行業新聞與博客

儘管網絡威脅者經常被警告擁有先進的能力，但針對人類弱點仍然是攻擊者的主要初始攻擊方法。這一現實導致了人類風險管理 (HRM) 的發展，這一概念側重於有針對性的、情報主導的干預措施，以改善安全行為。

Verizon 的 2024 年數據泄露調查報告 (DBIR) 強調了人為風險因素的規模，該報告發現 2023 年所有泄露事件中有 68% 涉及非惡意的人為因素。

多年來，網絡安全意識培訓在組織中已經很普遍，但人為錯誤問題仍然存在，例如點擊網絡釣魚電郵中的惡意鏈接。

單靠訓練不足以解決這個問題，尤其是因為所涉及的人往往不是罪魁禍首。

CultureAI 首席網絡安全研究員 John Scott 告訴Infosecurity：“人們總是會犯錯。這不是道德缺陷，有時這是由於系統等因素，你的老闆大聲催促你儘快完成某件事。”

這種認識催生了人力風險管理（HRM）的概念，該概念承認人為錯誤會發生，但會主動識別個別員工的風險，從而能夠採取有針對性的干預措施。

人類風險管理如何促進網絡安全

斯科特指出，傳統的安全意識培訓的目的是讓員工瞭解網絡安全風險，但未能培養反應和習慣。

例如，員工可能知道他們不應該通過公共 Slack 頻道與同事分享個人信息，但他們這樣做是因為他們面臨時間壓力。

斯科特説：“我們的大腦知道這一點，但我們的直覺不知道。”

制定人力資源管理戰略的第一步是獲得整個組織的可見性，瞭解個別員工的網絡風險所在，然後監控他們的實際行為。

這樣就可以實現“及時指導”——實時提醒糾正已知存在的行為。這種有針對性的方法還可以防止培訓疲勞——如果員工不斷被告知做一些與他們無關的事情，他們就會失去興趣，甚至因此規避控制。

“我們不會告訴你停止做你沒有做的事情——這是對你時間的尊重，”斯科特解釋道。

這些提醒並非命令，而是為了提醒員工注意潛在的不安全行為。例如，“你是想在 Slack 上分享這些信息嗎？”然後員工可以選擇是否繼續該操作。

這些提醒還可以與安全流程相結合，讓員工更容易做出安全的選擇，比如發送一條消息通知他們某些數據將在 30 秒內被刪除，除非他們另有指示。

斯科特指出：“使用良好的選擇架構並將默認值設為最安全的選項，對於推動而言至關重要。”

他還強調，催促不應過度使用，因為每一次催促都可能分散注意力。例如，如果某位員工是唯一能夠解決這個問題的人，而且能夠快速完成，那麼催促就值得使用。

“我們發現，催促和其他事情一樣容易讓人感到疲倦。如果你在每件事上都受到催促，最終你會開始忽略這些催促，”斯科特解釋道。

有效實施人力風險管理

自動化技術可以極大地幫助獲得勞動力活動的必要可見性——斯科特將其描述為顯示風險所在位置的“單一玻璃”。

然後，組織需要將流程與自動化相結合，以實施適當的干預措施。

隨着員工變動和新技術能力在整個組織內推廣，人力資源管理計劃也需要不斷更新。斯科特表示，人力資源管理平台必須與所有新數據源集成。

一個關鍵的例子是各組織越來越多地使用大型語言模型 (LLM)，例如 ChatGPT。這導致機密公司信息被髮布到這些公共平台上。

“您的平台需要增加集成的數量，以便能夠監控所有存在人為風險的地方，”斯科特説。

他補充説，從人力資源管理項目中獲得的見解可以用來不斷加強意識培訓，使其更具針對性——無論是涵蓋的主題還是針對的員工。

例如，如果發現新手更容易點擊網絡釣魚郵件，那麼他們應該成為網絡釣魚訓練練習的重點。

尋找創新方法應對針對人為因素的網絡威脅將成為歐洲信息安全會議計劃的主要部分。

該活動將於 6 月 4 日至 6 日在倫敦 Excel 舉行。請在此註冊以確保參加。