您的安全培训没有错。内容只是过时了

快速阅读: 《ITProtoday.com》消息，本文探讨了网络犯罪分子利用AI工具实施复杂攻击的现状，并指出员工失误仍是主要漏洞来源。文章强调加强资产管理、使用多层防护策略及提升员工网络安全意识的重要性，建议通过微学习和实战演练增强培训效果，构建以安全为核心的企业文化。塞吉-奥利维尔·帕凯为弗莱尔公司首席产品官。

由塞吉-奥利维尔·帕凯撰写，弗莱尔发布

你刚刚收到一封邮件，听起来像是你的老板询问是否可以登录你的Salesforce账户，因为他没有自己的账户。邮件甚至提到你一直在优化其搜索引擎的客户。你提供了你的凭据，但什么也没发生。两周后，你的财务团队发现客户的付款消失了，但当你打电话时，客户确认他们已经支付了款项。发生了什么？他们支付给了一个假账户。

如今，网络犯罪分子正在利用大型语言模型等工具来编写高度个性化的电子邮件。他们可以使用AI模型、爬虫和开源情报扫描LinkedIn等平台上的公司资料，并模仿组织内的真实人物。一旦攻击者获得对某个账户（例如Salesforce或SEMrush）的访问权限，并且该账户与其他账户（例如Google）相关联，威胁行为者可能利用这种访问权限同时危害两个关联账户中的数据。

尽管攻击方式变得更加复杂——包括“活用现有资源”（Living-off-the-Land, LotL）技术、供应链妥协以及大规模的凭据填充——但入侵点并没有太大变化。根据北极狼（Arctic Wolf）发布的2024年威胁报告，勒索软件（44%）、商务邮件诈骗（27%）和网络入侵（24%）仍然是主要的事件类型。这些攻击的共同点是它们依赖于员工犯下的错误。

相关内容：
生成式AI：网络犯罪分子的新朋友

点击恶意链接、落入伪造发票的圈套或未能保护访问凭据一起导致了99%的安全漏洞。随着AI的发展，网络犯罪分子正在学习如何绕过威胁情报工具，企业需要让员工同样保持警惕，以便识别何时受到攻击。

了解你所拥有的

尽管AI使威胁更难被检测到，但许多漏洞并不是由复杂的黑客行为引起的。它们的发生是因为组织可能不了解员工让孩子在公司笔记本上玩《我的世界》，或者是一台老旧服务器或遗忘的物联网设备仍然在线。如果IT部门不了解某个资产的存在，也不知道谁在使用它，那么团队就无法保护它，而黑客则会寻找被遗忘且未受监控的设备进行入侵。

根据一份2024年的报告，在全球范围内，84%的组织实施了自带设备（BYOD）政策，但只有52%允许这样做。未经授权设备和应用程序的增加，例如员工使用个人笔记本电脑和第三方云环境工作，使得即便是经验最丰富的IT人员也难以实施有效的资产管理。IT团队需要能够持续发现和映射已知和未知的资产。像端点检测与响应（EDR）、网络扫描工具以及身份与访问管理（IAM）这样的工具变得尤为重要，需要具备一定的可见性，包括身份威胁检测和响应（ITDR）。零信任架构也是一种主动的架构原则，有助于遏制威胁。

相关内容：
2024年网络安全测验：测试你的IT安全知识

虽然这些工具单独使用时能帮助实时防御威胁，但需要多层防护策略，因为如果你的EDR系统能追踪每个入口点，攻击者也可以做到。IT团队应假设威胁行为者对他们的资产清单的了解程度不低于他们。业务领导者和首席技术官需要确保员工理解这一点，因此他们在公司财产上安装未经授权的应用程序（如《我的世界》和《罗布乐思》）时会更加谨慎。员工还必须及时上报丢失的公司设备，以便IT部门可以在数据落入不法分子手中之前远程清除敏感信息。

停止重复使用密码并自动登出

除了监控家里的状况外，定期检查所有前门（以及后门）是否锁好同样重要。

管理和保护多个系统可能会诱使员工为了简便而重复使用密码。如果员工继续避免使用企业密码管理器等工具来强制执行强而独特的密码，IT团队需要问自己为什么。他们如何才能以更有效的方式警告员工，而不给他们带来负担？

相关内容：
DevSecOps现实检查：上下文可将关键安全警报减少82%

网络安全是一个不断权衡的过程：像单点登录（SSO）这样的工具被引入，以减少员工频繁切换平台（如Microsoft 365和Salesforce）时的登录摩擦。它们也被认为可以集中控制用户访问权限，这对员工离职或异常活动发生时很有帮助。将这些工具与多因素认证（MFA）结合使用意味着即使密码被盗，攻击者也需要额外的一层认证才能进入。

问题是，即使有企业密码管理器和MFA，黑客仍然找到了窃取凭据的方法。这些工具旨在防止黑客进入你的家，但如果门没关好，它们也无法阻止任何人进来。暴露账户的数量平均每年增长28%。基于风险等级的会话过期策略和自适应访问策略可以根据会话的异常行为触发强制登出（例如从新IP登录的同时仍活跃在另一个位置），这将有助于减少账户会话劫持。

IT团队需要不断提升技能，紧跟黑客的动向，刷新基本的卫生方法，并将这些知识传播到整个组织。

将网络安全培训融入日常工作

企业已经在应对创纪录的工作压力：2024年，83%的员工在某种程度上感到信息过载的压力。没有人愿意在日程中添加乏味的网络安全培训。IT团队必须尽最大努力避免通用幻灯片演示和可能看起来与员工不直接相关的数据。相反，当网络安全教育通过短小的微学习课程融入日常运营时，结果会有所不同。2022年的数据显示，微学习可以提高50%的员工参与度，并支持80%的长期记忆保留。

简短的情景化练习，比如发送虚假网络钓鱼邮件，邀请员工识别紧急语言和意外链接等可疑元素。奖励立即报告此类事件的员工。这有助于为他们创造一个安全的环境去这样做——尤其是在员工已经点击有害附件的情况下。重申删除证据会对敏感信息和整个组织的安全造成伤害。

IT团队可以从同类公司近期发生的网络攻击案例中汲取经验，并向员工展示攻击是如何发起的，比如一封伪造的发票邮件以及哪里出了问题——也许员工没有验证发件人。重要的是，IT部门必须展示攻击的影响和造成的经济损失。黑客是否获取了工资数据？成本是多少？员工本可以如何阻止骗局？通过以易于消化的步骤展示真实的后果和解决方案，培训变得更加令人难忘且易于遵循。

尽管IT团队为每种新威胁或漏洞准备动态事件演练的想法很理想，但并不现实。公司还应利用来自可信网络安全公司（如弗莱尔学院）和可信培训机构（如CISA）提供的免费培训，并确保员工有专门时间使用这些资源。2024年数据泄露的平均成本为488万美元，90%的网络攻击始于人为错误。每月一小时的员工培训可以防止一次可能导致数百万美元停工期和法律费用的攻击。

积极培训员工网络安全威胁情报的企业不仅降低了风险，还建立了以安全为中心的文化。80%的组织表示安全意识培训减少了网络钓鱼的易感性。当网络安全互动且引人入胜时，员工不再将其视为一种义务，而是值得挑战的任务。未能提升员工技能的企业将会落后，并因数据泄露和声誉受损付出代价。然而，投资于动态、互动的网络安全培训的企业则会把员工变成最好的防线。

作者简介：

塞吉-奥利维尔·帕凯是弗莱尔公司的首席产品官，弗莱尔是一家网络安全SaaS平台。

(以上内容均由Ai生成)