信息安全四要素包含:技术、制度、流程、人。其中,“人”是信息安全最薄弱的环节。
世界头号黑客Kevin Mitnick 曾说过一句话被广泛认可:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。
黑客们想要黑进一家公司,首先在堆积如山的垃圾堆中翻拣出该公司某位员工的电子邮件信息,然后根据这位员工的喜好发送了一个电子邮件,木马病毒隐藏在邮件的附件中。当这位员工在自己的公司电脑上打开邮件时,黑客们乘虚而入……
因此,“人”通常被认为是信息安全中的“薄弱的环节”,即人为威胁。人为威胁可以分为无意识和有意识两种。无意识的威胁是指由于管理和使用者的操作失误造成的信息泄露或破坏。有意识的威胁是指某些组织或个人,出于各自的目的或利益直接破坏各种设备、窃取及盗用有价值的数据信息、制造及散播病毒或改变系统功能等。这种有意识的威胁是最应该引起重视的。
通过提升全员的信息安全意识,让员工建立起保护企业信息的责任感,是企业面对安全威胁的最佳方式。
延伸阅读:
- 如何应对“人为威胁”
从历史上看,组织一直依靠技术安全控制的有效性,而不是试图了解人们为什么容易出错和受到操纵。显然需要一种新方法:该方法可以帮助组织理解和管理心理脆弱性,并采用以人类行为为中心的技术和控制手段。
这种新方法是以人为本的安全性。
以人为本的安全始于了解人类及其与技术,控制和数据的相互作用。通过发现人们在整个工作日中如何以及何时“触摸”数据,组织可以发现与心理有关的错误可能导致安全事件的情况。
多年来,攻击者一直在使用心理操纵方法来迫使人类犯错误。攻击技术已在数字时代发展,其复杂性,速度和规模不断提高。了解引发人为错误的原因将有助于组织改变其信息安全方法。
面对“人”是信息安全中的“最薄弱环节”,组织如何把最薄弱的环节转换为最强的安全资产?信息安全论坛(ISF)常务董事、Gartner前高级副总裁,斯蒂文.杜宾给出以人为本的安全性的解决方案:
1、识别人的漏洞
以人为本的安全性承认,员工在任何一天都可以通过一系列接触点与技术,控制和数据进行交互。这些接触点可以是数字的,物理的或口头的。在这种交互过程中,人类将需要做出决定。但是,人类存在一系列漏洞,这些漏洞可能导致决策错误,从而给组织带来负面影响,例如向外部发送包含敏感数据的电子邮件,让后挡板进入建筑物或在火车上讨论公司收购事宜。这些错误也可能被机会主义的攻击者用于恶意目的。
在某些情况下,组织可以采取预防性控制措施来减轻所犯的错误,例如,防止员工向外部发送电子邮件,对笔记本电脑进行强加密或物理障碍。但是,错误仍然可以解决,特别是如果个人决定颠覆或忽略这些类型的控件以更有效地完成工作任务或在时间有限的情况下。在压力或压力升高时也可能会显示错误。
通过识别人类的基本漏洞,了解心理学的工作原理以及引发风险行为的原因,组织可以开始理解为什么员工可能会犯错误,并开始更有效地管理该风险。
2、利用人的漏洞
心理脆弱性为攻击者提供了影响和利用人类自身优势的机会。自从人类进入数字时代以来,攻击者使用的心理操纵方法没有改变,但是攻击技术更加先进,具有成本效益和扩展性,允许攻击者有效地针对个人或进行大规模攻击。
攻击者使用越来越多的来自在线和社交媒体来源的免费信息来建立可信的角色和背景故事,以建立与目标的信任和融洽关系。仔细地使用此信息来增加对目标的压力,然后触发启发式决策制定响应。攻击技术用于迫使目标使用特定的认知偏差,从而导致可预测的错误。然后,攻击者可以利用这些错误。
有几种心理方法可用于操纵人类行为。攻击者可以用来影响认知偏见的一种方法是社会力量。
有许多攻击技术使用社交力量方法来利用人的漏洞。攻击技术可以高度针对性地或大规模地进行,但它们通常包含旨在引起特定认知偏差的触发器,从而导致可预测的错误。尽管没有针对性,但“喷雾和祈祷”攻击仅依赖一小部分点击恶意链接的收件人,而更复杂的社交工程攻击正变得越来越普遍和成功。攻击者已经意识到,针对人类要比尝试攻击技术基础设施容易得多。
两种情况下,攻击技术利用社交力量触发认知偏差的方式会有所不同。在某些情况下,一封电子邮件可能足以触发一个或多个认知偏差,从而导致理想的结果。在其他情况下,攻击可能会使用多种技术在一段时间内逐渐操纵目标。一致的是,攻击是经过精心构造和完善的。通过了解攻击者如何使用心理方法(例如社交力量)来触发认知偏见和强迫错误,组织可以解构和分析现实事件,以找出其根本原因,从而投资于最有效的缓解措施。
为了使信息安全计划变得更加以人为本,组织必须意识到认知偏见及其对决策的影响。他们应该承认,正常的工作条件可能会引起认知偏差,而且攻击者将使用精心制作的技术来操纵这些技术以获取自己的利益。然后,组织可以开始重新解决信息安全计划,以改善对人为漏洞的管理,并保护其员工免受一系列强制和操纵性攻击。
3、管理人的漏洞
人为漏洞可能导致错误,这些错误会严重影响组织的声誉,甚至危及生命。组织可以通过采取更加以人为本的方法来提高安全意识,设计安全控制措施和技术来应对人类行为,并改善工作环境以减少压力或压力的影响,从而加强信息安全计划,从而减轻人为漏洞的风险。对劳动力的压力。
回顾当前的安全文化和对信息安全的看法应使组织有力地指出哪些认知偏见正在影响组织。增强对人的脆弱性的认识以及攻击者用来利用它们的技术,然后定制更多以人为中心的安全意识培训以应对不同的用户群,这应该是增强任何信息安全计划的基本要素。
成功实施以人为中心的安全计划的组织通常在信息安全和人力资源职能之间存在重大重叠。促进高级和初级雇员之间强大的指导网络,再加上工作日结构和工作环境的改善,应有助于减少不必要的压力,这些压力会导致引发影响决策的认知偏见。
在导师和受训者之间建立有意义的关系,以建立知识和理解的平衡。创建工作环境和工作与生活之间的平衡,以减少压力,疲惫,倦怠和不良的时间管理,所有这些都大大增加了发生错误的可能性。最后,考虑改善或增强工作空间和环境如何减少劳动力压力或压力。考虑什么是最适合劳动力的工作环境,因为可能有多种选择,例如在家中,远程工作或对办公室,工厂或室外场所进行现代化改造。
4、从最薄弱的环节到最强的资产
潜在的心理脆弱性意味着人类既容易犯错误,也容易受到操纵性和强制性攻击。现在,错误和处理占据了大多数安全事件,因此风险是巨大的。通过帮助员工了解这些漏洞如何导致不良的决策和错误,组织可以管理意外内部人员的风险。为此,需要一种新的信息安全方法。
以人为本的安全方法可以帮助组织显着减少导致错误的认知偏见的影响。通过发现最常见的认知偏差,行为触发因素和攻击技术,可以将量身定制的心理训练引入组织的意识运动中。可以对技术,控制和数据进行校准以解决人类行为,同时改善工作环境可以减轻压力和压力。
一旦从心理学的角度理解了信息安全,组织将为管理和减轻人为漏洞带来的风险做好准备。以人为本的安全性将帮助组织将最薄弱的环节转变为最强大的资产。
- 信息安全其他威胁还有哪些:
1、内部泄密
内部泄密指由于不严谨的企业内部管理,导致内部信息被企业内部人员有意或无意泄露,它是企业数据外泄的最主要原因。互联网已成为企业信息泄露的巨大威胁。在利益的驱动下,员工点击鼠标,复制数据,通过 E-mail 即可将信息传出。
2、网络窃听
网络监听工具可以监视和截获网络状态、数据流程以及网络上信息传输。如果黑客获取超级用户权限,登录主机,即可监控网络设备并截获数据。网络窃听指非法用户在未经授权的情况下,通过 Sniffer 等窃听软件,侦听网络传输信道或服务器、路由器等关键网络设备,通过窃听数据的方法来获得敏感信息。
3、病毒感染
计算机病毒是一组计算机指令或者程序代码,它通过自我复制对计算机的功能和数据进行破坏,影响计算机的正常运转甚至导致计算机系统瘫痪。计算机病毒因其破坏性而对计算机系统产生巨大威胁。
4、黑客攻击
黑客攻击是通过一定的技术手段进入内部网络,通过扫描系统漏洞,利用系统中安全防护的薄弱环节或系统缺陷,攻击目标主机或窃取其中存储的敏感信息。网络监听、拒绝服务、密码破解、后门程序、信息炸弹等都是黑客常用的攻击方式。
5、非授权访问
非授权访问指未经系统授权就使用网络或计算机资源,通过各种手段规避系统的访问控制机制,越权对网络设备及资源进行的访问。假冒、身份攻击和非法用户进入网络系统进行非法操作等,这些都是非授权访问的几种常见手段。
6、信息丢失
病毒感染或者黑客攻击都会导致文件被删除和数据被破坏,从而造成关键信息丢失。信息数据面临的安全威胁来自多个方面。通过对信息数据安全威胁的分析可以知道,造成信息数据丢失的原因主要有软件系统故障(操作系统故障、应用系统故障)、硬件故障、误操作、病毒、黑客、计算机犯罪、自然灾害等。
本文来自投稿,不代表Worktile社区立场,如若转载,请注明出处:https://worktile.com/kb/p/30301
微信扫一扫 
支付宝扫一扫 
