提高网络安全意识与培训

关键要点

网络安全意识和培训是抵御网络攻击的重要措施。暴露于网络钓鱼和社交工程攻击的风险仍然很高，90的网络攻击起源于此。训练要具有时效性和趣味性，以增强员工的记忆与执行力。员工要了解基本的网络安全行为，包括密码管理、双重认证等。

在网络安全意识月CSAM迎来20周年之际，员工的意识与培训仍然是抵御网络攻击的有效策略。网络安全与基础设施安全局CISA发现，90的网络攻击都与网络钓鱼有关。即使意图良好的员工也可能无意间遭遇这些攻击，从而为网络犯罪分子打开进入公司网络的大门，进而进行更高级的攻击，如勒索软件攻击或侧面移动窃取重要信息、造成大规模损害。

更糟糕的是，如今的创新技术，如生成式人工智能，使得识别真实邮箱与欺诈邮箱几乎变得不可能。网络犯罪分子正通过更复杂的策略提升其攻击效率，因此组织需要加倍努力增强员工的网络安全意识和培训。

水母加速器app

现代化的网络安全意识培训

很多时候，组织会专注于使用技术手段防御最新的威胁，但没有任何产品能够解决人的因素。因此，那些尚未建立正式的网络安全意识和培训计划的组织，应优先考虑尽快实施。

对于已建立相关计划的组织而言，CSAM 是重新评估策略的绝佳时机。将意识提升和培训视为每年必须完成的例行检查只会导致效果微弱，因为许多员工可能在几周后就遗忘所学。最佳的意识和培训计划应当经常进行，以保持员工对网络安全的关注。下面是一些建议：

方法目的定期的短小培训提高记忆效果互动视频或简报使学习内容生动有趣

鼓励员工将网络安全意识和培训看作有趣、值得参与的学习机会，而不仅仅是例行公事。

确定重点领域

在意识与培训内容上，行业应让员工了解潜在威胁，并提供基本的网络安全行为以帮助保护他们及公司内部的信息安全。例如：

保持警觉：虽然人工智能使得钓鱼邮件更难发现，但员工仍应了解传统的识别技巧，如拼写错误、可疑的附件或链接，以及不合理的紧急措辞。同时，鼓励他们在阅读邮件时放慢速度，以便发现这些警示信号。密码管理：创建复杂且冗长的密码，至少包含12个字符，其中包括大写字母、小写字母、数字和特殊符号。员工应定期更新密码，并避免在多个账户间重复使用同一密码。双重认证MFA：强密码加上双重认证为保护账户提供了额外保障，即使密码被破解也很难被恶意入侵者访问。社交媒体使用：网络犯罪分子利用公开信息进行网络钓鱼和其他社交工程攻击。教导员工减少数字足迹，比如避免“签到”位置和分享照片，工作时使用企业VPN。

此外，网络犯罪分子越来越多地利用设备安全漏洞，因此安全团队应将设备安全作为意识与培训的重要组成部分。确保员工及时进行软件和固件的更新。程序更新不仅增加新功能，还修复已知漏洞。尤其是在工作时，一定要避免拖延这些更新，因为每延宕一秒，就为网络犯罪分子打开了一扇门。

其他设备安全最佳实践包括关闭WiFi和蓝牙的自动连接功能，以免意外连接到攻击者网络，并始终在下载软件或应用程序前核实来源。

最后，员工还应关注家庭网络和路由器的安全。随着家庭网络在疫情后大量承担工作网络的功能，员工需要将企业安全最佳实践带回家。例如，建议他们更改路由器的默认密码，设置访客网络，并只使用WPA2或更新的WPA3协议。也提醒员工关注那些我们常常遗忘但始终连接在背景中的“物联网设备”。

实践简单报告机制

在网络安全意识与培训过程中，组织应确保员工知道如何报告可疑的电子邮件和活动