什么是安全意识计划?
并非所有攻击都是技术性的。现在我们已经围绕我们的网络建立了技术防御,但社会工程学攻击在近期发生的很多企业数据窃取攻击行为中都在使用。针对社会工程学攻击的唯一防御措施是引人入胜的安全意识计划。安全意识计划有助于制定和执行策略,同时帮助设定组织计算机和员工可接受和不可接受行为的限制。安全意识计划有助于降低组织的敏感和机密数据的泄露风险。安全意识计划被定义为正式计划,其目标是培训员工了解对组织信息的潜在威胁,以及如何避免可能使组织数据面临风险的情况。
安全意识计划的目标是降低组织的攻击面,使员工能够承担保护组织信息的个人责任,并强制实施组织为保护其数据而制定的策略和程序。策略和程序可能包括但不限于计算机使用策略、网络使用策略、远程访问策略以及旨在管理和保护组织数据的其他策略。
在信息安全中,人是最薄弱的环节。人们希望对其他人有所帮助同时人们也想把工作做好。人们希望为他们的同事,客户和供应商提供良好的客户服务。当然大多数人也具备很强的好奇心。利用社会工程学的攻击者试图在人类身上利用这些特征。“社会工程学被定义为欺骗人们放弃访问或机密信息的程序”[1]。唯一已知的社会工程攻击防御措施是有效的安全意识计划。除非用户了解使用社会工程学的攻击者的策略和技术,否则他们将成为牺牲品,并将组织的数据置于危险之中。
对最近发生的公司数据泄露事件的调查将揭示出,其中绝大多数攻击手法都是利用了人类的弱点。一个典型的例子是 RSA 数据泄露事件[2],在这次事件中,老练的攻击者使用了有针对性的鱼叉式网络钓鱼来窃取 RSA SecurID 身份验证令牌,从而导致美国国防部的承包商洛克希德马丁公司[3]的进一步被黑。另一个例子是针对Google和其他大型软件公司的“Aurora”攻击事件,在这次攻击事件中,攻击者使用的攻击手法是诱导用户访问一个网站,该网站通过最新的0day漏洞感染了用户的电脑。结果就是导致谷歌和Adobe等公司的包括源代码在内的大量知识产权等高敏感数据被盗[4]。
安全意识计划也是成熟的网络安全防御计划工作中非常重要的一部分。政策和程序是第一个也是最基础元素。再往上一层是安全意识计划,也称为人员意识培训。只有当这两个元素就位时,我们才会进入补丁管理、日志管理、防病毒/HIDS、安全设备以及最终的度量指标这几个后续步骤。多年来,组织一直在向安全部门投入资金,而这笔钱本来可以更好地用于人员培训(如下图所示)。本系列文章将重点阐述如何逐步构建安全意识计划,最终目标是建立一个成熟的安全意识计划。
政策制定
政策制定的目的是设定组织用户的目标、限制和期望。根据组织的规模,这些政策可以是一系列针对组织IT和人力资源等特定部门的文件,也可以是一个单独的文件,概述了使用组织电话、计算机、电子邮件和其他数字资产的人的限制行为和应当承担的职责。
最常见的策略是计算机使用策略。其他可在单独文档中解决的单独策略包括电子邮件使用、互联网使用、电话使用和传真使用等。计算机使用策略,有时也被称为可接受的使用策略,定义了用户对计算机和电信资源的访问级别,以及他们对这些资源的使用的权利和行为限制。可接受使用的最大目标是定义使用的结束和滥用的开始。例如,在大多数组织中,如果员工在工作时间内访问色情和赌博网站,就会被视为滥用。如果员工在工作日使用电话和电子邮件服务进行过度的个人交流,也将被视为滥用。大多数组织都需要明白,一些因个人用途的使用是必要的,可接受的使用策略定义了使用组织的设备和服务的哪些行为是可接受的以及哪些是不可接受的。
一些组织的使用策略来自于互联网上的一些公开模板[5]。虽然这些类型的模板也很有用,但重要的是要记住,它们需要根据你的实际情况进行定制,以定义组织的需求和任务。
此外,组织内的人力资源部门也需要参与进来。在大多数情况下,政策的特定部分将规定违规行为的处罚,对员工的处罚由人力资源部门执行。另外,制定政策和程序时必须考虑国家层面的法律法规。HIPAA/HITECH 法规可能需要那些处理人员健康数据的组织。处理信用卡交易数据的组织可能需要关注 PCI DSS 法规。
政策实施
没有强制执行的政策是在浪费时间并且对组织有害。有效的安全意识计划的目标之一是通过教育员工了解公司的政策制度以及组织的期望来强制实施政策。
没有什么比不强制的政策更没有用的了。许多组织花费大量时间制定政策。很多时候,这些政策最终会被放在某人办公室书架上的活页夹里成为了一种形式一种摆设。
向员工提供可接受用途和其他策略的副本是一个良好的开头,但大多数情况下,员工不会花时间阅读政策信息。应使用安全意识计划来审查这些政策,特别是适用于组织通信和信息技术基础设施的工作用途的使用、非工作用途的滥用和违规处罚的策略。
本系列文章的目标就是为了说明如何建立一个有效的安全意识计划,从获得管理层的认可到使用有效的度量标准来衡量该计划。它也为从管理层到数字前线的 IT 经理的任何人编写,这些人都有兴趣启动安全意识计划。虽然我们将在本系列文章中涵盖很多领域,但最终目标是让你能够制定出一个引人入胜的安全意识计划,帮助你的组织在遇到网络威胁时防控安全风险。
节省成本
公司数据泄露是昂贵的金钱成本。如果你是 HIPAA/HITECH 或 PCI DSS 等法律法规所涵盖的组织,数据泄露的罚款可能会高达数百万美元,具体取决于泄露的规模和影响面。此外,许多地方的法律法规现在都有针对数据泄露事件的公示要求,要求发生数据泄露的组织将泄露的内容告知受影响的用户,并在某些情况下为受影响的用户提供信用保护。Ponemon Institute 和 Symantec 在之前发布了一份报告,发现现在的数据泄露行为在全球范围内的平均花费金额达到 136 美元[6]。
此前,美国卫生部和人权服务办公室对爱达荷州立大学发生的健康数据泄露事件处以40万美元的罚款[7]。此外,阿拉斯加卫生和公共服务部(DHHS)同意支付170万美元,以解决可能发生的 HIPAA/HITECH 数据泄露的问题[8]。
支付卡行业已经规定,如果数据发生泄露,每次事故的罚款最高可达50万美元[9]。总部位于田纳西州纳什维尔的运动服装公司 Genesco 因不遵守PCI DSS规定而被罚款1300多万美元,此前该公司发现自己遭到黑客攻击,监管机构也发现了数据泄露情况[10]。
产能增加
恶意软件和计算机安全风险的减少可以降低停机的时间,从而提高组织的产能。IT和安全团队实际上可以花更多的时间积极主动地推进组织的任务,而不是对病毒和其他恶意软件感染做出反应,并调查可能发生的数据泄露事件[11]。
一些病毒感染和数据泄露情况可能会导致数天甚至数周的停工。这些类型的中断将会导致公司利润下降,在某些情况下,公司可能会面临民事法律诉讼、可能的监管行动,以及客户和业务合作伙伴的可能损失。
有些数据泄露不是外部攻击的结果,而是内部员工导致的错误,例如关闭防火墙[12],或未正确配置网站,不向公众展示机密数据[13]。如果员工不知道如何正确地完成工作,他们就会继续犯此类错误。
安全意识计划的最终目标是管理组织的风险。大多数组织都有安全计划来保证员工的工作安全。安全意识计划的目标应该是确保组织的数据安全。
管理层支持
建立安全意识计划的第一步也是最重要的一步是获得组织管理层的批准和支持。没有管理层的支持,政策将不成文,政策也将无法强制执行,管理层和员工将反抗在保护组织信息方面施加的任何规定,规则或限制。即使面对HIPAA / HITECH和PCI DSS等法规,如果没有组织管理层的支持,安全意识计划的执行也将失败。
要获得管理层的支持首先要向管理层展示风险,然后说明安全意识计划将如何帮助他们管理风险。第二步是向管理层展示这样的计划如何支持组织的业务目标,包括政策制定、策略实施、成本节约和产能增加。
展示风险时可以包含特定于组织所在行业的案例研究。例如,如果你的组织是一家律师事务所,请使用案例研究以及由于员工所犯的错误导致律师事务所遭到网络攻击。同时也要向管理层明确攻击者的狡猾也很重要。大多数人在考虑安全性时都会想到日常的非针对性的病毒感染,而最危险的攻击者是技术先进的黑客,他们希望窃取知识产权,财务信息和商业机密。
管理层并不总是乐于接受变革,特别是当他们认为这种变革会妨碍组织的业务目标时。以非技术术语与管理层进行适当的沟通是获得管理层支持的关键。当管理者自上而下地了解安全意识计划的目的和目标,并且这样的计划符合组织的业务目标,那么他们将更容易接受实施安全意识计划。
在本系列文章的后续部分,我们将继续研究从零开始,用很少或根本没有资金的情况下实现安全意识计划的具体步骤。常识性的方法是应对大量现代信息威胁的最佳方法。虽然一些组织提供付费的、通常是固定的安全意识项目,但本系列文章的重点是让人们有理由在自己的组织内建立自己的执行计划,无论这些组织是小型、中型或大型企业或公司,还是非营利组织,甚至是学校。
附录
[1] 社会工程攻击框架:http://www.social-engineer.org/framework/Social_Engineering_Defined
[2] 全球网络公地中不断演变的敌对行为:http://jeffreycarr.blogspot.com/2011/06/18-days-from-0day-to-8k-rsa-attack.html
[3] InformationWeek :http://www.informationweek.com/security/attacks/rsa-breach-eight-months-later/231903048
[4] 最新细节显示,谷歌遭到黑客攻击非常复杂:http://www.wired.com/threatlevel/2010/01/operation-aurora/
[5] SANS 信息安全策略模板:http://www.sans.org/security-resources/policies/
[6] Ponemon和Symantec发现大多数数据泄露是由人为和系统错误造成的:http://www.symantec.com/about/news/release/article.jsp?prid=20130605_01&om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2013Jun_worldwide_CostofaDataBreach
[7] 卫生和社会服务部因爱达荷州立大学违反健康数据而罚款40万美元:http://healthitsecurity.com/2013/05/22/hhs-fines-idaho-state-university-400k-for-data-breach/
[8] 阿拉斯加州国土安全部以1700000美元解决了HIPAA安全案件:http://www.hhs.gov/ocr/privacy/hipaa/enforcement/examples/alaska-agreement.html
[9] PCI-DSS:安全处罚:https://financial.ucsc.edu/Pages/Security_Penalties.aspx
[10] 零售商因违反规定后未遵守规定而向PCI罚款,并起诉Visa:http://www.scmagazine.com/retailer-fights-pci-fines-for-noncompliance-after-breach-sues-visa/article/284088/
[11] 停机时间被评为数据泄露的最高风险:http://www.informationweek.com/security/management/downtime-rated-top-risk-of-data-breaches/228201056
[12] 卫生和社会服务部因爱达荷州立大学违反健康数据而罚款40万美元:http://healthitsecurity.com/2013/05/22/hhs-fines-idaho-state-university-400k-for-data-breach/
[13] 官员们说,布鲁克黑文的数据泄露“是笔误”:http://www.newsday.com/long-island/towns/brookhaven-data-breach-was-clerical-error-officials-say-1.5426405