企业开展安全意识项目时一个很大的困难就是很难体现出安全意识项目的成功。 对于安全团队来说, 没有出事就是成功。 好一点的话, 也就是一份阻止了多少潜在攻击的报告。
更重要的是, 就算是有一些安全意识的成功案例, 企业也很少会去分享这些案例。 即使是内部分享也很少见。 最近IDG Enterprises分享了一个关于安全意识如何阻止叙利亚电子军攻击的案例。
IDG旗下的Computerworld写了一系列揭示叙利亚电子军进行攻击的手段以帮助公司防范。 叙利亚电子军的一贯做法是会针对媒体进行报复。 根据叙利亚电子军的过往攻击案例, 安全专家警告Computerworld存在被叙利亚电子军攻击的可能性。
做为防范措施, Computerworld的技术团队与外部安全机构合作来完善技术准备, 同时,由于叙利亚电子军的常用手法就是社交工程, Computerworld还积极地开展了一个安全意识的项目。 对IDG的员工进行安全意识培训, 使他们意识到可能的攻击。 安全意识项目细化到哪些员工应该参加什么程度的培训, 以及对那些具有重要权限的员工的特别培训等等。
果不其然, 没多久, 员工们开始受到钓鱼邮件, 钓鱼邮件的格式就是叙利亚电子军的常用格式。 受到邮件的员工将这些邮件上报给公司的安全管理部门。 随后, 叙利亚电子军又使用了其他一些社交工程的攻击方式。 同样, 这些方式也没能成功, 这显示了如果员工具备了足够的安全意识, 类似这样的社交工程攻击是完全可以防范的。
在这里, Computerworld实施了一个良好的安全意识项目。 不仅仅是泛泛地放一些录像而没有后续的跟进培训。 一个好的安全意识项目应该考虑这样一些重要方面:1)让员工意识到问题是什么, 2)对问题的出现应该采取的行动和反应。 3)如何激励员工采取上述行动。
IDG的员工对钓鱼邮件有了清醒的认识和辨析能力, 这本身就是安全意识的成功。 而在遭受攻击时, 这种安全意识显得尤其重要。 其实, 类似这样的安全意识成功案例每天都在上演,每一次员工少点一下钓鱼邮件, 每一次员工避免了访问恶意站点。 每次员工进行锁屏, 每次员工拒绝提供个人隐私信息等等, 都是安全意识成功的案例。 这些事情平时看看没什么。 只有在遭受攻击时才能意识到这些平时不起眼的习惯是多么重要。
IDG的安全意识项目之所以能够在Computerworld这个案例中能够成功有效, 总结起来是因为这个安全意识项目具有以下几个特点:
1) 安全意识培训指南明确了不同员工应该接受培训的深度。
2) 安全意识培训与当前或未来的相关性, 以及明确了为什么相关
3) 由于明确了相关性以及遭受攻击的后果, 对员工提高安全意识是一种激励
4) 员工很明确的了解如何在遭受攻击时进行报告
5) 一旦监测到攻击, 企业会及时通知员工。
6) 通过技术手段, 如阻止对恶意站点的访问, 删除未打开的垃圾邮件等等。 并且把攻击手段具体描述给员工。