构建信息安全感知程序(二)(2)https://developer.aliyun.com/article/1507687
测量方式
获得钓鱼检测测量数据的常见方法是进行评估。继续以钓鱼检测为例,应在每次钓鱼评估结束时收集报告给安全部门的可疑电子邮件数量(图 13.1)。如果您使用商业工具,则每次评估发送的电子邮件数量可从报告屏幕中获取。
图 13.1 PhishingBox 的报告菜单。
测量时间
钓鱼演习的测量数据应该在每次评估结束时获得。如果您的组织进行半年度评估,则应每半年收集数据。然而,并非所有报告的电子邮件都与评估相关。因此,非评估数据应每月收集一次。
谁来衡量
此指标存在多个信息来源。安全团队收集收到的可疑电子邮件数量。评估联系点收集与钓鱼评估相关的数据。帮助台收集有关钓鱼电子邮件的电子邮件和电话数量。
附加测量
现在我们已经介绍了一个示例,这里是一些其他有用的测量数据:
■ 感染机器的数量
■ 完成意识培训的员工人数
■ 午餐和学习参与者人数
■ 安全意识网站的点击量
■ 发送给安全组的一般问题电子邮件数量
■ 一年中员工的测试成绩
■ 在公共区域留下的敏感文件数量
■ 未锁定的未监视计算机数量
■ 在建筑外佩戴徽章的员工人数
如果您的意识计划是新的,那么您的测量可能更多地关注部署。即使您的意识计划尚未完全实施,收集运营测量数据也很重要,以展示随时间的改进。
报告指标
指标旨在为观众提供做出决策所需的信息。然而,如果指标呈现不当,它们将被视为无效,并对意识计划产生负面影响。正确呈现指标的秘诀在于了解目标受众。
一个受欢迎的演示风格是分层方法[3]。在顶层,高级管理层对提供有关程序成熟度、成本和效益的高层信息感兴趣。向他们展示,认知计划对组织整体安全文化产生了积极影响是至关重要的。中间层,中层管理层,需要部门级别的信息来评估绩效水平和潜在的业务影响。最低层由认知计划经理和人员组成。该层需要详细的信息以调整节目内容以获得更好的性能。
建立您的演示
一旦确定了您的观众并选择了合适的度量标准,就该建立您的演示文稿了。演示指标的一些关键要素包括以下内容:
介绍
提供该程序的简短介绍。如果该程序正在部署中,请简要介绍部署计划、关键里程碑和迄今取得的成就。
指标的来源
在高层次解释获得了哪些测量值以及它们是如何收集的。时间是决策的重要因素,因此还要包括测量值是多频繁获得的。
指标
如上所述,只包括对您的观众相关的指标。图表是最受欢迎的指标报告样式。但是,只有在图表以有意义的方式描述数据时才有用。选择适合您数据的正确类型的图表是必不可少的。图表的三个主要类别是比较、转换和构成[4]。
比较图表最适合识别数字的高低点。过去两年每个季度报告的可疑电子邮件数量最好以这种格式表示(图 13.2)。聚类柱状图和柱状图是最受欢迎的表示方式。
图 13.2 聚类柱状图。
转换图表非常适合基于时间的数据以了解变化速率。安全意识网站的访问次数以及陷入钓鱼演习的员工数量都是转换图表的优秀候选者(图 13.3)。线形图和面积图最适合表示这种类型的数据。
图 13.3 带数据点的折线图。
组成图表表示数据值如何分解为各个部分。每个部门完成的意识培训最好以组成图表的形式表示。许多钓鱼评估细节也可以以这种方式呈现。打开钓鱼邮件的员工比例,点击附件链接的员工比例以及未打开邮件的员工比例可以在组成图表中表示(图 13.4)。饼图是这种数据类型的最流行的表示形式;然而,也可以使用堆积条形图。
图 13.4 百分比饼图。
使用基本的颜色,在彩色和灰度模式下都易于识别。虽然充满活力的颜色选择很诱人,但如果投影出去往往很难看清楚。最重要的是,保持幻灯片和报告部分简单。一张幻灯片应该只讨论一个主题。在一张幻灯片上混合不同的主题和指标经常会分散观众的注意力,使演示变得难以理解。
注意
[1] 安全度量指南 www.docstoc.com/docs/7264928/Guide-to-Security-Metrics-SHIRLEY-C-PAYNE-DIRECTOR-IT/.
[2] 安全意识路线图 www.securingthehuman.org/resources/security-awareness-roadmap/.
[3] 为有效的信息安全治理制定指标 www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/Developing-Metrics-for-Effective-Information-Security-Governance1.aspx.
[4] 选择适合您数据的正确图表类型,www.tutorial9.net/tutorials/web-tutorials/selecting-the-right-chart-type-for-your-data/.
第十四章:来自一线的故事
Bill Gardner ^(美国西弗吉尼亚州亨廷顿市马歇尔大学)
摘要
并非每个组织都相同。因此,当人们开始建立自己的信息安全意识计划时,会有各种各样的经验。在本章中,我们询问了那些在一线的人有关在自己的组织中建立信息安全意识计划的经验。
关键词
故事
问题
回答
我们询问了信息安全专业人士有关他们在建立自己的信息安全意识计划方面的经验,以下是他们的回答。
Phil Grimes
Phil Grimes 是一名父亲、骑行爱好者和信息安全专业人士,拥有为各种机构提供安全评估和渗透测试服务的经验,包括小型企业、金融机构、电子商务、电信、制造业、教育机构、政府机构和国际公司。Phil 从 1996 年开始作为一种爱好学习网络和互联网安全,自主开发技术技能,直到 2009 年加入专业安全行业。在 2012 年职业轨迹发生变化后,漏洞研究和利用开发成为主要关注点。Phil 在应用程序安全、渗透测试、移动/智能手机安全和社会工程方面的经验在国内外高端客户的评估中得到了成功的证明。作为一名成功的演讲者和展示者,Phil 曾在 Notacon、CUISPA 会议以及中央俄亥俄信息安全协会信息安全峰会上就各种主题进行了演讲,还参加了各种其他面向广泛受众的演讲活动。
Q: 感谢您参与此问答。请向我们介绍一下您自己。
A: 我是一名独立的安全研究员,专注于漏洞研究和利用开发,主要针对 Web 应用程序和人类。自上世纪 90 年代中期以来,我就一直活跃在“黑客圈”,并始终对系统的破解充满激情。我于 2009 年进入信息安全领域,但在 2013 年暂停了我的独立研究工作。我曾在全国各地的技术和管理人员面前就各种旨在提高用户意识和教育的主题以及关于各种攻击如何进行的演示发表演讲。
Q: 你认为什么构成了信息安全意识计划?
A: 为了让安全意识计划奏效,必须让员工参与其中。个人必须有某种原因来“认同”,这通常超出了工作范围。将安全问题与用户的日常生活联系起来,将风险置于他们理解的术语中,并帮助他们意识到我们技术生活的各个方面与我们的许多身体生活方面不经意间交织在一起。鼓励人们自我管理(和互相管理),并奖励那些在事情不对时发声的人,将有助于将文化从一种安于现状的沉默转变为一种积极参与的文化。
Q: 为什么社会工程和其他非技术攻击如此成功?
A: 人类是计算和商业中最薄弱的环节。理解这一点,攻击者利用对组织内人员心理的理解,利用正常的人类行为和社会规范,诱使人们做出他们本不应该或通常不会做的事情,对组织内的人员进行毁灭性的攻击。结合技术攻击和无尽的组合,组织发现自己在进行一场持续的艰苦斗争,他们必须每天都“正确”,才能成功,而只要“错误”一次就可能使其瘫痪或完全摧毁。
Q: 如何为一个项目获得管理层支持?
A: 这是一个关键问题。事实上,实现这一点的唯一方法是向他们展示不在这个领域取得进展将会导致的后果。安全始终被视为被忽视的方面,并且直到为时已晚之后,决策者才将其作为优先事项。意识计划的一部分必须是测试我们的用户。往往情况下,这必须是首要组成部分,并且必须在任何计划得到正式制定之前加以利用,因为它提供了度量标准,并允许向管理层提供实质性的证据,以支持我们为何需要将其作为优先事项。
Q: 为组织建立信息安全意识计划的最大挑战是什么?
A: 获得管理层支持。
Q: 预算是否是一个问题?
A: 是的,但并非如此。每季度举行一次或两次会议,给安全团队测试用户的能力,分析结果,并将这些数据与会议上呈现的内容相对应。这并不需要有巨额预算。
Q: 需要克服哪些政治障碍?
A: 这与前面的问题相关。从管理层获得支持并克服预算上的反对是这一切的基础。在组织内始终存在着必须考虑的人际关系因素。政治是企业的一个丑陋副作用,创建安全意识计划时必须考虑到这一点。
Q: 用于衡量信息安全意识计划成功的指标有哪些?
A: 我们通过对用户实施各种受控攻击来测试,得到了一组数据集,使我们能够评估我们将用来定制认知计划的各种指标。诸如“我们发送了 100 封电子邮件,其中 30 封被打开,18 个点击了内部的恶意链接,3 个将其报告为可疑。”能够创建允许我们的安全团队制定这些声明的情境,将允许安全认知计划针对相关威胁,并允许我们创建一个基于理性反应的计划。
Q: 你在信息安全认知计划中遇到了哪些失败和陷阱?
A: 缺乏一致性,缺乏度量标准,缺乏后续行动,缺乏政策,缺乏执行力,缺乏对计划的重视。
Q: 你在信息安全认知计划中遇到了哪些成功?
A: 我已经为一个特定客户连续几年进行用户意识培训,并且看到熟悉的面孔出现并背诵他们在我的培训中学到的内容,或者让他们在我的培训期间(甚至之后)与我或彼此进行交流,谈论他们如何以不同的方式做事情,这真的很令人满足。看到他们改变了思维方式是一个巨大的成功。
Q: 什么是一个项目的最佳培训周期?
A: 我认为如果该项目是全面的,季度培训是足够的。这样可以让他们头脑中的材料保持新鲜,并使其成为一种总是在后面的炉灶上的东西。
Q: 什么样的学习和教学方式最有效?
A: 我认为这不是一个人可以回答的问题。我教的方式可能不适合其他人。我学习的方式肯定不会。在创建一个针对广泛受众的计划时,我见过几种不同的成功方式。一次又一次地将其灌输给他们,这很烦人且昂贵。将其制作成“会议风格”的一天,以便进行不同的会话,采用不同的技术,让人们体验不同的风格并找到适合自己的。我也见过几种风格融合成一种的情况,听众在整个计划中听、说、读和参与各种不同的环节。我认为从听众那里得到反馈很重要,因为安全认知计划必须是一个活生生、充满活力的动物,不断发展,以满足业务和个人的需求。
Q: 对于其他正在建立自己计划的人,你有什么建议?
A: 就这样做。如果你已经在做了,继续做下去。只要我们在努力,这就比什么都不做要好。对于婴儿步伐感到高兴,但不要接受自满。
Q: 自建计划与从供应商那里购买预制的信息安全认知计划相比有什么优势?
A: 没有“灵丹妙药”。虽然对于任何事物都有一个框架,但战争的胜负在于细节。使用这个框架很好,但组织在利用这些框架构建程序时必须进行大量的自省。否则,只会让组织陷入一种虚假的安全感中。
Q: 是否有任何我们未涉及但您想要补充的内容?
A: 建立安全意识计划对每个组织都至关重要。您的员工是您最好的投资,可以比您购买的任何 IDS/IPS、任何防火墙和任何杀毒软件都更有价值。但像任何安全工具一样,它们必须定期测试和调整。
Amanda Berlin
Amanda Berlin 是俄亥俄北部地区一家区域性医疗中心的网络分析师。她最近转向与信息安全相关的主题。她管理公司内部的钓鱼活动,通过一个基于奖励的举报计划促进用户对钓鱼和黑客攻击的教育,同时还有其他系统管理和网络管理相关的责任。
Q: 感谢您参与这次问答。请介绍一下您自己。
A: 我叫阿曼达·柏林,在俄亥俄州一家中等规模的医疗中心工作。我从事 IT 工作已经大约 10 年了,我们组织的网络团队成员已经 4 年了(2010 年)。我们的网络团队负责组织的基础设施和安全。我一直对安全感兴趣,最近有机会更积极地参与信息安全社区,并开始走向渗透测试人员的道路。我也是我们的信息安全意识计划“Something Smells Phishy”的负责人和主要贡献者。在这个计划中,我们的用户每月都会收到针对性的钓鱼邮件,带有恶意链接或附件。
Q: 在您看来,什么构成了信息安全意识计划?
A: 一个旨在降低员工引入威胁进入环境可能性的工作。只需一次点击钓鱼邮件就可能危及您的环境,而最薄弱的环节是人为因素。该计划应该从基础开始,比如不点击邮件中可疑的链接/附件,并学习什么构成可疑。然后,逐步发展到诸如伪装、尾随、USB 驱动器投放等更高级的技术。
它应该包含易于阅读、简洁的内容,能够吸引和娱乐受众,以及奖励制度来鼓励用户根据他们所学到的信息行动起来。它需要鼓励用户,同时也要让人记忆深刻。没有人愿意感觉自己被你说得太低,因为他们应该知道得更好。我们的工作是向他们展示他们需要了解的内容。每个职业都有自己的专长;我们需要记住不要期望他们了解信息安全的各个方面。就像我们不需要了解他们每天做的事情一样。积极的强化将极大地使你说的话在他们心中留下印象。
在计划和执行得当的情况下,具有适应环境变化和威胁格局进展的能力可以节省大量时间和头痛。
Q: 为什么要建立自己的计划?
A: 我们做出这个决定有几个原因。最明显的第一个是通过教育来提高我们的安全姿态。我们知道我们组织中以前没有进行过任何培训。我们中的许多人亲眼看到我们的员工对任何与安全有关的最佳实践了解甚少。
另一个推动因素是我们认为以较低成本实施不会太困难。凭借我们现有的人才,我们愿意冒险看看我们能取得多大的改进。我们获得了 1000 美元的奖品。这笔钱被分成不同面额的礼品卡,作为奖励给举报钓鱼尝试的用户。与已经建立的安全意识计划相比,这笔金额节省了大量成本。
Q: 你是如何获得管理层对你的计划的支持的?
A: 我非常幸运能拥有如此注重安全的管理层。我们的 CEO 是一位前首席信息官,整个领导团队都明白信息安全的重要性。一个重要的转折点是我们在 2013 年进行的渗透测试,其中有几名员工被成功钓鱼,结果导致了我们网络的被利用。我们能够向他们展示我们认为可以大幅提高我们减轻这些攻击机会的低成本。
Q: 在为组织建立信息安全意识计划时,你最大的挑战是什么?
A: 到目前为止,有两个主要挑战。最明显的一个是向员工通报该计划。在我看来,我们在传播整个计划的目的方面做得不够。这是管理层支持的一个薄弱环节。我觉得我们有多种方式传播该计划的消息,但被拒绝了这个机会。一旦有几位高级人员被成功钓鱼,就有了更多的机会,让我通过不同的媒体接触更多人。
第二个更内部的问题是挖掘数据。我们在交换服务器上有超过 2000 个邮箱。虽然我已经使用 PowerShell 剥离出一个要针对的帐户列表,但手动将其与 SET xml 合并并在电子表格中跟踪不是一件有趣的事情。我的想法是有一个带有 MySQL 后端的 python 脚本来解析来自 xml 的数据,实时从 Microsoft AD 中提取数据,并报告。
Q: 预算是一个问题吗?
A: 没有。
Q: 需要克服的政治障碍有哪些?
A: 我们没有遇到任何重大的政治障碍。在我们遇到的少数问题中,一个是一些老员工觉得我们试图让他们陷入麻烦。我们有一个臭名昭著的抱怨者告诉我们,她再也不会信任我们的部门了。我还发送了一个网络钓鱼攻击活动,冒充了亚马逊的收据。这导致我们的一个员工打电话给 Kohl’s 取消了他们的信用卡,并致电 PayPal 提起了欺诈索赔。作为善意的举措,我们还给了这个特定的用户一张礼品卡。
Q: 用于衡量信息安全意识计划成功的哪些指标是有用的?
A: 我们正在使用随时间变化的来自网络钓鱼电子邮件的报告差异,无论是来自外部来源还是来自我们内部活动的合法来源。在开始这项活动之前,我们很少收到关于可疑电子邮件、计算机活动或网站的报告。现在我们每天都会收到它们,并且已经能够采取反应和积极的步骤来阻止和报告通过我们的垃圾邮件过滤器的电子邮件。
我们目前使用的指标包括每次活动点击链接的百分比,每次活动中用户/密码泄露的百分比,以及每月报告的百分比。
Q: 在构建信息安全意识计划时,您遇到了哪些失败和陷阱?
A: 我认为到目前为止,唯一的失败就是计划细节未能达到我们用户以及在运行活动时我的个人失败。我个人喜欢突袭他们。我想看看在没有任何先前警告或培训的情况下我们的暴露程度如何。然而,其他人认为我们最好在运行之前将该计划灌输给人们。虽然意见不同,但我仍然认为这是一个陷阱。
就我的个人失败而言,在开始阶段,有几次 SET 的表现不如我预期的那样。这迫使我在人们尝试登录时迅速重新运行活动。我认为如果我事先进行更多的测试,点击和登录次数会更高。
Q: 一个计划的最佳培训周期是什么?
A:
- 进行网络钓鱼。
- 教育 — 在遭受网络钓鱼攻击后和整个用户群体(海报,电子邮件,幻灯片,视频等)。
- 重复 — 进行更高级的活动。确保每次都包括重复犯规者,直到他们提交报告。
我认为通过钓鱼来吸引他们的注意力,然后教他们他们做错了什么,是让培训留下深刻印象的绝佳方式。没有什么比犯错或在饼干罐中被抓住更能留下深刻印象了。
Q: 你的计划使用了哪些学习和教学风格?
A: 我们设置我们的计划,以便随着我们员工学习的速度而不断发展。一开始缓慢进行,我使用 theHarvester.py 从网络上获取了我们组织的尽可能多的电子邮件。这使我们能够针对那些没有内部访问权限的人最有可能发现的候选人进行攻击。之后,我进展到最常用的邮箱,然后对所有人进行了随机抽样。如果用户点击并泄露了密码,他们会自动被重定向到一个关于钓鱼的幻灯片,说明钓鱼的实质是什么,它会对我们造成什么伤害,以及他们可以做些什么来帮助。
我们还创建了一系列培训模块,涵盖各种主题,帮助用户学会更安全地操作。这些模块与我们今年员工的其他必修课程一起提供,始终强调报告可疑行为。
Q: 与从供应商购买预建的信息安全意识计划相比,自建计划的优势是什么?
A: 总的来说,成本和能够根据您组织的需要轻松定制计划。
Q: 在建立信息安全意识计划中你遇到的成功是什么?
A: 我们的员工给予了压倒性的积极反馈和鼓励。我有几个人和我开玩笑,还问了一些问题,并开始讨论信息安全。我还有个别部门联系我进行一些小型培训。
此外,我们员工的安全知识和报告技能有了很大的提高。合法外部钓鱼尝试的报告数量激增。我们的内部钓鱼成功率从 36%下降到 11%,然后下降到 1%。虽然前三个月都是相同类型的活动,但我仍然认为这是一个成功的指标。
Q: 对于正在建立自己的信息安全意识计划的人有什么建议?
A:
- 尽可能详细地计划一切。如果你计划积极钓鱼用户,拥有良好的 6 个月甚至一年的想法储备会很好。
- 了解你试图实现什么。
- 尝试识别潜在的陷阱,并确保你有良好的回应。
- 如果你有一个帮助台或几个将被联系到你的计划的人员群组,请确保他们对用户的期望和整个过程的积极方面有统一的观点。
- 将其变成游戏或比赛。人们喜欢赢得东西,特别是如果他们有很大的机会。确保游戏/比赛规则事先明确设置。
Q: 有没有我们没有涉及到的内容,您想要补充的?
A: 对我来说,这个项目不仅非常有趣,而且是一次了不起的学习经历。对于刚开始积极参与信息安全社区的人来说,这是一个很好的第一步。在红队和蓝队两方面都很不错。你可以找出公司的弱点,然后采取积极的步骤来减轻它们。我鼓励每个作为网络或系统管理员的人采取步骤,在你的公司开始其中一个这样的项目。无论规模大小,我们都需要采取措施来使企业更加安全。
Jimmy Vo
Jimmy Vo 是密歇根东南部一家公司的安全顾问。在成为安全顾问之前,他曾是金融领域组织的安全和系统分析员。他的重点是安全监控和安全评估。他是 OWASP 底特律和 MiSec 的活跃成员。Jimmy 拥有波士顿大学计算机信息系统硕士学位。
Q: 感谢您参与这次问答。请介绍一下您自己。
A: 我目前在密歇根州的一家公司担任安全顾问。我目前的安全意识工作与上一份工作相同。在我以前的工作中,我是一家小公司中众多其他角色中唯一的“安全”人员。
Q: 在您看来,什么构成了信息安全意识计划?
A: 在我看来,安全意识就像一个业务功能一样。它必须支持公司的目标并提供价值。这个价值在于让同事们关心安全,而不把它看作是一个烦恼。安全意识计划可能因组织而异,但关键组成部分包括关键指标、传递意识材料和评估有效性。
Q: 建立您自己的程序的原因是什么?
A: 我决定在我的上一份工作中建立安全意识计划的主要原因有两个:
(1) 鱼叉式网络钓鱼越来越常见。
(2) 在我看来,安全意识就是在建立文化。我当时正在尝试建立一个安全计划,而其第一部分是围绕安全建立文化。安全意识计划解决了这个问题。
Q: 您是如何获得管理层的支持的?
A: 管理层的支持非常简单,因为我不必采购价值数千美元的设备。这是一项时间投资,而我有一点空闲时间(或者我以为有)。执行团队非常重视安全,因为他们所在的行业。
Q: 在为您的组织建立信息安全意识计划时,您最大的挑战是什么?
A: 最大的挑战是保持一致性。 我所在的团队非常小,负责业务中的许多其他功能。 管理该计划需要时间和计划,有时候时间并不充足。 将项目交付的优先级与专注于安全意识之间的对比相当简单。 交付项目带来收入; 安全意识没有直接的投资回报率。 那是一个巨大的挑战。
Q:预算是否是一个问题?
A:预算不是问题,只是时间问题。
Q:需要克服的政治障碍是什么?
A:在启动该计划方面没有政治障碍。
Q:哪些指标对于衡量信息安全意识计划的成功是有用的?
A: 唯一使用的指标是报告的钓鱼尝试次数。 它并没有衡量太多; 但是,这是数据。
Q:在建立信息安全意识计划方面,您遇到了哪些失败和陷阱?
A:最大的陷阱/失败是缺乏建立安全意识计划的经验。 另一个与缺乏时间挑战有关。
Q:什么样的培训周期是最佳的?
A:我认为培训周期相对于您的组织而言:我的组织在不同年龄段和学习风格上存在很大差异。
Q:您的计划使用了哪些学习和教学方式?
A: 由于宣传计划刚刚起步,而我在制定它后不久就离开了组织,我使用了每月带有有用信息的新闻简报。
Q:您对于其他人建立自己的计划有什么建议?
A:我的建议是要坚持下去并坚持下去。 如果你没有时间,那就争取时间。 还要记住,一些意识总比没有意识好。 起初,它不必是一个完美的计划。
Q:与从供应商购买预先构建的信息安全意识计划相比,构建自己的计划有什么优势?
A:优势是节约成本。 但是,如果您处于我所处的位置,质量可能会受到影响。 缺乏经验确实影响了该计划的质量。
Q:在建立信息安全意识计划方面,您遇到了哪些成功?
A: 我的同事们在我的新闻简报中找到了很多价值。 我处理了我的同事们在家里每天都会遇到的安全问题:钓鱼(来自假冒的银行)、恶意软件、密码。 思路是,如果他们在家里关心这些问题,那么这种关心会转化到工作场所。
Q:您对当前正在建立自己的信息安全意识计划的人有何建议?
A:试一试就知道了。 有很多资源可供使用。 有一个安全意识的 NIST 文档。 SANS 提供了大量内容。 确保您获得持续反馈,并使计划变得有趣。 如果很无聊,就不会有效。 如果您的计划无效,那么您就浪费了每个人的时间。
大型信息安全公司的安全研究
这位受访者不希望他的姓名与此次采访联系在一起,因为他在一家销售预构建信息安全意识产品的公司工作。
Q: 感谢您参与这次问答。请介绍一下您自己。
A: 在过去的生活中,我是一家托管 IT 服务公司的高级系统工程师兼安全负责人。我在我们设计和交付的系统中包含了安全架构,并提供了 SAT 课程。
Q: 依您之见,信息安全意识计划包括哪些内容?
A: 它必须从组织的最高层开始。您必须获得管理层和 C 级人员的支持才能建立和建立一个计划。基本上,安全意识计划教导用户要注意什么,不要被黑客和恶意人士欺骗。一旦您有了一个计划并开始测试它,当您的用户不会受到网络钓鱼活动的诱惑或者报告试图通过电话进行社会工程攻击的尝试时,您就成功了。一个真正的计划还会测试管理层和 C 级人员,以查看他们是否会因为“这是我的公司”而打破公司政策或者由于他们的头衔而获取对某些数据的访问权限。
Q: 建立自己的计划的原因是什么?
A: 我基于需求建立了自己的项目。在我之前工作的公司,我们迫切需要日常生活中的安全保障。我看到了这种需求,然后填补了它。最终,每个人都参与其中,作为一个公司,我们能够为客户提供更好的服务,因为我们能向他们保证,他们的数据在我们这里是安全的,原因是 XYZ。
Q: 您是如何让管理层支持您的项目的?
A: 我向管理层展示了建立计划的必要性。我对我们的基础设施以及我们的员工进行了简单的审计,并了解了目前的政策。我展示了一个攻击者如何轻易地进入并窃取我们的机密,以及我展示了简单的改变会使攻击者难以突破的事实。一旦我在较低的技术水平上展示了它,计划就自行销售了。
Q: 对于为您的组织建立信息安全意识计划,您遇到的最大挑战是什么?
A: 让人们接受变化是很困难的。变化不受欢迎,每个人似乎都在竭尽所能地抵制变化。我采取的方法是让我们试试这个两周。如果对我们来说不起作用,我们将重新审视它。在两周结束时,每个人都步调一致,旧的方式被遗忘了。
Q: 预算是一个问题吗?
A: 不,这不是问题。我找到了成本可承受的解决方案,可以进行部署。
Q: 需要克服哪些政治障碍?
A: 如上所述,对变化的抵制是最大的障碍。此外,测试的想法以及用户并不知道他们正在被测试的事实。没有人想要失败。必须明确指出这是一个测试,并且结果不会影响绩效评估。
Q: 有哪些指标可用于衡量信息安全意识计划的成功?
A: 对用户进行内部网络钓鱼活动和社会工程尝试,然后评估有多少人上当受骗,有多少人没有。
Q: 在构建信息安全意识计划时,您遇到了哪些失败和陷阱?
A: 如果我没有请教志同道合的人并寻求指导,我肯定会失败。不要假设人们知道一切。没有人知道一切。
Q: 您在自己的计划中使用了什么学习和教学风格?
A: 我向用户展示了我作为攻击者可以多快地通过像 Maltego 和 theHarvester 这样的服务从空气中提取电子邮件列表,然后我可以多快地使用 SET 克隆他们的网站并记录输入凭据。这吓到了一些人,但让每个人都警觉起来并听了下去。
Q: 您对那些正在构建自己的程序的人有什么建议?
A: 与已经做过的其他人交流。寻求建议并提出问题。
Q: 自己构建程序与从供应商购买预制信息安全意识计划相比的优势是什么?
A: 因为预制的不是为您的公司量身定制的。它们不是量身定制的,也不会涵盖您成功所需的一切。
Q: 在构建信息安全意识计划时,您遇到的成功是什么?
A: 当用户开始正确识别攻击者的恶意尝试时,成功就来了。他们不再点击链接,而是会报告并继续前进。那感觉真好。
Q: 您对那些目前正在构建自己信息安全意识计划的人有什么建议?
A: 别放弃。需要很多努力,但是很值得。
构建信息安全感知程序(二)(4)https://developer.aliyun.com/article/1507690
