作者：邁克菲高級(jí)產(chǎn)品營(yíng)銷經(jīng)理David Bull

最近邁克菲就“用戶本身對(duì)安全帶來(lái)的威脅與影響”話題發(fā)起了 #SecChat的Twitter線上討論活動(dòng)。我們得出了一個(gè)結(jié)論：無(wú)論安全技術(shù)變得多么先進(jìn)，用戶始終是企業(yè)安全計(jì)劃中最薄弱的一環(huán)。因此，我們就如何應(yīng)對(duì)用戶這最薄弱的一環(huán)，以及企業(yè)如何優(yōu)化技術(shù)解決方案和策略來(lái)緩解用戶威脅所帶來(lái)的風(fēng)險(xiǎn)這些話題進(jìn)行了討論。

安全的技術(shù)因素

一開(kāi)始，我們首先詢問(wèn)參與者常見(jiàn)的“最薄弱技術(shù)環(huán)節(jié)”是什么。有參與者認(rèn)為劣質(zhì)的安全應(yīng)用程序是最要命的。其中有人補(bǔ)充到：應(yīng)用程序設(shè)計(jì)者毫無(wú)風(fēng)險(xiǎn)意識(shí)，或者根本沒(méi)把安全視為問(wèn)題。而大家普遍認(rèn)為：將特定技術(shù)視為“最薄弱環(huán)節(jié)”是不負(fù)責(zé)任的。任何技術(shù)，無(wú)論多么先進(jìn)，能否有用，都取決于實(shí)施它們的人。

接著我們的討論發(fā)生了轉(zhuǎn)折，有參與者提出，很多人之所以不愿意去制定安全策略，只是因?yàn)榘踩呗缘闹贫ú⒎且资?。那么作為IT 團(tuán)隊(duì)，如何能更好地使安全與業(yè)務(wù)目標(biāo)和用戶需求相符呢?我們認(rèn)為：用戶的關(guān)注點(diǎn)，始終在其工作本身，而非 IT。只有掌握到這一態(tài)勢(shì)之后，安全團(tuán)隊(duì)才能制定有效地策略。

安全策略：透明度問(wèn)題

其中有人給出了一個(gè)建議，即增加透明度。透明度可幫助員工建立起關(guān)于違規(guī)產(chǎn)生的實(shí)際后果的心智模型，從而增加用戶認(rèn)同感。我們認(rèn)為用戶引發(fā)的一些最常見(jiàn)問(wèn)題都因?yàn)閱T工無(wú)視其行為帶來(lái)的后果，而作為安全團(tuán)隊(duì)，需要解釋策略背后的“原因”，而不是去盲目期待每一個(gè)員工的行為符合要求。

在技術(shù)層面上，參與聊天的一些人提到了 DLP 解決方案(Data Leakage Prevention，數(shù)據(jù)泄露防護(hù))，因?yàn)樗鼈儾粌H能代替用戶保證安全，而且還增加了透明度。DLP 能在用戶違規(guī)時(shí)發(fā)出警報(bào)，幫助用戶了解其行為的后果并讓他們親臨實(shí)境的看到遭到攻擊后產(chǎn)生的惡果。

之后，我們的話題開(kāi)始轉(zhuǎn)向電子郵件威脅所帶來(lái)的挑戰(zhàn)，透明度成了關(guān)鍵議題。我們認(rèn)為在 Web 保護(hù)方面，顯示攔截的頁(yè)面并解釋攔截原因促使員工關(guān)注其活動(dòng)對(duì)整個(gè)企業(yè)的影響大有幫助。它會(huì)令員工不僅關(guān)注必須做什么，還關(guān)注為什么需要這樣做。這是企業(yè)文化層面的變革，而非僅僅停留在策略層面。

最后，我們以詢問(wèn)參與者的主要心得來(lái)結(jié)束了這場(chǎng)討論。我們都認(rèn)為：員工安全教育是關(guān)鍵，但必須輔以相關(guān)的實(shí)際示例， C 級(jí)認(rèn)同感是讓計(jì)劃有效的關(guān)鍵所在。我們應(yīng)該在確立安全策略的業(yè)務(wù)價(jià)值的同時(shí)，以適當(dāng)?shù)募夹g(shù)解決方案作為策略后盾。

hanrui