工作环境在不断发展,为网络犯罪分子提供了危害公司系统和网络的新机会。向远程工作的转变迫使企业所有者进行调整,制定技术措施以确保远程生产力和安全性。技术控制对于保护公司数据至关重要,但是,如果他们的员工没有经过充分的网络安全技能培训来保护自己和自己的业务,那么世界上所有的技术解决方案还不足以保护企业。本文回顾了在您的所有员工中创建强大,自信,高效的人类防火墙所需的意识培训的许多领域。
内部威胁
当人们听到“内部威胁”一词时,他们会想到愤怒的员工回到了以某种方式拒绝他们的公司。企业了解内部威胁并不总是恶意的,这一点至关重要。当员工犯无意的错误而导致对企业的伤害时,会发生意外的内部威胁。另外,好主意的员工可能会执行合法但危险的动作,例如单击恶意链接,不遵循政策和程序,或者以仿冒电子邮件的形式回应钓鱼邮件,就像他们是合法请求一样(最近是否购买礼品卡?)。根据Ponemon研究所的说法,这些意外威胁占所有与内幕有关的事件的62%。
不管他们是否知道,员工都会对公司网络和所拥有数据的安全性构成威胁。
Fortinet的一项研究表明,企业将网络钓鱼攻击(38%)视为意外内部威胁的首要原因,其次是鱼叉式网络钓鱼(21%),密码错误(16%)以及浏览可疑或恶意网站(7% )。这些活动只需单击链接,下载文件或通过购买礼品卡来响应虚假的网络钓鱼请求,就可以为企业中的网络犯罪分子打开大门。教育您的员工花时间确定请求或操作是否安全合法。在没有技术控制的情况下,必须通过意识培训来构建更好的人为防火墙来缓解这些威胁。
人类防火墙
建立网络意识文化至关重要。从高管到运输部门,每个人都可以扮演角色。如果员工看到了什么,他们应该说些什么。但是,员工需要接受适当的培训,以了解何时何地可疑,并且为什么要向谁举报。员工必须了解如何为有效的网络安全策略做出贡献,而不仅仅是依靠IT人员来解决所有问题。
员工意识培训
考虑到员工可能是最好的防御线,中小企业必须通过将员工教育和意识培训作为其整体网络安全策略的关键组成部分来保护其组织,这一点至关重要。通过采用该技术,中小型企业可以确保员工准备面对常见和新出现的威胁。对员工进行发现和避免网络钓鱼攻击,社会工程,勒索软件,两因素身份验证要求,Wi-Fi不安全和其他威胁的培训,大大减少了成为黑客受害者的机会。选择一个开放的培训系统,这样您就可以快速进行部署,并针对网络钓鱼等新出现的威胁对团队进行培训,这些攻击声称您必须完成COPY19导致的2020年常见的联系追踪表。
制定政策
企业还应查看其治理政策。政策是使员工了解情况并对公司对行为和技术使用的期望负责的好方法。如果您尚未定义以下内容,CyberHoot建议采用以下四个基本的治理策略(不错,很多公司还没有定义其网络安全治理策略):
- 密码政策
- 可接受的使用政策
- 信息处理政策,以及
- 书面信息安全策略(WISP)
这四项治理政策共同为您完善网络安全计划奠定了坚实的基础。培训和治理是保护公司的关键。对员工进行攻击和指导其行为的政策方面的培训。但是,大多数网络安全专家会告诉您,当您的员工忘记培训和治理并单击该网络钓鱼攻击电子邮件时,您必须为这些措施提供强大的技术保护。
技术对策
尽管人类可能是最好的防火墙之一,但它们很容易出错,而且会犯错误。在这种情况下,技术措施可以成为有力的保障,以帮助用户和企业保持安全和不受损害。当今可用的两个最重要,最有效的技术保护措施包括“双重身份验证”和“密码管理器”。两者都为我们今天面临的攻击提供了强有力的技术对策。
两要素认证
首先,简要介绍一下。两要素身份验证是以下三个标识因素中的两个的组合:
- 您所知道的-通常是您帐户的密码。
- 您拥有的东西–例如带有临时验证码的手机。
- 您是某物-例如您的指纹或面部识别。
使用这三个识别因素中的两个是保护您的重要帐户的最佳方法。黑客指望您的员工重新使用密码。他们访问fak网络论坛以查找“ Internet域”中员工的所有公开密码,然后有条不紊地尝试登录不受用户名和密码保护的帐户(VPN,O365,SaaS解决方案)。当他们看到所有这些在线服务均受2FA保护时,便会转向更容易的目标(在大多数情况下),因为他们知道他们可能无法渗透此类保护。
不幸的是,当今许多应用程序尚未与两因素身份验证集成,并且受雇员密码保护的影响。在企业中教育和改善总体密码卫生状况的最快方法是采用密码管理器。这些工具生成安全的随机密码,消除了登录在线应用程序时的猜测,甚至通过启动网站并在人们使用2FA进行身份验证后自动登录到密码管理器来提高效率。
密码管理员
网络安全专家告诉您,对于您拥有的每个帐户,都使用强而独特的长密码(长度为14个或更多字符)。一般人只能记住3到4个很长的独特强密码。勤奋有创造力的人们使用肺记忆技术可以学习10到15个独特的长而长的密码短语。但是,根据对20,000位Dashlane用户的研究,如今的普通人拥有90多个在线帐户。适应在线帐户数量激增的唯一方法是采用并学习众多免费(供个人使用)密码管理器之一。当今市场上有许多密码管理器选项,包括LastPass,1Password和Dashlane。比选择最合适的时间更重要的是使用一个时间段。
密码管理器会自动在设备(智能手机,笔记本电脑和平板电脑)之间同步所有帐户数据。Web浏览器插件会监视您的登录活动,并在您通过身份验证进入新网站时提示您保存凭据。您的域用户名和密码(或URL,例如gmail.com)存储在加密的密码库中。
如果您不小心单击了网络钓鱼链接并登陆了一个冒充您的密码管理器帐户的网页,它将拒绝输入您的凭据,提示您被骗了!所有密码管理器均包含一个随机密码生成器,可用于创建新的,强度高且唯一的密码。一些管理员会警告您输入弱密码或重用密码,甚至提示您更改密码以自动解决您面临的某些密码卫生问题。这样做将使您和您的员工更加安全,有效,自信和高效。
总结思想
网络安全是每位员工的工作。非IT员工必须通过学习他们需要了解的有关网络安全最佳实践的知识,来加强并帮助降低业务风险。网络安全意识培训,策略治理和适当的技术工具将为员工提供途径,使其成为更强大的人用防火墙,从而为网络安全成功提供途径,从而使您的企业在竞争和黑客攻击中脱颖而出。