安全意识培训

写在前面：迄今为止，通过邮件这一社会工程方法进行计算机网络犯罪，仍然是性价比最高的方法。根据Greathorn的数据分析，仿冒企业、个人、管理者、客户的比例分别高达68%，66%，53%，49%。针对利用电子邮件进行欺诈、钓鱼、传播恶意软件，并且尚无有效的根治技术手段，安全意识教育不失为应对这一攻击方法的有效措施的最佳选项。安全意识不仅仅能提高防范社会工程攻击这一方法，对其他攻击方法也能够起到助力作用，例如：当员工察觉登录日志异常时，和安全人员的沟通有可能帮助企业防范一起重大恶意攻击事件。因此，在2022年，安全意识的加强，仍将是企业的重点治理的范围之一。在多个咨询机构2020 年主要安全技术预测中，安全意识培训都占有一席之地。

安全意识培训在国内很常见，读这篇文章的时候，感觉有些内容挺好，如教育性短视频、心理安全、积极安全文化建设等。

正文

01   什么是安全意识培训

什么是安全意识培训？   

    安全意识培训是保护公司和他们的员工，免于社交工程钓鱼攻击最有效的方法。

    但什么是安全意识培训呢？

    Hook Security把它定义为员工讲授安全和网络钓鱼，同时生成最佳实践和良好习惯的教育课程。

    不管你组织是否使用复杂密码、多个防火墙、防恶意软件等，在任何网络安全系统中最大的弱点之一是人为因素。在保证你的公司和你自己安全方面，人为因素总是一个问题。不管从哪个角度讲，员工都最容易受到攻击，需要正确的工具。如果一个员工没有在安全意识方面得到有效培训，由于简单的错误、忽视，甚至漠不关心，让公司被入侵的机会非常高。

    网络罪犯深谙此点，他们知道硬件很难攻破，但针对单个或一组人员，则机会很大。例如利用人类弱点使用钓鱼邮件，如果成功运用，简单的钓鱼邮件就能成功入侵整个组织和它的网络。这真是个坏消息。

    安全意识培训就是通过直接关注人为因素解决这个问题。在Hook Security公司，我们根据网络罪犯当前使用的最新技巧，研究和模拟钓鱼攻击（我们称之为“真的假邮件”）。

    当员工掉进我们的陷阱，我们发给他们一个具有教育意义的，娱乐性的短视频来纠正他们的错误。目标是让员工不要害怕，但要保持清醒，仅仅是对邮件保持有点偏执的关注。虽然在两者之间的区别很小，但影响很大。

心理安全的兴起

    随着网络威胁持续增长，保护我们的信息系统变得越来越难。这常常是因为重点、注意力，最后批评也放错了地方。我们已经看到了公司不只需要信息安全，其中的原因正是本篇的名字，保护业务信息，仅仅关注信息本身，仍然会留下漏洞，因为超过90%的入侵涉及到社交工程。也许听起来非常疯狂，我们必须保护我们的想法，我们的直觉，我们的依靠和我们的信任。进入心理安全的范畴。

    心理安全是保护人类免受技术操纵和利用的实践。从精准定向广告到钓鱼攻击，技术和数据每天都在影响我们，这就是网络钓鱼如此成功的原因。我们已经学会信任和依赖我们使用的技术，加上老板参与、项目截止时间、升值等职业环境，被操纵的风险飙升。

    你会被星巴克钓鱼邮件欺骗吗？也许。你会下载来自你老板的名为“圣诞节奖金2020.xlsx”文件吗？很明显你会。这就是定期培训如此重要的原因。为抵御钓鱼邮件，我们必须培训每个员工认识风险，随着时间能识别这些特征。

安全意识培训的好处

    网络安全意识培训的动机是强迫公司检查它的流程、策略和员工。常常会发现低效和新的机会，也许对安全没什么用处，但公司可以受益：

• 培训能帮助减少错误或帮助发现“坏人”的伎俩和趋势
• 网络安全意识培训，能加强和提高公司的安全态势
• 当你的员工得到教育和培训，他们会更合规
• 培训能维护客户的声誉，避免发生意外
• 教育和培训能加强信心，甚至帮助客户
• 培训能帮助客户节省金钱和时间
• 你的客户能睡个好觉，因为他们知道通过培训了解最新的威胁

打造安全意识文化

    安全意识培训项目能作为团队建设和协作练习。因为真正的目标并不是解决常见的互相指责，而是改善员工之间的关系。共同的敌人（网络威胁）常常会团结队伍。

    Hook Security的基于教育的培训带给员工一种有趣、投入的体验。不会让员工由于失败感到羞赧，而是提供值得回忆的培训经历。我们相信人们不会由于他们收到的每个邮件而感到工作危机，当公司认识到安全意识的重要性而采用我们的项目计划。他们提高了生产力，推动创新，最后变得更安全。

   02  安全意识培训的重要性

    超过90%的网络攻击包含某种形式的钓鱼或社交工程元素。不要感到惊讶，减少钓鱼攻击的风险就能减少入侵的风险。

    员工每天都会收到钓鱼邮件。虽然大多数安全工具在过滤钓鱼邮件方面作用匪浅，但每天黑客都在改变他们的攻击技巧，一些钓鱼邮件最终进入到员工的收件箱。

    钓鱼攻击只是开始，是黑客用来访问公司系统的攻击手段。一旦攻击者获得访问，也就是他们破坏的开始。一些网络攻击的例子包括恶意软件、勒索软件、商业电子邮件攻击（business email compromise，BEC）等。

    安全意识培训希望直接关注人为因素，并养成习惯来解决这个问题。

    仅仅警告员工网络钓鱼的危险只是一个方面，如果你能生成正确习惯，上升到大脑控制威胁识别和响应的原生部位，你才能真正开始看到在钓鱼邮件点击方面的减少。

安全意识培训生成了积极的安全文化

     安全意识培训，如果实施正确，能够对公司的安全文化有贡献，最终对整个公司的文化有帮助。

    首先，你要了解文化不是你能命令、指导或强制的东西。文化不是规章制度。规章制度是告诉员工做什么，文化是员工实际的行为，你是如何影响文化的？

    在Hook Security，我们说你能够主要做四件事情，对健康的安全文化做出贡献。

• 培训每个人-文化由上向下。如果高级职员没有得到培训，或认为他们自己可以“凌驾于培训”，那培训就完全失去了重要性，其他员工也不会认真对待安全。
• 预料错误-错误难以避免，你如何对待他们才是关键。当你把安全意识培训推给员工，你会看见人们点击邮件。但那还好，因为目标是减少风险。几乎不可能消除网络钓鱼攻击的风险。很高兴他们点击的是测试邮件，而不是真的攻击。
• 设置目标-鼓励员工和跟踪进度。如果你生成了一个健康、积极的网络安全文化。员工将会想知道做的怎么样。当他们通过或失败，让他们知道结果来鼓励他们。
• 不要惩罚犯错-这是许多公司尝试进行安全意识程序时排名第一的隐患。如果你真的想有一个积极的安全文化，就要把错误看作成长的机会。毕竟，如果你认为会遭到解雇，还会报告一个钓鱼邮件吗？

安全意识培训助力合规

    合规是安全培训非常好的一个副产品，但为了成功实现，你不应该把合规作为安全培训的原因。这个方法能导致糟糕的表现和结果。

    然而，越来越多的行业，监管机构和合规项目开始包含安全意识。一些合规法规已经要求安全意识培训，如：

• PCI DSS
• HIPPA
• ISO/IEC 27001,27002
• FISMA
• GDPR
• 许多州的隐私法律

    如果这些合规领域影响你的公司或你提供IT服务的公司，你应该提供安全意识培训满足合规。

安全意识培训有助避免宕机时间

    安全意识培训明显减少公司宕机时间，有两个原因：

    首先，宕机的最大原因是由于你的公司遭遇到安全攻击。如果你遭受到勒索软件，你的文件都会被加密，很多业务会彻底关闭。

    还有其他和网络攻击相关但不那么明显的宕机形式，如业务损失、公共关系问题，员工道德，修复时间等。

    简单说来，钓鱼攻击对业务有害。

   其次，当你开始推行我们的心理安全意识培训，培训很短，不会占用员工一天的工作时间，鼓舞士气而不是伤害它。

    这是如何做到的？

    在Hook Security，基于罪犯使用的最新技巧，我们研究和精心设计了模拟的钓鱼尝试。每个月，我们給员工发送这些模拟钓鱼邮件。

    当员工掉入我们的陷阱，我们给他们提供一个教育意义，娱乐性的短视频，根据他们的错误来培训他们。点击邮件到接受培训的整个体验不超过5分钟。传统形式的教育在会议室中接受几个小时的培训，或冗长计算机培训。这个方法扼杀了生产力，而我们喜欢生产力。

    在点击的时候培训员工（我们称之为违规点），他们能快速从错误中学习，放松一笑，继续一天的工作。

员工是你最大的资产

    许多安全提供商和公司对客户说，在网络安全方面，员工是你最大的弱点，坦率的说，我们在过去也说过同样的话。

    这些陈述中确有其实，但无助于完成我们的安全意识目标。

    你的工具无法有安全意识。你的计算机也不能。我们已经发现在你员工中生成安全明星的最好方法是把他们看作你最大的资产，而不是最大的弱点。

    你的员工是保证公司前行的最重要因素。确实，他们也是点击钓鱼邮件的人，但你应该把他们看作机遇而不是威胁。这对安全意识培训的有效性影响很大。

提供安全意识培训为什么重要？

    如果你是托管服务提供商，托管安全服务提供商，增值服务分销商，或任何种类的服务提供商。你可能已经提供，或者还没对你的客户提供安全意识培训，但你应该吗？

    好，我们可能有偏见，但我们就是这么想的。其他的托管服务商也这么想。

    在Datto的2020年托管服务商状态报告中，表明60%托管服务商考虑到安全意识培训作为给用户提供的重要服务。事实上现在提供的服务，稍微少于60%。

    冷酷的事实是，如果你不提供安全意识培训和其他的紧急服务作为托管服务的一部分，你将处在丢失客户的危险中。因为随着采用安全意识培训的公司增加，公司会大力寻找并选择提供这种服务的提供商。

    03  安全意识培训的重要性  

如何生成有效的安全意识培训

    给员工提供安全意识培训比以往都更重要。有人甚至争论说，安全“意识”只是公司安全文化的第一步，员工应该被教育、激励、和授权来保持公司的安全。在大多数网络攻击涉及到人为因素的世界里，员工需要知道他们是最后一道防线，他们有能力阻止网络攻击。

    你的安全意识计划不再是你一年检查几次的盒子。随着像CMCC这样的新的合规程序的出现，你需要表明你的安全态势正随着时间而成熟，每个月教育员工。下述是运行有效的安全意识计划你能够做到的事情：

清晰沟通安全意识培训的目的

    很明显，单独给每个员工进行安全意识培训，比对一群人演讲或会议室里会议更有效，而且，在目前很多远程工作的环境，集体培训也不大可能。但在员工接受钓鱼测试和开始在线安全意识课程之前，你需要给员工可能在收件箱看到的内容有一个大致的暗示。那并不是说，破坏钓鱼测试带来的惊讶，而是员工应该：

1. 了解安全意识培训和钓鱼测试背后的“为什么”。
2. 知道这不是“老大哥“的监控手段，而是主动的事情。

    除了安全意识培训原因背后正确的背景说明，培训本身应该和员工关联起来，应该感觉好像培训是专门为他们所写，而不是其他安全专家，其他的群体等。

在组织内发现安全冠军

    安全文化成长的最好方式是有一个安全冠军和来自IT外部的支持者。也许一开始有些挫折，但员工更可能严肃地采纳来自同行的建议，而不是IT部门。学会使用它变成你的优势。

    找到善于跨部门沟通的人，让他们发布关于培训的声明。此外，从HR部门获取帮助，以清晰、简洁的方式简化信息发布。毕竟，在整个公司范围内支持一项事业是一个人力问题，不是技术问题。

对员工网络钓鱼

    Hook Security推荐两个主要关键点保证培训成功，定期发现风险，在他们最可能记住这些信息的时候培训员工，钓鱼测试能完成这两个目标。

    钓鱼测试允许你给员工发送模拟钓鱼邮件，测试他们发现收件箱钓鱼邮件的能力。加上好的报告，允许你发现组织内的风险，随着时间推移跟踪成功。此外，我们提供“违规点培训“-在他们点击钓鱼测试邮件时提供培训。这给了你做下列两件事的能力：

• 在员工认识到犯错的同时，培训员工，使培训非常具有关联性。
• 快速和有效的培训员工，允许他们回到正常的工作

    根据那些实际报告可疑邮件，跟踪钓鱼测试失败，你可以非常好地了解，你处在降低风险的旅程中什么位置。钓鱼测试是展示安全意识培训计划成绩重要方法，作为网络钓鱼有关KPI的替换方案，将跟踪没有发生的事情（数据泄露，钓鱼攻击）而不是实际可跟踪结果。

个性化

    我们作为安全专家，都是对网络安全充满热情和深入了解的人。你的员工两者都不是，这是培训时要记住的重要一点。如果你假设员工会自动关心安全，那你错了，你需要个性化培训。

该如何做到？

    当安全意识培训的时候，你必须首先假设没人会关注。这允许你在员工的安全旅程中遇到他们，引起他们关注。

    此外，整个安全意识培训应该定位为积极的经历。就像我前边提到的，帮助他们了解培训背后的原因，这不是一个基于惩罚的体验。员工应该犹豫去点击可疑邮件，不是因为害怕解雇，而是为保证每个人的安全。

引人入胜

    为保证培训贴近员工，你的安全意识培训应该很投入，不是迁就，常常带些幽默。通过对比复杂安全话题和日常工作情况，达到员工参与的目的。借助影响很大的安全入侵新闻故事，解释其如何发生或最有效手法，给你的员工个人安全的技巧。

    当他们了解安全如何影响他们的个人生活，员工更可能严肃对待安全。看员工如何练习良好的密码，修改他们wifi密码，更新个人设备上的软件。

    最后，心理安全的一个重要支柱是讲故事。有趣的故事讲述把PPT展示甩开几条街。人们不会记住事实和技巧，但他们会记住故事和感觉。

自上到下的支持

    这对任何公司范围内的倡议都非常重要，但对安全意识培训更重要。从公司领导取得支持，其重要性体现在以下方面：

    如果他们没有严肃对待这件事，公司的其他人也会如此。管理层应该收到模拟钓鱼邮件，因为他们是最大的目标，常常是黑客最为关注的公司对象。

    文化由顶层创造。鼓励你的管理层验证计划和实践积极的安全行为。其他员工会看到安全意识能得到表扬，也会跟进。

    04  如何生成安全意识文化

    我们都知道安全重要，如果你问公司员工，他们可能会非常同意保证公司安全的重要性。

    这个观点有多深入？对他们重要吗？他们下意识的行为反映了其观点了吗？

     当谈到公司的网络安全，我们常常从工具、流程、策略开始。一旦我们认识到我们的员工是最大的安全弱点，我们开始寄希望培训和安全意识。这很棒！但我们需要解决的是如何使“安全意识“有效果，推动公司前进。我们无法把意识和文化及习惯绑到一起。例如，我明知道黄灯意味着”减速“，但我的习惯正好相反。我们要制作灯。

    先把奇怪的比喻放一边，公司的希望还在，而安全意识培训文化是避免入侵的关键，可以实现的原因是：

     首先，你应该了解文化不是你命令、指导、或强制的事物，文化不是规章制度。

    制度-员工被告知去做什么

    文化-他们实际的表现

    文化的改变发生在潜意识的层面，如果你能触及人们的潜意识，你能改变他们的行为。这是为什么员工的安全意识很重要。

    我们聚焦一些。

     为什么人是安全中的最大弱点？

    因为人类不是天生就能识别威胁。即使他们想保证公司安全。每个人都容易受到钓鱼攻击、社交工程和被技术操控。这很可怕，自然的趋势是把钓鱼的恐惧暴露在员工的面前来教会他们，但这个方法是消极的。

为什么老式的培训模型不再有效

    老式的培训不再那么有效。威胁形式比以往变化得更快，因为技术，人们学习、思考和行为完全不同。

    老式培训模型：

• 一次涵盖过多内容
• 时间长
• 破坏性
• 和认知接受过程不一致

    可以使用很多形式，不只是传统会议室里的几个小时的培训。如果培训是入侵性的，灌输恐惧，或者希望马上解决每件事，对积极的安全文化没有任何贡献。

如何在组织内推广积极安全文化

    积极是我们发现对文化贡献的最有效方法。恐吓某个人养成习惯，和鼓励激励他做同样的事一样有效。

    你需要做四件事情推广积极文化：

• 培训每个人-文化由上至下
• 预料错误-错误难以避免，如果对待他们才是关键
• 设置目标-鼓励员工和跟踪成绩
• 不要惩罚犯错-如果你认为自己会被解雇，还会报告钓鱼邮件吗？

    现在，我们已经有一个积极安全文化的基础，如何改变培训方式？

新的培训模型：心理安全培训

• 1-2关键步骤：不要把每件事情都打包在一个视频或培训体验中，我们只关注1-2件员工能够完全理解和关心的事情。
• 定期培训：保持短时培训。我们培训的的目标长度是少于两分钟，最好是90秒。如果你有1个要点，应该在这个期间内引起共鸣。
• 在熟悉的环境中培训：员工能够在他们正常的工作环境中，快速完成培训。培训应该有助于生产力，而不是杀死它。
• 讲述故事和使用幽默：这是我们的面包和黄油。我们使用“娱乐式教育“视频来培训。在教学时刻开始之前，员工得到一笑，驱散了紧张，得到娱乐。心理学上，这可以打开头脑，准备接受信息。

     相对于老式的安全意识培训，这是一个巨大的转变。从网络安全钓鱼测试，到培训资料本身，我们都抛弃保护现状的旧思维模式。

    关注人而不是关注信息，已经导致我们发现所思考变成一个完全新的领域：心理安全。

    通过这种新的思维转变，我们能够从新开始，在人和他们的大脑中打造我们的培训经历。这是改变文化的关键，改变思想。

    你的员工能通过培训，避免被技术操控（盲目依靠技术）。员工不仅因为发现钓鱼攻击的特征，自然地保持公司安全，而且因为新的安全意识文化提供的积极、娱乐价值和幽默，很高兴保证你的安全。

    人们很激动能发现和报告真实的钓鱼邮件。

    05  安全意识培训的最佳方法

安全意识培训的最佳方法

    安全意识培训不是一成不变，有效培训和培训本身一样重要。像我们以前提到的那样，多年来培训模型已经固化成这样：

• 一次覆盖过多内容
• 时间长
• 破坏性
• 和认知接受过程不一致

每年培训还不够

    因为大多数合规标准，培训常常应付每年的检查要求。因此传统的培训一年一次，希望一次搞定。

    但在会议室花费几个小时或远程会议不是有效的培训方式。

    员工常常请假，幸运的是，期望员工记住扔给他们的每件事不现实。还不如交代几个关键步骤，他们就可以离开。

    我们培训的方式也在进步，越来越好。为了更有效，安全意识培训必须定期举行。

如何做安全培训

• 在熟悉环境中培训

    员工应该在他们正常的工作环境中快速完成培训。培训应该对生产力有贡献，而不是杀死生产力。

• 使用相关内容

    如果培训内容没有感觉像“专为受众设计”，他们不可能接受和记住信息，避免使用过于技术性的术语和方式，使用卡通和动画。使用真实生活中的例子，把用户当成人来沟通。

• 定期培训

    在钓鱼测试和培训之间，如果做不到一个月多次的话，至少每月你应该和用户沟通。通过特征识别来形成习惯。如果你想有效培训，就得定期培训。

• 深入学习

    一些最重要的安全内容最难掌握，如勒索软件、钓鱼和其他恶意软件。把这些资料分解成例子，进行对比，以便员工可以理解。

• 通过视频和交互体验来学习

    奇怪的是，员工不想听你讲几个小时的安全。使用视频培训和交互式的内容是与员工沟通的好方法。测试和评估有助于维系和跟踪员工。

• 衡量和报告

    为了最大化意识培训计划的效果，随着时间跟踪效果很重要。你能根据仪表盘和报告跟踪你的计划。你能通过持续发送钓鱼测试，监控他们的成绩来衡量你的员工。

    06 在家办公的安全意识培训

    新冠疫情改变了大多数公司的工作方式。几百万人第一次在家里办公，公司也在努力更快地适应。

    在家办公带来各种新的工作挑战：看护孩子、避免分心、和同事协作、考虑新技术等，可以说出很多。

     然而，当我们都回家办公，网络罪犯不会停止。事实上，他们改变了他们的游戏。因为在解决远程办公的忙乱中，安全没有出现在很多公司的高优先级事务清单上，即使简单的技术任务，如重设密码和解决WiFi问题，员工没有随时可用的IT人员帮忙。

     那么，对安全意识有什么影响呢？

    确实，情况不理想，因为忙于远程办公，人们的防护措施大大降低。

     但当我们无法有人解决员工的技术问题，我们能使用知识武装他们，度过这段时间。

     除了定期安全意识培训，在员工完成日常IT任务时，提供教育，像更新固件和正确锁住设备。

     培训可以采用某种形式的视频会议或视频培训，包括员工应该遵守的检查清单。

    随着新的威胁发展，每个月持续测试你的终端用户。和员工一起战斗，让他们知道如何保护自己，免于钓鱼和其他网络攻击。

    最后，和员工分享个人安全技巧。共享关于公共wifi的技巧、信用卡欺骗、他们的银行密码等。当员工了解安全影响他们的个人生活，他们会更可能接受信息，并用于到日常工作中。

    07  安全意识培训大纲

• 钓鱼

    学习如何发现和避免电子邮件攻击

• 恶意软件

    了解恶意软件，如何把他们拒之系统之外

• 社交工程

    黑客如何使用操纵和诡计达到欺骗的目的

• 移动安全

    如何保护你的电话和其他移动设备安全

• 电信钓鱼和诈骗（Vishing@Scams）

    如何意识到一个电话实际上是骗子或黑客

• Web安全浏览

    如何安全使用互联网，保护你的敏感数据

• 勒索软件

    学习勒索软件和其他恶意软件在对你公司的后果

• 可移动介质

    如何正确使用可移动介质，避免数据被盗/损失

• 事件响应

    学习何时及如何报告可疑活动

• 物理安全

    保护办公室，桌面，其他物理项目安全

• 密码

    学习如何生成强壮密码，如何正确使用密码

• 远程工作

    了解远程工作如何引入风险，如何安全地适应远程工作

    08 开始安全意识培训

     识别风险、生成意识，保护业务。

     使用我们简单易用的平台，启动、衡量和自动化你的钓鱼测试和安全意识培训计划。

• 安全意识培训

    让员工非常了解网络钓鱼，垃圾邮件、恶意软件、社交工程、物理安全等，给他们在工作场所中发现和响应威胁的能力。

• 自动化钓鱼测试

    每个月我们生成新的钓鱼测试，伴以配合网络钓鱼的有关培训视频。

• 心理安全

    心理安全，使用幽默、重复、积极的方法，利用神经科学最新的研究成果，训练大脑关于威胁识别和响应的部位。

• 有可操作性见解的报告

    我们比市场上任何公司都提供更多报告数据，在你和员工之间，促进积极的安全讨论。

（完）