在我们这个相互联系日益紧密的世界中,网络安全意识至关重要,因为技术影响着我们的日常生活。 从复杂的黑客企图到欺骗性的社交工程,数字环境充满了威胁,危及个人、企业和国家。 为了安全驾驭这一数字前沿,我们必须共同加强对网络安全风险的认识,并采取积极主动的措施来降低风险。
本文讨论了网络安全意识的重要性及其核心内容,帮助您更好地了解网络威胁以及普通用户在应对这些威胁方面的作用。
目录
什么是网络安全意识?
网络安全意识是指终端用户对网络安全最佳实践及其网络或组织日常面临的网络威胁的认知和理解程度。 认识到浏览网页、查看电子邮件和在线互动的危险性都是网络安全意识的要素。
当然,IT 部门对网络安全的理解要比营销经理等人深刻得多。 尽管如此,所有员工都应在安全卫生和防患于未然方面保持一致。 一名员工打开了钓鱼邮件附件,导致爱尔兰国家医疗服务机构HSE 遭到勒索软件攻击,造成 1 亿欧元的损失。
正如您所看到的,即使是对一封看似无害的电子邮件放松警惕,也会导致灾难。 因此,每年至少接受一次适当的网络安全培训是必须的。
为什么网络安全意识很重要?
统计数据不会说谎。85%的数据泄露都是由 “人为因素 “造成的。 更糟糕的是,43% 的员工 “非常 “或 “非常 “肯定自己犯了会造成安全后果的错误。 要降低网络攻击的风险,您需要定期接受培训。 在日益数字化的世界里,网络窃贼找到了新的方法来绕过看似无法破解的技术,仅有基础知识已经不够了。
网络安全包括许多不同类型的威胁、攻击和预防措施。 你应该从整体出发,未雨绸缪。 您对网络安全的关注越多,公司各部门对网络安全的重视程度就越高。
当网络意识达到阈值时,它就会成为一种安全文化,一种员工愿意在其职业和个人生活中接受和采用网络安全做法的环境。 在网络安全文化中,这种意识超越了个人,成为集体意识。 因此,大多数安全威胁都能在造成实际威胁之前得到处理,并迅速报告潜在的违规行为。
网络安全意识的核心内容
网络安全实践包括从人员培训和认识到行之有效的安全对策。 无论公司的定位和具体需求如何,都有一些通用的方法来抵御大多数网络攻击。
1.密码卫生
密码卫生是指根据安全最佳实践选择和管理密码的程度。 自互联网诞生以来,弱密码就一直困扰着人们。 无论当今有多少保护数据安全的措施和先进技术,密码仍然是第一道防线,同时也是最脆弱的组成部分。 当57% 的员工仍将密码保存在便签上时,你就知道还有很大的改进空间。
千万不要低估密码被盗的潜在破坏性影响。 攻击者可以在暗网上向其他恶意团伙出售敏感账户信息,而这些团伙又会冒充你来诈骗他人。 以下是一些保证密码安全的做法:
- 写长一点(至少 12 个字符)。 密码越长越安全。 即使是几个额外的字符,也能创造出数百万个新的组合,供自动机器人破解。
- 使用密码管理软件生成和存储密码。 这种方法既安全又能帮助员工更好地记住密码。
- 为每个账户使用唯一的密码。 如果您使用的某项服务发生数据泄露,您的其他账户不会受到威胁。
2.勒索软件
勒索软件是一种恶意软件,可阻止用户或组织访问其计算机上的文件。 攻击者对这些文件进行加密,并要求支付赎金以获得解密密钥,从而使公司陷入支付赎金是恢复文件的最廉价方式的境地。
勒索软件通常通过钓鱼邮件或偷渡式下载传播。 当用户在不知情的情况下访问受感染的网站,恶意软件就会在他们不知情的情况下被下载和安装。
最赚钱的勒索软件之一是CryptoLocker。 2013 年 9 月至 12 月间,它感染了 25 万多个系统,为其创建者赚取了 300 多万美元。
要避免勒索软件攻击,请遵循网络安全最佳实践:
- 不要访问可能有恶意软件链接的可疑网站。
- 不要从未经验证的来源下载软件。 确保软件具有验证所有者和代码完整性的代码签名证书。
- 更新安全协议,隔离恢复系统。
3.网络钓鱼
网络钓鱼是最古老但最有效的网络攻击之一,影响着全球数百万用户。 这是一种常见的骗局,通过伪装成用户认识和信任的人,诱使用户提供用户名、密码或信用卡详细信息等敏感信息。
网络钓鱼通常通过电子邮件进行,之所以成功,是因为它不依赖安全软件来检测和防范,而是利用人的心理来说服用户按照欺骗性的要求行事。
网络钓鱼 即使是索尼这样声誉卓著的公司也会受到严重打击。 2014 年 11 月,黑客犯罪团伙 “和平卫士 “通过发送看似来自苹果公司的电子邮件, 泄露了电影制片厂索尼影业公司的 100 TB 数据。
防范网络钓鱼的最佳方法是提高网络安全意识。 以下是您应该注意的事项:
- 有可疑拼写、语法错误和紧迫感的电子邮件。
- 发件人地址。 它看起来与原版几乎一模一样,但如果你细心观察,很容易发现其中的变化。 例如,您可能会认为自己收到了来自[email protected] 的电子邮件,但实际上是 [email protected]。
- 定期进行网络钓鱼演习,提高员工的防范意识,让他们了解此类网络攻击的危险性。
4.社会工程学
社会工程学是包括网络钓鱼在内的多种网络攻击背后的基本过程。 它在很大程度上依赖于人与人之间的互动,并利用操纵技术诱使人们违反安全程序和最佳做法。
在典型的社交工程攻击中,骗子可能会假扮成你的老板、邻居、IT 部门的某个人,或者你认识多年的可靠业务伙伴。 冒名顶替者可能会给你发送电子邮件或社交媒体信息,要求你汇款或提供敏感信息。
社会工程学的一个典型例子是最近发生的试图窃取 Office 365 凭证的事件,在该事件中,网络钓鱼者模仿了美国劳工部 (DoL)。 攻击者伪造了国土资源部的真实电子邮件地址,并购买了仿冒域名,邀请收件人对一个政府项目进行投标。
该骗局包含专业撰写的电子邮件和 PDF 文件,其中载有所谓的投标说明和一个专用门户网站,不明真相的员工必须登录该门户网站,从而向攻击者提供他们的登录信息。
社会工程学攻击的最佳解药是提高认识。 以下是您应该采取的预防类似事件的措施:
- 对员工进行有关社交工程攻击的危险性和复杂性的培训,并进行网络钓鱼模拟,以监控他们的进展并培养良好的安全习惯。
- 限制员工在社交媒体平台上发布的信息。 骗子利用 SM 收集潜在受害者的情报。
- 定期更新软件和固件。 使用第三方工具对设备进行全天候监控,并将垃圾邮件过滤器设置为高过滤级别。
5.付款安全
大多数网络犯罪分子都在寻求快速的经济收益,还有什么比直接攻击支付网关更好的赚钱方式呢? 通过获取银行账号、信用卡详情和实际地址等机密信息,攻击者可以轻松地从源头窃取资金。
如果您的企业通过在线支付网关向客户收款,您就应该保护客户的敏感数据和交易详情免受网络窃贼的侵害。
重大网络安全事件
2021 年,中国黑客组织 Hafnium 发现了微软 Exchange 中的漏洞,从而得以访问美国至少 3 万家机构和全球 25 万家机构的电子邮件账户。
一年前,美国一家大型信息技术公司 SolarWinds遭受大规模网络攻击,数月未被发现。 黑客据称在俄罗斯政府的支持下,在其 Orion IT 监控和管理软件中部署了恶意代码,该软件被全球数千家企业和政府机构使用,其中包括美国联邦政府的多个部门。
2022 年第一季度,英伟达(Nvidia)、T-mobile 和三星等公司因凭证泄露和内部威胁而遭受多次攻击。 这样的例子不胜枚举,但我们可以清楚地看到:没有人能够幸免于网络犯罪,即使是那些在网络安全上花费数百万的大公司也不例外。 因此,网络安全意识非常重要。
十月网络安全宣传月
十月是全球公认的网络安全宣传月(CSAM)。 这是一项年度活动,致力于提高人们对网络安全重要性的认识,推广良好的网络安全实践,确保为个人、企业和政府提供安全可靠的数字环境。
2004 年,国家网络安全联盟(NCSA)和美国国土安全部(DHS)合作,首次在美国观察到这一现象。 其目的是应对网络威胁带来的日益严重的关切和挑战,并教育公众如何保持上网安全。
在整个十月,我们组织了各种活动和倡议,以提高网络安全意识。 这些活动包括提高公众认识运动、培训和讲习班、网络卫生评估、信息共享以及伙伴关系与合作。
随着时间的推移,这项活动得到了国际社会的认可,如今,全球许多国家和组织都参加了 “十月网络安全宣传月 “活动。
最后的话
网络安全意识是一个值得给予更多关注的话题,尤其是在中小型公司,因为这些公司的预算比较紧张,员工由于缺乏适当的培训,更容易受到不同类型的网络攻击。
下载的病毒和木马、垃圾邮件以及网络钓鱼欺诈造成的数据泄露,都会给您的企业和客户带来风险。 因此,必须对员工进行教育,并制定有效的网络安全战略。 培养网络意识是一个持续的过程,要适应最新的数字发展和安全趋势。
