近日,勒索、钓鱼等攻击充斥各大报端。人们理所当然地认为这种热议可以提高网民的安全意识、改善网民的安全行为。
为了测试这一理论,Wombat Security在2017年5月初调查了超过2000名在职人员(一半来自美国,一半来自英国),内容是数字安全和自我保护行为。
研究结果表明,要实现网民对最基本的数字安全风险有所认知,我们的路还很长。以下是Wombat Security首次网民风险报告的主要发现。
1. 缺少对钓鱼和勒索的了解
英国和美国的受访者对网络钓鱼有着同等的认识水平。70%的受访者可以准确地描述网络钓鱼的威胁,但仍有30%的受访者不知道钓鱼。其中13%的受访者完全不能想象钓鱼意味着什么。
而与受访者的无知形成鲜明对比的是,调查显示43%的美国受访者和19%的英国受访者说曾遭受过网络钓鱼的攻击。
网民对勒索攻击的了解程度则更糟。只有不到一半的受访者能正确定义加密—勒索攻击,这一数字在美国/英国分别为37%和42%。这意味着近60%的参与者对勒索攻击一无所知。
平心而论,人们已经增进了对勒索攻击的认识。Wombat Security进行的调查恰恰在5月12日全球“魔窟”病毒爆发之前。
幸运的是,超过80%的两国受访者表示,他们会定期备份他们的数据。如果他们遭受勒索病毒感染,希望他们能想起这些备份。
2. 对无处不在的威胁的错误认识
对数字威胁的认识的缺乏会严重危害网民的数据。而一些常见的错误认识也会造成同等后果。例如,Wombat Security的调查显示,过半(57%)的美国受访者表示自己相信咖啡店、宾馆等地的免费wifi不会危害信息安全。
只有27%的英国受访者赞同这一观点。在现实中,自由wifi、公共wifi服务为攻击者提供了充足的机会来拦截网民的数据。考虑到这些威胁,网民应当避免通过任何公共wifi网络进行金融业务。此外,网民也应该考虑使用VPN。
另一个问题在于,整体上看大多数受访者过于信任他们的杀毒软件了。58%的美国受访者和37%的英国受访者表示,他们认为杀毒软件的安全策略可以保护自己免受攻击。这种看法可能适用于90年代。但在一个恶意软件不再依赖文件的时代,这种观点完全过时了。
或许最令人不安的误解在于,部分受访者不能正确定义恶意软件。只有78%的英国受访者和61%美国受访者表示,恶意软件是“危害设备和文件的软件”。其余受访者大多认为,这是“偷wifi流量的设备”或“提供实时警告的移动应用”。
剩余的人则说他们完全不知道什么是恶意软件。相当一部分的网民无法定义恶意软件或认为恶意软件是一种工具,很显然,公司应该为员工进行更多关于数字安全威胁的培训。
3. 密码、移动安全和公司设备的使用
大多数网民能认真对待网络账户、手机和公司设备的安全问题,但是在很多方面仍有改进的空间。举例而言,67%的美国受访者和45%的英国受访者表示他们使用了密码管理器或为不同账户设置了不同的密码。
剩下的受访者则说,他们为所有的账户设置了不到十种密码,其中部分人只使用一种或两种密码。
关于移动设备的密码,一半以上(54%)的受访者表示自己使用了生物认证、复杂的滑动模式或字符密码。35%的受访者则承认自己用的是安全程度很低的4位或6位数字锁。
即便如此,11%的网民说他们根本没有用设备锁。一旦攻击者获得对无保护设备的物理访问,他们可以很容易地趁机而入或访问敏感信息。
至于公司的笔记本电脑,71%的美国受访者和26%的英国受访者声称他们在公司的设备上使用VPN。也许这个安全措施是71%的美国受访者和39%的英国受访者认为在家里使用公司设备很合理的原因之一。
大多数受访者表示,他们使用公司设备处理邮件,但是也有很多人承认自己使用公司设备刷社交媒体、观看流媒体或网购。
4. 怎样加深网民对网络威胁的认识
如果说《2017网民风险认知报告》只揭示了一件事,那就是公司仍然需要改善员工的安全意识。
Wombat Security语重心长地说:
当然⋯受到“魔窟”攻击触动,员工们对勒索攻击的认识很可能有所加强。但是,这种认识的强化的代价是全球性恶性事件。而无论如何,即便人们对勒索攻击或其他别的网络威胁有了更清晰的认识,这不代表他们知道如何避免这种威胁。
为了应对这种形势,安全培训人员建议企业把重点放在安全培训和安全意识工作上。这种双重努力一方面可以培养出能妥善处理自身的数字安全问题的员工,另一方面还可以帮助员工积极地发现威胁和应对问题,以免小问题酿成大事故。
相关阅读
六大技巧提升员工信息安全意识
人性的弱点:2017年五大信息安全意识最佳实践
报告下载:
https://info.wombatsecurity.com/user-risk-report