最近的Twitter黑客事件表明,公司必须继续加强其安全基础设施中最关键的部分——员工队伍。虽然网络安全专家已经对社会工程的威胁发出警告有一段时间了,但大多数网络安全项目都专注于工作的技术方面——确保公司的系统和产品安全。随着公司在技术上变得更加安全,它们在员工方面也必须变得更加安全。这需要网络安全专业人员具备强大的领导能力和参与能力。
Twitter的黑客攻击表明,员工的安全漏洞可能会对公司构成生存威胁,打击了客户对他们的信息安全的信任,以及Twitter账户背后的人(尤其是知名人士和实体)的真实身份。
在亿康先达,我们看到人们对这些以人为本的网络安全技能的赞赏稳步上升。各行各业的领导者一直要求我们帮助他们寻找首席信息安全官(CISO),他们知道如何跨业务部门协作,并协助实现业务目标,而不是简单地充当技术规则的执行者——我们称之为“不博士”CISO。
在这个方向上的下一步是寻找能够推动整个公司的根本文化变革并培养安全文化的ciso。要做到这一点,需要具备良好的领导能力和参与能力,而用于培养这种文化的项目需要的不仅仅是定期的、敷衍了事的安全简报。
当我回想起这一漏洞时,我想起了我在军队里的时光,那时候,我不得不应对那些以间谍活动形式窃取情报的坚持不懈的努力。为了应对这一威胁,军方从服役的那一刻起就对军人进行培训,让他们了解间谍活动是什么样子的,这样他们就能在最早的阶段识别出间谍的拉客行为,知道如何应对企图胁迫,以及在哪里报告。年度简报可能会让人觉得陈腐和肤浅,但军方用间谍的真实故事以及他们对美国造成的损害来活跃它们。这种培训渗透到工作场所,例如,基地周围的海报。驻扎在海外的军队甚至可以在武装部队网络电视台上看到定期的“电视购物”,将这些原则深入人心。间谍威胁的意识远非年度要求那么简单,而是在员工中根深蒂固。
正如我的朋友埃里克·奥尼尔(Eric O'Neil,他帮助扳倒了第一批网络间谍之一罗伯特·汉森)喜欢说的那样,“没有黑客,只有间谍”,以说明黑客只是间谍活动的自然进化。企业可以从军方那里学到很多东西,军方永远面临着间谍活动的持续威胁,并开发了一些项目,以培养一种普遍的安全文化,尽管这些项目并不完善。这需要网络安全专业人士采取全面的安全方法,认识到他们建造的强大堡垒永远无法阻止一个坚定的攻击者,他会说服内部人员让他们从后门进入。更注重人的因素将有助于把后门关上并锁上。