2020年，由于疫情加速全球遠(yuǎn)程辦公規(guī)?；统B(tài)化，企業(yè)攻擊面呈幾何級數(shù)放大，社工攻擊和釣魚攻擊激增。IAM、端點安全和網(wǎng)絡(luò)安全意識培訓(xùn)成為增長最快的“爆款”網(wǎng)絡(luò)安全產(chǎn)品/服務(wù)。

[[339044]]

根據(jù)GoSecurity的調(diào)查(下圖)，網(wǎng)絡(luò)安全意識培訓(xùn)是當(dāng)下企業(yè)安全管理者眼中最有效的安全產(chǎn)品/服務(wù)，但在企業(yè)整體安全支出中的占比卻最低(不到10%)。

好的網(wǎng)絡(luò)安全意識培訓(xùn)能把“人的漏洞”變成“人肉長城”，把最弱的短板變成最堅固的防線，因此是性價比最高的，能夠快速提升企業(yè)網(wǎng)絡(luò)安全韌性的“剛需服務(wù)”。

對于IAM和端點安全產(chǎn)品，市場上已經(jīng)有比較成熟的評估工具和方法。但是對于網(wǎng)絡(luò)安全意識培訓(xùn)服務(wù)，這個過去非常邊緣化不受重視的“選裝件”，很多企業(yè)的安全管理者依然沒有針對性的選型方法和標(biāo)準(zhǔn)。

事實上網(wǎng)絡(luò)安全培訓(xùn)是一項非常系統(tǒng)和專業(yè)的服務(wù)，許多企業(yè)依靠內(nèi)部培訓(xùn)團隊，但更多的企業(yè)則向外部供應(yīng)商尋求幫助，因為安全威脅形勢發(fā)展如此之快，最好的辦法就是將培訓(xùn)交給掌握最新趨勢的專家。

但是，尋找一個能力匹配、值得信賴并長期合作的安全意識培訓(xùn)合作伙伴并不容易。以下，我們匯總整理了優(yōu)秀網(wǎng)絡(luò)安全意識培訓(xùn)服務(wù)商的七個關(guān)鍵屬性。

1. 與企業(yè)安全性原則的兼容性

管理咨詢公司麥肯錫公司(McKinsey and Company)的專家助理合伙人查理·劉易斯(Charlie Lewis)說，安全意識培訓(xùn)取得長期成功的關(guān)鍵是找到符合您組織的安全需求、政策和目標(biāo)的提供商。在聯(lián)系供應(yīng)商之前，有必要進(jìn)行一些企業(yè)內(nèi)部調(diào)研。他解釋說：“安全意識培訓(xùn)產(chǎn)品應(yīng)當(dāng)成為好的網(wǎng)絡(luò)安全文化、網(wǎng)絡(luò)安全意識和安全變更管理計劃有機組成部分。這三個因素也是安全意識培訓(xùn)選型和成功實施的關(guān)鍵條件。”

美國陸軍網(wǎng)絡(luò)領(lǐng)導(dǎo)力教育計劃的制定者，美國軍事學(xué)院前美國政治學(xué)助理教授劉易斯(Lewis)建議說，選擇安全意識服務(wù)商需要達(dá)成內(nèi)部共識，他說：“安全管理者需要與一線員工和業(yè)務(wù)負(fù)責(zé)人合作，以查看特定安全意識服務(wù)是否符合他們的需求和利益，這有助于確保選擇正確的產(chǎn)品和服務(wù)。”

2. 參與能力

ISACA女性領(lǐng)導(dǎo)力咨詢委員會的創(chuàng)始主席，澳大利亞家庭健康和高級護(hù)理服務(wù)提供商Silver Chain Group的首席信息安全官Jo Stewart-Rattray認(rèn)為，安全意識培訓(xùn)必須與企業(yè)文化以及員工能力匹配，提高員工的參與度。她指出：“千篇一律的培訓(xùn)很難取得成功。培訓(xùn)必須針對企業(yè)及其偏愛的學(xué)習(xí)方式進(jìn)行一些調(diào)整。”

商業(yè)咨詢公司Capgemini 北美公司的網(wǎng)絡(luò)培訓(xùn)主管Dan Callahan指出，了解受眾的能力水平對于提供有效的，有針對性的培訓(xùn)是必要的。他說：“有些培訓(xùn)是補救性的，并且是由過于簡單的內(nèi)容驅(qū)動的，忽視了員工角色和安全技能的差異。”“安全意識培訓(xùn)的內(nèi)容應(yīng)當(dāng)緊跟安全形勢，同時與客戶企業(yè)文化的相關(guān)性也很重要。”

3. 培訓(xùn)內(nèi)容的針對性

德勤網(wǎng)絡(luò)和戰(zhàn)略風(fēng)險部門的風(fēng)險和財務(wù)顧問負(fù)責(zé)人沙龍·錢德(Sharon Chand)認(rèn)為，安全意識培訓(xùn)一定要有針對性。“例如，內(nèi)部員工和高管所采用的意識培訓(xùn)方法可能不同于承包商或第三方供應(yīng)商”。類似的，培訓(xùn)特權(quán)訪問IT員工的方法也與油田操作技術(shù)員工的培訓(xùn)有很大不同。她說：“我們發(fā)現(xiàn)，為獨特的受眾定制安全意識培訓(xùn)內(nèi)容會大大提高效率。”

美國政府前任首席信息安全官，網(wǎng)絡(luò)安全公司AppGate Federal總裁，卡內(nèi)基梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院兼職教員Greg Touhill表示，要確定網(wǎng)絡(luò)安全意識培訓(xùn)的內(nèi)容價值，沒有什么比實測評估更好。他說：“我真的很喜歡試用的形式，由隨機的員工組成選型委員會參加競標(biāo)廠商的培訓(xùn)計劃，進(jìn)行試用，以評估他們的能力是否符合要求。”

4. 完善的培訓(xùn)內(nèi)容滿足多樣化勞動力需求

與員工分布在集中區(qū)域的小型組織相比，員工分布在區(qū)域或大洲的大型企業(yè)通常面臨更大范圍的本地化威脅。Touhill表示，他會隨時注意安全意識培訓(xùn)工具，無論其位于何處，該工具在攻擊預(yù)防和可用性方面都將與整個團隊相關(guān)。他說：“我們在許多非英語母語的國家都有員工。”“因此，我很看重安全意識產(chǎn)品的多語言跨區(qū)域覆蓋能力。”

5. 支持威脅建模集成

大多數(shù)企業(yè)使用某種形式的威脅模型來識別、確認(rèn)和處理網(wǎng)絡(luò)威脅。Touhill推薦那些利用威脅建模的意識培訓(xùn)產(chǎn)品或服務(wù)。“例如，如果有一個特定的國家黑客組織或網(wǎng)絡(luò)犯罪團伙正在窺探我的知識產(chǎn)權(quán)，我會希望我的安全意識培訓(xùn)計劃能夠有的放矢，幫助我的團隊了解如何正確應(yīng)對威脅。”

威脅建模通常被視為純粹的技術(shù)范疇，但實際上該模型也可以覆蓋商業(yè)利益和業(yè)務(wù)訴求。Callahan說：“重要的是確定您希望企業(yè)受眾考慮的安全意識信息類型……因為在許多情況下，內(nèi)部威脅是最大的問題。”“良好的網(wǎng)絡(luò)意識培訓(xùn)可以幫助預(yù)防和緩解大多數(shù)威脅。”

Lewis認(rèn)為安全意識培訓(xùn)服務(wù)商有必要了解網(wǎng)絡(luò)威脅如何直接影響業(yè)務(wù)人員的安全培訓(xùn)。他說：“威脅建模是成功實施安全意識培訓(xùn)計劃的關(guān)鍵因素。”

6. 合理的價格

Touhill建議企業(yè)信息主管或安全主管與同行多溝通，以確定服務(wù)商的報價是否有競爭力。他說：“CISO社區(qū)在共享最佳實踐方面無與倫比。CISO之間的溝通可以幫助他們快速鎖定有競爭力的服務(wù)商候選者。”

Callahan指出，CISO們需要提防試圖過度銷售產(chǎn)品或服務(wù)的提供商：“現(xiàn)在，許多企業(yè)的培訓(xùn)內(nèi)容和活動都有些過載。”他警告說：“因此，如果過多的安全意識培訓(xùn)內(nèi)容或信息被提供給員工，他們將超負(fù)荷工作，變得麻木。”

7. 提供有效培訓(xùn)的能力

Chand指出：“在業(yè)務(wù)擴展、云計算、人工智能、機器學(xué)習(xí)、移動性和物聯(lián)網(wǎng)的推動下，生態(tài)系統(tǒng)全球化為攻擊者提供了更大的攻擊面。有效的安全意識培訓(xùn)是應(yīng)對這些挑戰(zhàn)的最佳方法。”

為了評估特定安全意識培訓(xùn)產(chǎn)品或服務(wù)的潛在有效性，Stewart-Rattray建議將包括人力資源和其他相關(guān)部門負(fù)責(zé)人在內(nèi)的關(guān)鍵利益相關(guān)者納入決策過程。她說：“在評估產(chǎn)品的潛在有效性時，使用跨部門協(xié)作并確保關(guān)鍵利益相關(guān)者參與決策過程，并且在可能的情況下試用產(chǎn)品非常重要。”

Lewis認(rèn)為，概念驗證(PoC)試驗是在現(xiàn)實中檢驗安全意識培訓(xùn)服務(wù)有效性的絕佳方法：“隨著時間的推移，您可能會開始看到階段性的培訓(xùn)成果，例如惡意鏈接點擊率的下降。”“您將需要在整個概念驗證期間測量該指標(biāo)，并連續(xù)評估該產(chǎn)品。”

如果產(chǎn)品或服務(wù)不符合預(yù)期，請告知供應(yīng)商。Lewis建議：“如果該工具實際上并沒有降低網(wǎng)絡(luò)釣魚的點擊率或人為錯誤造成的風(fēng)險，請與服務(wù)商合作調(diào)整培訓(xùn)節(jié)奏，如果所有方法均失敗，那么請開始尋找其他供應(yīng)商。”

確保安全意識培訓(xùn)方法長期有效是一項開放性的任務(wù)。安全團隊必須不斷觀察安全意識培訓(xùn)產(chǎn)品或服務(wù)的有效性。Callahan說：“大多數(shù)安全領(lǐng)導(dǎo)者都知道的一種常見方法是內(nèi)部網(wǎng)絡(luò)釣魚測試。”另一種流行的方法是抽查員工的辦公桌面，查看是否有關(guān)鍵或敏感信息泄露的問題。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文