網(wǎng)絡(luò)安全行業(yè)長期以來最大的誤區(qū)是將“人”看作是體系中最薄弱的環(huán)節(jié)�,試圖用技術(shù)來壓制或修復(fù)“人的漏洞”��。
根據(jù)Verizon的《2023年數(shù)據(jù)泄露調(diào)查報(bào)告》���,2023年68%的網(wǎng)絡(luò)攻擊事件由“人為因素”導(dǎo)致����,雖然比2022年的74%有所下降�����,但仍是最主要的威脅來源。然而����,專家指出,以“技術(shù)壓制人為失誤”的錯(cuò)誤思路并未幫助企業(yè)實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全能力提升���。
什么是網(wǎng)絡(luò)安全的“以人為本方法”��?
為擺脫困境�����,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)提出了一種全新的“以人為中心的網(wǎng)絡(luò)安全”(Human-Centric Cybersecurity���,簡稱HCC)理念,強(qiáng)調(diào)以用戶為核心��,從設(shè)計(jì)到實(shí)施都充分考慮用戶需求和行為習(xí)慣���,激勵(lì)安全行為�����。
NIST定義的HCC大致包括員工對(duì)網(wǎng)絡(luò)安全的態(tài)度��、安全意識(shí)培訓(xùn)��、安全產(chǎn)品的可用性以及政策的制定�。
HCC的目標(biāo)不僅在于技術(shù)解決方案,更在于改變網(wǎng)絡(luò)安全文化���,通過對(duì)用戶友好的安全設(shè)計(jì)與政策,使員工成為企業(yè)網(wǎng)絡(luò)安全的合作伙伴�����,而非負(fù)擔(dān)����。
讓人成為安全體系的核心
HCC并非僅僅強(qiáng)調(diào)用戶友好,而是要讓“人”成為安全體系的核心��。NISTHCC項(xiàng)目負(fù)責(zé)人朱莉·哈尼指出:“如果不考慮人的因素��,安全解決方案就難以使用���,員工會(huì)傾向于犯錯(cuò)��、作出冒險(xiǎn)決定��,甚至采用不安全的變通辦法�����,只為完成工作�����?!?
為推動(dòng)HCC發(fā)展,NIST最近成立了“以人為中心的網(wǎng)絡(luò)安全利益社區(qū)”��,匯集實(shí)踐者���、學(xué)者和政策制定者���,共同探討如何讓網(wǎng)絡(luò)安全變得更有效且更具用戶友好性。與此同時(shí)�,企業(yè)領(lǐng)域也在采納HCC理念。
根據(jù)Gartner的預(yù)測���,到2027年�,50%的大型企業(yè)首席信息安全官(CISO)將采用以人為本的網(wǎng)絡(luò)安全實(shí)踐。Gartner提出的安全行為與文化計(jì)劃(SBCP)將HCC提升為頂級(jí)網(wǎng)絡(luò)安全趨勢��,主張通過模擬威脅��、自動(dòng)化工具和數(shù)據(jù)分析來幫助用戶作出安全決策����,同時(shí)獎(jiǎng)勵(lì)員工報(bào)告潛在的安全事件。
Gartner高級(jí)分析師維多利亞·卡森強(qiáng)調(diào):“人不是靜態(tài)的對(duì)象��。他們的行為����、需求和動(dòng)機(jī)都在變化�。以人為本的網(wǎng)絡(luò)安全需要滿足員工的這些需求,而不是單純地告訴他們?cè)撟鍪裁?。?
SBCP的主要步驟包括威脅模擬����、添加自動(dòng)化和數(shù)據(jù)分析以幫助用戶做出安全選擇、獎(jiǎng)勵(lì)報(bào)告潛在安全事件的員工以及跟蹤指標(biāo)以證明SBCP的實(shí)際效果�����。根據(jù)Gartner的數(shù)據(jù),近一半專注于SBCP的公司正在采取上述每一步����。
最大限度地減少網(wǎng)絡(luò)安全引發(fā)的摩擦不僅可以改善公司的安全態(tài)勢,還可以減輕傳統(tǒng)對(duì)抗性工作帶來的壓力���。Gartner預(yù)計(jì)����,一半的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者將在2023年至2025年期間換工作���,其中四分之一的離職者實(shí)際上是由于壓力而永久離開該行業(yè)��。
傳統(tǒng)安全意識(shí)培訓(xùn)的進(jìn)化方向
傳統(tǒng)的安全意識(shí)培訓(xùn)主要依賴年度或季度課程��,但這種模式往往只是“走過場”�,未能真正解決員工行為背后的根本問題���。Gartner的PIPE框架(實(shí)踐�、影響�、平臺(tái)和支持)提供了更全面的解決方案,例如利用身份與訪問管理(IAM)工具、生成式AI和行為分析技術(shù)��,提升用戶的參與度與安全行為的效率�����。
此外��,新的“人員風(fēng)險(xiǎn)管理”(Human Risk Management)服務(wù)成為HCC實(shí)踐中的重要產(chǎn)品類別���。這種服務(wù)超越了傳統(tǒng)的安全培訓(xùn)����,將重點(diǎn)放在教育員工的同時(shí)��,通過行為分析減少風(fēng)險(xiǎn)���。例如,通過追蹤重復(fù)錯(cuò)誤的員工行為����,不是懲罰,而是識(shí)別培訓(xùn)不足或流程問題���,從而推動(dòng)改進(jìn)�。
改變文化:將“最弱環(huán)節(jié)”轉(zhuǎn)變?yōu)椤昂献骰锇椤?
員工擔(dān)心自己可能成為網(wǎng)絡(luò)攻擊的“漏洞”。根據(jù)安永會(huì)計(jì)師事務(wù)所的調(diào)查�����,34%的員工擔(dān)心自己的行為會(huì)讓企業(yè)暴露在風(fēng)險(xiǎn)中��。NIST指出�,企業(yè)應(yīng)將這種擔(dān)憂轉(zhuǎn)化為積極的行動(dòng)支持,而非簡單地在安全事件發(fā)生后責(zé)怪員工���。
“如果有人點(diǎn)擊了釣魚鏈接����,組織往往把所有責(zé)任歸咎于員工���,卻忽視了企業(yè)在流程��、政策甚至工具方面可能存在的問題�,”哈尼表示���。她建議���,網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)努力與員工建立合作關(guān)系��,通過對(duì)話發(fā)現(xiàn)問題��,賦予員工報(bào)告權(quán)限����,從而更早地發(fā)現(xiàn)潛在風(fēng)險(xiǎn)����。
“以人為本”成為網(wǎng)絡(luò)安全的核心支柱
美國政府2023年底發(fā)布的《聯(lián)邦網(wǎng)絡(luò)安全研究與發(fā)展計(jì)劃》將HCC列為優(yōu)先事項(xiàng),強(qiáng)調(diào)減輕人類在網(wǎng)絡(luò)安全中的負(fù)擔(dān)并提升技術(shù)的可用性��。這不僅表明了政策層面對(duì)HCC的支持�,也凸顯出企業(yè)需要加速行動(dòng)的緊迫性。
總之�����,“以人為本”將不僅僅是網(wǎng)絡(luò)安全的補(bǔ)充理念�����,而會(huì)成為其核心支柱�����。通過更好地理解用戶行為��,設(shè)計(jì)友好的安全工具���,并構(gòu)建支持性文化����,“以人為本”有望成為未來網(wǎng)絡(luò)安全發(fā)展的重要驅(qū)動(dòng)力和關(guān)鍵支點(diǎn)�����。
