公益译文 | 安全意识专题系列1:网络攻击发展简史 企业如何培养员工安全意识

本期公益译文将为大家分享 安全意识已经成为公司最重要的投资领域之一。本次系列全面介绍了安全意识相关知识,帮助你保护业务免受日益严重的威胁影响。在详细介绍安全意识各种类型之前,让我们先来看看其迄今为止的发展历史。最早的网络攻击发生在什么时候?黑客在什么时候开始兴起?企业如果培养员工安全意识?快来阅读文章寻找答案把

安全意识的定义


安全意识是就IT 保护对员工进行培训和教育的正式流程。它包括:
• 员工教育计划
• 个人对于公司安全政策应负的责任
• 相关工作审计措施

显然,第一条是安全意识项目的主要组成部分,但让员工负责并采取步骤来衡量组织安全措施的有效性也同样重要。

安全意识可以分为四个阶段:
• 确定当前状态
• 开发并拟定安全意识项目
• 将项目落实到人
• 评估项目进展,进行必要修改

安全意识发展简史

在介绍安全意识的各种类型之前,让我们先来看看其迄今为止的发展历史。
有了互联网,就有了网络安全。实际上,从万维网成为主流资源之始,犯罪分子就开始想法设法地利用它。
最早的网络犯罪发生在20 世纪80 年代初。一个被称为414s(以犯罪分子所在的密尔沃基地区代码命名)的团体因入侵了约60 台电脑而被捕,这些电脑包括纪念斯隆– 凯特琳癌症中心的设备,甚至还有洛斯阿拉莫斯国家实验室的设备。
政府对这种新威胁响应迅速,通过了《计算机欺诈和滥用法案》等法律,以阻止和惩罚这些恶意攻击行为。计算机应急响应小组(CERT)的成立也是为了调查日益增多的黑客行为并研究可能的防护方法。

80 年代末出现了第一个公认的蠕虫,罗伯特• 莫里斯(Robert Morris)是始作俑者。

一开始,这些具有自我复制能力的病毒就能够造成大规模破坏。事实上,它当时几乎弄垮了整个万维网。莫里斯病毒也是广泛传播的DoS(拒绝服务)攻击的第一个版本。这次攻击及之后的攻击之所以让人关注是因为它们促生了我们今天所称的“网络安全”以及CERT。在这次攻击后,公司开始意识到自己是多么脆弱。当今网络安全界的一句箴言“预防胜于治疗”就是在这个时候提出的。
整个20 世纪90 年代,黑客持续发动攻击,但受害者多是政府机构和大型跨国公司。
毕竟,互联网在那时还并不普遍。
最早影响到大众的黑客攻击发生在1997 年,被攻击目标是搜索引擎雅虎。黑客声称,若著名黑客凯文• 米特尼克(Kevin Mitnick)没有被释放出狱,所有使用雅虎的电脑都将在圣诞节那天引爆“逻辑炸弹”。
这次威胁最终不过是虚张声势。还有一次攻击发生在1998 年。其时,劳动统计局收到了数以万计的信息请求,成为了首批垃圾邮件的受害者。

安全意识――定义、历史及类型


由于诸如此类的网络攻击,美国司法部创立了国家基础设施保护中心,以保护美国的电信、运输和技术系统免受黑客侵害。

现代黑客攻击的兴起

在21 世纪的第一个10 年里,黑客攻击开始演变为现今公认的普遍性问题。同样,这主要还是源于目标的成比例增加(越来越多的人使用互联网)。与此同时,黑客攻击大幅度简化。以前,发动攻击的人需要拥有不次于世界一流程序员的技能,现在则无此需要了。此外,攻击手段方面的信息暴增。即使是从未尝试过网络攻击的人也可能不用一个月就成为真正的威胁。

2005 年,一位名叫阿尔伯特• 冈萨雷斯(Albert Gonzalez)的黑客利用自己所长创建了黑客犯罪集团—自愿数字有组织犯罪—从美国零售商TJX(旗下有TJ Maxx 和TKMaxx(英国))发行的4500 多万支付卡中窃取信息。在冈萨雷斯最终被捕并被判处20 年有期徒刑之前,其手下团伙已造成2.65 亿美元的损失。


他们的攻击之所以引人注目,不仅是因为影响范围大,而且还因为对企业造成了重大影响。被盗数据依法受到保护,所以每次攻击发生后都要通知当局。此外,这些公司还需
要拨款来赔偿受害者。这个事件具有里程碑意义,商业世界在事件发生后立刻意识到黑客攻击远不止是小打小闹。

现代安全意识

或许你很清楚,网络攻击并没有减慢。2013 年,攻击者突破了Target 的安全措施,这一事件着实令人震惊,人们这才意识到即使大公司也脆弱得不堪一击。感恩节后的那几天,约4000 万名顾客忙着检查自己的账户,确认资金是否被盗。这里提到Target 攻击的另一个原因是因为这次攻击的复杂程度成了网络安全史上的又一个里程碑。与TJX 遭遇的直接攻击不同,成功攻击了Target 的犯罪分子更看重间接攻击。
他们选择了为Target 提供加热和通风方案的第三方公司。
黑客们还知道,他们须在某一特定时刻发动攻击,因为信用卡号码在系统内存中会以未加密方式短时间存储。这让商业世界发现,此类攻击会产生广泛影响。在数据被盗后,Target 的CEO 被迫辞职。因此,网络安全现在已成为董事会关注的问题。

安全意识的类型


考虑到上述情况,公司显然必须认真对待安全意识,当然,还有数字安全和能够安装、运行设备的专业人员。然而,越来越多的情况表明黑客可利用公司员工而成功发动网络钓鱼攻击及类似攻击。
自上而下的方法
安全意识的一个非常重要的特征是:了解要采取并应用的措施不只是员工的责任。这一点很重要,我们稍后会详述。不过,显而易见的是,需要自上而下的方法。
Target 公司的CEO 由于数据泄露而下台就更充分地说明了这一点。
首先,从普通经理到高管,若没意识到所存在的攻击威胁以及攻击发动的方式,那么他们每个人都会轻易成为攻击目标。但是,这些知识还必须向下传递,让每个员工都具有安全意识并能够保障公司安全。
安全意识预算
要知道公司是否认真对待安全意识,预算是个很好的判断指标。在预算中如何体现了对安全意识的重视?预算是否与其他资金划拨方式相当?
若公司认为安全意识仅仅是时不时地通过邮件提醒人们存在攻击风险,那么公司被攻击则指日可待。要明白的是,安全意识只是可行性保护计划的一部分,其他内容还包括:
• 制定安全政策
• 评估公司漏洞
• 在安全技术方面进行投资


但是,安全意识是最重要的。公司应该像投资软件和安全技术一样投资安全意识。若员工容易在网络钓鱼攻击中上当,什么软件和技术都没用。围绕安全意识的组织结构这种安全意识非常重要,因为它会影响公司中的每个人。就像自上而下的方法一样,以安全为中心的组织结构将会简化每个人的工作。条件允许的话,应该有专门团队负责实施安全意识项目。没有团队的话,至少应该有专人做这份工作。否则,安全意识工作就会成为累赘,无人认真对待,只是互相推诿。专人负责或有专门团队则会逆转这个情况,但须得到管理层的全力支持。

编制计划和相关文档


每个公司的计划会有所不同,但考虑到这种安全意识的重要性,还是有几点需要提前注意。计划应具有如下一些特点:
• 概述安全意识团队人员及其角色
• 安全意识项目的任务说明书应阐述开展此项目的必要性
• 贯穿全年的活动日历,主要包括定期活动(不仅仅是提醒邮件),目的是确保员工了解常见威胁以及他们在预防这些威胁中应承担的角色
• 阐述安全意识项目及其角色的新员工计划
• 所参考的公司安全规程和政策


再次强调,这些内容会因公司不同而有所不同,但某些内容是不可或缺的。以为自己的组织不会被网络犯罪分子盯上,这个错误可犯不起。用各种手段强化意识


我们已经多次提及安全意识提醒邮件。并不是说这种形式不好,相反,这没有任何问题,每个人都需要时常提醒。话虽如此,还是应该使用多种手段来确保员工谨记公司在安全意识方面的要求。
例如,让公司的安全专家面对面向员工解释重要主题;通过邮件发送视频;进行测试;在办公室内贴条提醒也很有用。方法不一而足,重点是不要满足于已有的安全意识传达方式。

大力宣传近期新闻中的攻击事件

这种形式对于安全意识来说非常重要。但是,一定要涉及各种攻击,不仅仅是那些轰动全国的攻击。宣传的目的是向员工展示攻击的普遍性、攻击公司的容易程度以及攻击造成的后果。
所以,不要只是将重点放在举国皆知的事件上。员工很容易这么想:“是的,但我们不是Target,没人会费尽心思攻击我们的。”搜索一下同规模或同行业其他公司的遭遇。让人担忧的是,未来这类攻击事件不会减少。

寻求专业服务

如果当前没有任何安全意识措施,可以考虑接受专业人士的服务。他们会拉你起来跑步前进,弥补失去的时间。即使已经在安全意识政策和其他措施方面进行了投资,偶尔聘请独立顾问来研究是否还有待提高之处不失为明智之举。

2017 年及之后的安全意识

2016 年的经历说明了一件事:网络攻击不会放缓。未来,预防教育中安全意识投资将占有很大一块。毕竟,只有在所有员工都能提供保护的情况下公司才会真正安全。随着网络钓鱼攻击的激增,网络犯罪分子发现了攻击组织的最佳突破点。
从技术的角度来看,几乎没有办法阻止黑客成功发动攻击。除了投资员工教育之外,公司还需要找到最优方案来处理泄露事件。未来,将更多地使用加密这个技术保障手段,因为它仍然是最可靠的保护形式之一。

了解了安全意识的历史以及需要采取什么措施来确保组织安全后,请立刻行动,在这个重要领域进行投资。

 

附件下载

http://cdn.secjia.com/Security%20Awareness%E4%B8%93%E9%A2%98-1.pdf

在文章下面发表你的想法把~

 

 

发表评论