防火墙买了,入侵检测装了,渗透测试做了,攻防演练也过了——结果员工随手点了一个钓鱼邮件链接,所有防线全部失效。这不是假设,是每天都在发生的事。新型网络钓鱼攻击正在全球蔓延,攻击者巧妙利用企业员工对常用办公平台的高度信任,精心设计骗局,已成功绕过多种传统邮件安全防护。
有的攻击者伪装成IT支持,以“账户修复”为幌子诱导员工交出邮箱账号和密码。有的利用二维码钓鱼绕过传统安全边界,大规模窃取凭据。还有的攻击者伪装成招聘人员发送恶意邮件,诱导用户运行恶意程序。某金融机构员工就曾收到一封主题为“工资补贴调整”的钓鱼邮件,点击后导致内部系统被入侵。另一家制造企业因未及时注销离职员工账号,导致核心图纸泄露。这些案例的共同点在于,攻击者没有攻击系统,而是攻击了人。
也就是说,安全设备防得住外面的攻击,防不住内部的疏忽。在日常工作中,密码设置是重灾区——有调查显示,泄露的密码中有29%是“弱密码”,即密码字符数少于8个,没有大写字母、数字和特殊字符。更糟糕的是,41%的员工已在不同的被入侵系统上重复使用了密码。国家安全机关也多次提示,设置密码时长度至少为8位,并同时包含大小写字母、数字、特殊字符。如果密码过于简单,如连续数字、电话号码、姓名生日等组合,不仅极易被猜中或破解,还有可能遭到境外黑客攻击。
员工日常操作中容易出问题的环节远不止这些。用办公电脑下载来路不明的软件、私自连接没有密码的公共Wi-Fi处理工作文件、把公司的U盘借给外人使用、离开工位时不锁屏、在社交平台上随意分享工作相关的内容——每一项看似不起眼的行为,都可能成为攻击者进入企业内部的突破口。
那企业没有给员工进行安全培训吗?不是,可效果仍旧十分不理想。因为对于很多员工而言,安全防护是很陌生的东西,即使听过,也未必接触过,遑论可能会导致信息泄露的行为和信息泄露的后果。这就让他们产生了一些侥幸心理。例如觉得自身只是一个小小的职员,日常负责的工作并没有那么重要。又或者觉得,运气不会那么好,就被黑客盯上了,或者觉得公司有技术防护,出了问题有专业的人在。但真实的安全事件中,攻击者恰好利用的就是这些侥幸心理。
虽然员工的安全意识是安全防线中最薄弱、也最不可控的一环。但也正因为不可控,才更需要通过持续的教育和训练来加固。网络安全培训不是给员工“上课”,而是让每个员工都成为防线的组成部分——知道什么能做、什么不能做、遇到问题找谁。北京七星安为科技有限公司的网络安全培训服务能够为企业提供定制化的安全意识教育方案,结合真实案例和实战演练,帮助员工识别钓鱼攻击、防范社交工程、规范日常操作,让安全意识真正融入日常。
安全设备是硬件,员工意识是软件。硬件再强,软件跟不上,系统一样会崩。如果你是企业负责人或IT主管,可以先从一个小动作开始:下次内部会议时,花五分钟让全体员工做一个钓鱼邮件识别的快速测试——发一封模拟钓鱼邮件,看看有多少人会点开。如果结果让你吃惊,没关系,毕竟,至少你知道了问题在哪。只有让每个人都绷紧安全这根弦,安全投入才能真正发挥作用。
