行业新闻与博客

尽管网络威胁者经常被警告拥有先进的能力，但针对人类弱点仍然是攻击者的主要初始攻击方法。这一现实导致了人类风险管理 (HRM) 的发展，这一概念侧重于有针对性的、情报主导的干预措施，以改善安全行为。

Verizon 的 2024 年数据泄露调查报告 (DBIR) 强调了人为风险因素的规模，该报告发现 2023 年所有泄露事件中有 68% 涉及非恶意的人为因素。

多年来，网络安全意识培训在组织中已经很普遍，但人为错误问题仍然存在，例如点击网络钓鱼电子邮件中的恶意链接。

单靠训练不足以解决这个问题，尤其是因为所涉及的人往往不是罪魁祸首。

CultureAI 首席网络安全研究员 John Scott 告诉Infosecurity：“人们总是会犯错。这不是道德缺陷，有时这是由于系统等因素，你的老板大声催促你尽快完成某件事。”

这种认识催生了人力风险管理（HRM）的概念，该概念承认人为错误会发生，但会主动识别个别员工的风险，从而能够采取有针对性的干预措施。

人类风险管理如何促进网络安全

斯科特指出，传统的安全意识培训的目的是让员工了解网络安全风险，但未能培养反应和习惯。

例如，员工可能知道他们不应该通过公共 Slack 频道与同事分享个人信息，但他们这样做是因为他们面临时间压力。

斯科特说：“我们的大脑知道这一点，但我们的直觉不知道。”

制定人力资源管理战略的第一步是获得整个组织的可见性，了解个别员工的网络风险所在，然后监控他们的实际行为。

这样就可以实现“及时指导”——实时提醒纠正已知存在的行为。这种有针对性的方法还可以防止培训疲劳——如果员工不断被告知做一些与他们无关的事情，他们就会失去兴趣，甚至因此规避控制。

“我们不会告诉你停止做你没有做的事情——这是对你时间的尊重，”斯科特解释道。

这些提醒并非命令，而是为了提醒员工注意潜在的不安全行为。例如，“你是想在 Slack 上分享这些信息吗？”然后员工可以选择是否继续该操作。

这些提醒还可以与安全流程相结合，让员工更容易做出安全的选择，比如发送一条消息通知他们某些数据将在 30 秒内被删除，除非他们另有指示。

斯科特指出：“使用良好的选择架构并将默认值设为最安全的选项，对于推动而言至关重要。”

他还强调，催促不应过度使用，因为每一次催促都可能分散注意力。例如，如果某位员工是唯一能够解决这个问题的人，而且能够快速完成，那么催促就值得使用。

“我们发现，催促和其他事情一样容易让人感到疲倦。如果你在每件事上都受到催促，最终你会开始忽略这些催促，”斯科特解释道。

有效实施人力风险管理

自动化技术可以极大地帮助获得劳动力活动的必要可见性——斯科特将其描述为显示风险所在位置的“单一玻璃”。

然后，组织需要将流程与自动化相结合，以实施适当的干预措施。

随着员工变动和新技术能力在整个组织内推广，人力资源管理计划也需要不断更新。斯科特表示，人力资源管理平台必须与所有新数据源集成。

一个关键的例子是各组织越来越多地使用大型语言模型 (LLM)，例如 ChatGPT。这导致机密公司信息被发布到这些公共平台上。

“您的平台需要增加集成的数量，以便能够监控所有存在人为风险的地方，”斯科特说。

他补充说，从人力资源管理项目中获得的见解可以用来不断加强意识培训，使其更具针对性——无论是涵盖的主题还是针对的员工。

例如，如果发现新手更容易点击网络钓鱼邮件，那么他们应该成为网络钓鱼训练练习的重点。

寻找创新方法应对针对人为因素的网络威胁将成为欧洲信息安全会议计划的主要部分。

该活动将于 6 月 4 日至 6 日在伦敦 Excel 举行。请在此注册以确保参加。