内容简介:需求:负责识别和缓解特别针对内部员工的攻击方法及漏洞的安全主管。很明显,终端用户是大多数重大攻击的主要攻击途径。无论是用网络钓鱼、传统社会工程,还是通过物理入侵,高级攻击者很清楚从用户下手远比探测技术漏洞更容易找到进入公司的有效入口点。同样重要的是,善意用户造成的伤害总的说来比恶意用户造成的伤害还大。因此,需通过意识培训来让用户更能灵活应变,更具恢复力。
需求:负责识别和缓解特别针对内部员工的攻击方法及漏洞的安全主管。
很明显,终端用户是大多数重大攻击的主要攻击途径。无论是用网络钓鱼、传统社会工程,还是通过物理入侵,高级攻击者很清楚从用户下手远比探测技术漏洞更容易找到进入公司的有效入口点。同样重要的是,善意用户造成的伤害总的说来比恶意用户造成的伤害还大。因此,需通过意识培训来让用户更能灵活应变,更具恢复力。
现实是,意识培训某种程度上有效,但需要做的事还有很多。
需设置相关技术手段预先阻止用户的危险动作。在安全界,90%的工作场所意外事故都可以通过创建一个能防止员工暴露在危险情况下的环境而得到避免。比如说,在员工经常被叉车撞到的工厂里,可以在过道上画线,开辟明显的走道。这一简单的改变就几乎规避了所有涉及叉车的事故。仅有的零星事故也是因为行人低头看手机太投入而自己撞到叉车上的。
网络安全世界里,创建安全环境意味着运用反恶意软件程序、垃圾邮件过滤器和PC防护措施来阻止用户安装软件。创建一个安全的环境不仅可以过滤掉 99.9% 的潜在攻击,让威胁根本沾不到用户的边儿,还能阻止来自用户自身的破坏或伤害。但很明显,仍有攻击能够突破防线,所以意识培训仍是减少风险的必备措施。
意识培训项目应聚焦用户该怎样恰当地完成自身工作,而不是恐吓他们应该惧怕哪些行为。这就涉及到恰当监管的概念了。用户不可能识别出所有可能的骗局,但他们至少应能够遵循恰当的动作规程。
聚焦用户
虽然基本上大多数公司企业都有某种形式的软件来防止用户遭到侵害,有一定的意识培训和类似于策略或规程的东西,但这些工作往往没有形成联动,很零散和随意,并没有专门针对特定攻击或用户行为的工作。
为解决这一问题,需设置负责识别涉及人员的不同攻击方法和漏洞的职位,姑且称之为人力安全官(HSO)吧。HSO审查可能出现问题的地方,指出预防、检测和响应这些攻击或用户行为的最优方法。
有些人或许会以为这是CISO或意识培训项目经理的工作。现实是,意识培训人员的工作非常具体,专注提供信息以令员工改善其安全相关的行为。意识培训团队并没有义务,也无权负责阻止和缓解漏洞的方方面面工作。意识培训团队应向HSO报告。
HSO负责确定与人相关的漏洞存在的地方,专注协调漏洞缓解工作,也就是检查底层业务过程和确定能有效缓解漏洞的最佳技术运营过程组合。然后,HSO还确保意识培训团队将精力集中在解决员工应如何正确完成自己的工作上。
由CISO来负起HSO的职责固然不错,但具有一定规模的企业里,CISO应有一个团队可以分担责任。就好像CISO手下有不同的人各自负责网络安全、事件响应和监管,也应有HSO来专门负责处理涉及人员的所有漏洞。这一角色应与传统意识培训角色区分开来。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 人力资源知识图谱搭建及应用
- 面向创业公司的人力资源管理(招人篇)
- 人力招募 - 第一章 萬事起頭難,面試名單從哪來?
- Oracle人力资源管理系统PeopleSoft未授权远程代码执行漏洞解析
- HRMS(人力资源管理系统)-从单机应用到SaaS应用-系统介绍
- 印度人力成本低?程序员笑了,我们和圈内人聊了聊真相
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Web之困:现代Web应用安全指南
(美)Michal Zalewski / 朱筱丹 / 机械工业出版社 / 2013-10 / 69
《web之困:现代web应用安全指南》在web安全领域有“圣经”的美誉,在世界范围内被安全工作者和web从业人员广为称道,由来自google chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写,是目前唯一深度探索现代web浏览器安全技术的专著。本书从浏览器设计的角度切入,以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线,深入剖析了现代web浏览器的技术原理、安全机制和设计上的......一起来看看 《Web之困:现代Web应用安全指南》 这本书的介绍吧!