图片来源 :CEChina
为安全意识计划创建强大的指标框架可以帮助制造企业确定重要事项以及如何保护自己。
为组织的安全意识计划创建一个强大的度量框架,可以帮助制造企业衡量整体影响,并在符合企业战略优先事项的情况下,向企业领导层展示其价值。
安全意识计划是一种结构化的方法,用于管理组织中的人员风险。您可以使用安全意识成熟度模型,来衡量安全意识计划的成熟度。本文假设已经有一个成熟的计划(至少是成熟模型的第三阶段),并且与安全团队积极合作,或者是安全团队的一部分。思考下面三个关键问题有助于更好地制定安全意识计划:
1.人因风险:最大的人因风险是什么?无法管理所有人因风险,这意味着企业必须识别并优先考虑最主要的人因风险。这应该是一个数据驱动的过程,与安全部门内的关键团队合作,如事件响应、安全运营、网络威胁情报或风险管理团队。
2.行为:能最有效管理这些风险的关键行为是什么?而且,我们需要对行为进行优先排序,我们关注的行为越少,人们改变这些行为的可能性就越大,并且组织成本也越低。
3.改变:我们如何激励和帮助人们改变这些行为?
随着时间的推移,技术、威胁和业务需求都会发生变化。因此,至少每年都应与安全团队协调,对企业的人因风险进行审查和更新。
01 对度量的分析
一旦从这个角度来看待安全意识和管理人类风险,企业就更容易确定应该关注哪些指标。企业应事先决定的一件事:按个人还是按角色、部门或业务单位,来衡量和跟踪行为。如果在个人层面进行跟踪,一定要采取措施保护每个人的信息和隐私。根据组织的规模和收集的数据量,企业可能还需要与组织中专门从事数据分析/商业智情报的人员合作,以帮助规范化/分析结果。
02 网络钓鱼
在全球范围内,网络钓鱼一直是数据泄露的头号原因(根据2021年Verizon DBIR报告)。无论我们在这个问题上施加了多少技术控制,网络攻击者的应对都很简单:适应并绕过这些措施。因此,我们需要教会人们如何识别和报告这些攻击。那么,我们应该检测什么?人员经培训后,应检测他们是否容易受到网络钓鱼的攻击。在最大的人因风险中,这是最容易衡量的,为什么它是如此常见的衡量标准?
1.点击率:测量企业的整体点击率。在进行第一次网络钓鱼培训后,这个数字会迅速下降,对于比较基本的网络钓鱼模板,点击率可能会从20%下降到不到2%。一旦点击率降低到2%到3%左右,可能需要开始使用更隐蔽/更有针对性的钓鱼模板。大多数网络钓鱼来源支持分层方法,使您能够使用不同难度类别的网络钓鱼。记住,目标不是0%的点击率,因为一旦你使用基本的、初级的网络钓鱼模板,达到2%或更低的点击率,那第一次点击的人员主要是新员工,对他们而言,这其实是一种培训。
2、重复点击率:对于许多企业来说,这是最有价值的钓鱼指标,因为它衡量的是重复点击者——那些没有改变行为的人,对组织来说风险更大。
3.报告率:如果你正在培训,并要求员工在发现可疑的网络钓鱼电子邮件时要上报,这有助于建立监测网络。对于这一点,关键不是报告的人数,而是安全团队获得第一份报告的速度。人们越早报告可疑事件,安全团队就能越快的应对和管理潜在事件。报告可疑事件的人员,代表着最警觉的员工,因为他们不仅能够识别攻击,而且能够让安全团队更主动地做出响应并保护整个组织。
03 密码管理
密码仍然是近年来漏洞的主要因素之一。网络攻击者已经改变策略、技术和程序(TTP),从通过不断侵入和感染系统来获取访问权或横向移动,转向使用合法帐户等更容易绕过和穿越被攻击者组织的方式,同时还可以避免被发现。因此,强密码和这些密码的安全使用都已成为关键。
1.强密码:确保人们适应并使用强密码。现在大力鼓励使用密码短语。这可以通过对密码数据库进行暴力破解来测试。
2.使用密码管理器:在很多方面,密码变得更困难、混乱,甚至因为各种规则和政策而让人感到害怕。因此,企业开始采用密码管理器,以简化员工的密码。如果企业部署了密码管理器,则考察密码管理器的采用率和使用率。员工中使用密码管理器的比例是多少?企业应该能够从部门部署/管理密码管理器的数据中提取这些数据。
3.采用多因素认证(MFA):MFA对于关键或敏感账户尤其重要。同样,无论谁负责部署MFA解决方案、负责认证系统的日志记录、领导身份和访问管理,或部分运营或安全,都应该可以访问这些信息。
4.密码重复使用/密码共享:人们是否在不同的工作账户中重复使用相同的密码(或者更糟的是重复使用工作和个人账户)?还是人们与同事共享密码?虽然听起来这种行为很难衡量,但您可以通过安全行为/文化调查,有效地衡量这两种行为。关键是使用科学的方法来编写和测量调查结果。例如,衡量密码共享的一种方法是询问员工:在1到5的范围内,你与同事共享密码的可能性有多大。
04 掌握更新状态
我们希望确保人们正在使用的计算机和设备,以及安装在其上的应用程序和APP,版本都是最新的。对于一些组织来说,这不是一个问题,因为人们没有管理权限,对发布工作的设备也没有控制权,他们的设备由IT人员主动打补丁。然而,对于另外许多组织来说,这是一个问题,因为现在有很多人在家远程工作,并且经常使用个人设备或家庭网络进行工作访问。有几种方法可以衡量这一点。
■ 对于企业发布的任何设备,运营、IT和漏洞管理团队,都应该能够远程跟踪这些设备的更新状态。在某些情况下,移动设备管理等解决方案也可以安装在个人设备上,用于跟踪更新状态。
■ 学习管理系统或网络钓鱼平台,可以自动跟踪连接到它们的任何设备、操作系统和浏览器版本。
■ 评估和调查员工,以确定他们是否理解更新的重要性,并积极更新个人设备,包括启用自动更新。
05 需要考虑的战略指标
一旦开始收集人们行为的指标,您就可以利用这些数据,更好地理解和管理整体的人因风险。三个主要用途包括:
■ 确定哪些区域、部门或业务部门的安全行为最少,并且对组织构成最大的风险。
■ 识别哪些区域、部门或业务部门最成功地改变了行为,原因是什么。将学到的经验教训应用到安全性较差的部门或区域。
■ 当事件确实发生时,了解该人员是否接受过培训。他们所在的部门是最安全还是最不安全的部门或业务单元之一吗?
你还可以将行为与领导真正关心的事情结合起来,来展示项目的战略价值。
1.事件数量:随着人们行为的改变,事件的总数应该下降,例如,由于人们成为网络钓鱼攻击的受害者,或由于密码问题造成帐户被盗,而导致的受感染设备的数量。
2.攻击者驻留时间:随着监测网络的组建,在您的组织中检测成功的网络攻击者所需的时间应该会减少。攻击者在您的网络上停留的时间越短,他们造成的伤害就越小。
3.事件成本:通过减少事件数量和成功攻击者的停留时间,可以降低总体成本。
4.政策和审计违规:随着行为的改变,应该看到政策和审计违规的数量减少,或严重程度降低。
这份清单既不详尽也不完美,但它是一个起点。你可以测量大量其它指标,以及这些指标的数据来源。关键不是衡量一切;企业最好衡量对他们最有用的指标。要做到这一点,企业首先需要知道最大的人因风险是什么,以及管理这些风险的行为有哪些。(作者 | Lance Spitzner)
关键概念:
■ 为组织的安全意识计划创建一个强大的度量框架,可以帮助制造企业衡量整体影响。
■ 企业最好选取那些对他们最有用的指标,而不是衡量一切。
思考一下:
贵企业在网络安全方面采取了哪些防护措施?