調(diào)查顯示，在過去一年中，32 %的企業(yè)遭受網(wǎng)絡(luò)攻擊。每年企業(yè)共計損失3 880億元來應(yīng)對安全泄露事故，單用于修復(fù)計算機病毒的費用每年達到約550億美元。雖然網(wǎng)絡(luò)罪犯受到很多關(guān)注，也經(jīng)常成為新聞頭條，但其實企業(yè)內(nèi)部威脅（無論是否惡意）可能更大。

缺乏安全培訓(xùn)導(dǎo)致內(nèi)部威脅快速增長

在Harvey Nash/KPMG調(diào)查中，來自世界各地的4 500名首席信息官和技術(shù)負責(zé)人表示內(nèi)部威脅是增長最快的安全風(fēng)險。員工和承包商對企業(yè)構(gòu)成重大威脅，他們通常沒有接受過適當(dāng)?shù)娘L(fēng)險管理培訓(xùn)。

盡管有些員工對企業(yè)有惡意行為，但大部分網(wǎng)絡(luò)安全漏洞是由于疏忽或無意的錯誤，60 %的企業(yè)承認自己的員工不了解安全風(fēng)險。那些沒有向員工傳達潛在風(fēng)險以及如何防范的企業(yè)可能會面臨由于人為錯誤導(dǎo)致的安全風(fēng)險。

根據(jù)IBM發(fā)布的2016年網(wǎng)絡(luò)安全情報指數(shù)顯示，60 %的攻擊由內(nèi)部人員執(zhí)行。在這些攻擊中，四分之三涉及惡意攻擊，而四分之一為無意，這種安全泄露事故可能包括意外粘貼公司敏感信息到公司面向公眾的網(wǎng)站，發(fā)送受限信息到錯誤的人或者不小心泄露機密記錄等。

例如，在2013年的調(diào)查中，谷歌報告稱2 500萬Chrome警告在70.2 %的時間內(nèi)被忽視。在某些情況下，警告被忽視是由于用戶缺乏技術(shù)知識，這些員工根本不了解這些警告中使用的技術(shù)語言。

黑客利用員工安全意識差展開攻擊

根據(jù)網(wǎng)絡(luò)安全專家表示，90 %外部網(wǎng)絡(luò)攻擊的發(fā)生是因為員工無意中向黑客提供了其訪問權(quán)限。網(wǎng)絡(luò)罪犯利用不了解網(wǎng)絡(luò)釣魚技術(shù)的內(nèi)部人員，通常通過假冒網(wǎng)站或感染惡意軟件的鏈接等形式來竊取公司的敏感信息。

為了保護網(wǎng)絡(luò)，企業(yè)必須通過企業(yè)范圍的信息安全風(fēng)險評估來識別潛在的漏洞。企業(yè)必須意識到自己網(wǎng)絡(luò)的狀況以抵御網(wǎng)絡(luò)泄露事故，企業(yè)領(lǐng)導(dǎo)應(yīng)該了解哪些數(shù)據(jù)必須受到保護、這些數(shù)據(jù)位于網(wǎng)絡(luò)的位置以及誰可以實時訪問這些數(shù)據(jù)。

在確定重要和敏感數(shù)據(jù)后，訪問應(yīng)該限于已經(jīng)過適當(dāng)審查并熟悉安全協(xié)議的員工。當(dāng)聘請技術(shù)員工和承包商時，企業(yè)應(yīng)該請專業(yè)第三方安全服務(wù)來進行徹底全面的背景調(diào)查，才能讓他們在企業(yè)的基礎(chǔ)設(shè)施內(nèi)部進行工作。

在聘用這些人員后，企業(yè)還應(yīng)該提供強制且頻繁的培訓(xùn)，以提醒員工網(wǎng)絡(luò)安全風(fēng)險以及違反安全協(xié)議的后果。培訓(xùn)可能包括數(shù)據(jù)泄露事故可能對企業(yè)帶來的破壞以及員工會因疏忽而受到懲罰。安全培訓(xùn)應(yīng)該包括對安全風(fēng)險的討論，包括通過筆記本電腦或個人存儲設(shè)備將機密信息帶出辦公室，還應(yīng)該討論機密信息的處理和分享問題。

離職員工更要立即隔離權(quán)限

最后，當(dāng)員工離開公司時，應(yīng)立即禁止其對系統(tǒng)的訪問權(quán)限。理想情況下，當(dāng)員工離職時應(yīng)觸發(fā)自動數(shù)據(jù)擦除，以防止他們重新登錄到系統(tǒng)以及訪問企業(yè)數(shù)據(jù)，特別是在不需要頻繁驗證身份的云服務(wù)。

面對迅速變化的網(wǎng)絡(luò)犯罪趨勢，靜態(tài)評估、陳舊的員工培訓(xùn)和協(xié)議無法跟上網(wǎng)絡(luò)安全的變化。培訓(xùn)和系統(tǒng)評估必須持續(xù)進行以應(yīng)對不斷變化的環(huán)境。