企业如何缓解网络攻击

2019年是有史以来网络攻击最糟糕的年份之一 -没有组织是安全的：从工党到英国航空公司，都没有阻止过不懈攻击的网络犯罪分子。战争没有任何缓和的迹象：数据泄露事件大量增加了54％，在许多情况下，后果是可怕的。您在媒体上读到的只是冰山一角，而让很多人质疑为什么像Yahoo，Walmart和Yahoo这样的大公司，拥有如此庞大的资金以及庞大的IT和安全预算，不能保护其网络？

问题不在于技术。公司必然会在正确的技术基础架构解决方案上投入大量资金，IT公司也在不断创新，以努力保持最新攻击的领先地位。但是，使用技术来解决问题只是整个解决方案的一部分，许多企业现在发现技术才走得很远。他们只需要安全就可以了。

人为错误
一个公认的事实是，所有违规行为中有90％是人为错误造成的，这意味着世界上最好的技术解决方案无法单独保护您的IT基础架构。只需轻描淡写地点击网络钓鱼电子邮件，就可以破坏甚至最复杂，技术最可靠的系统。努力工作的IT部门将同意，他们的最大挑战之一是网络用户。今天，这是组织需要将问题转化为解决方案的地方：通过对网络用户进行网络安全方面的培训和教育并构建“人类防火墙”，使其最大的弱点得以发挥。

网络犯罪分子利用的最常见漏洞始于企业电子邮件妥协（BEC）和电子邮件帐户妥协（EAC），自2016年以来，攻击已使全球组织损失超过260亿美元（FBI报告）。罪魁祸首以仿冒电子邮件的形式出现，看起来像它们来自熟悉或可信任的来源。

网络安全意识培训
企业应对这些漏洞所需采取的最重要步骤是网络安全意识培训。对于许多组织来说，这是事后的想法-在马拴紧后非常要关上稳定的门-仅在公司遭受苦难之后才进行培训。其他公司仅对技术人员进行培训，因为他们错误地将网络安全性作为IT部门的唯一责任，并且错过了问题的真正根源–一线员工。

公司需要改变其企业思维方式，并将网络安全不是IT问题，而是实际业务问题。无论组织大小，每个组织内的每个员工都应接受网络安全培训，以了解如何发现风险并采取措施。这应该在您公司的员工手册中，并且应该对公司政策进行调整以确保员工认真对待这些威胁。他们应该知道后果和含义。此外，培训应水平和垂直进行。网络罪犯并不关心他所针对的员工级别或所处的部门。每台计算机，每台通信设备都是向罪犯敞开的大门，而此时，未经培训的员工不仅在打开门，而且还在为打开门提供支持，并邀请他们进入。

采取此类步骤可为组织内部乃至最终的“人员防火墙”奠定网络安全意识文化的基础。为了维持这一点，所有培训都需要持续进行：员工来去不断，威胁不断变化。解决当今网络威胁的圣杯是通过连续的实时培训，其中设置了IT部门，以跨部门随机运行模拟网络攻击，并可以监视员工对假冒攻击的响应方式。最好的网络使员工只需触摸一下按钮，就可以自动将任何奇怪或可疑的活动通知IT部门，从而有效地隔离了攻击。

人类防火墙
人用防火墙将使许多企业保持活力，保护它们免受威胁，并最终为其提供强大的竞争优势。这是教育和技术工具正确结合的结果。对于任何企业来说，这都是最便捷，最有效的保护措施。所有组织都需要认识到网络安全并确定其优先级，并为其风险承担责任。网络安全绝不应被视为仅是IT问题，而应视为真正的业务风险。

不应有任何借口：这些工具和平台随时可用，并且易于实施和使用。与昂贵的企业软件解决方案相比，它们易于部署且成本大大降低。企业可能会过分考虑安全性。他们需要回到基础上，并通过将工作人员作为第一道防线来正确地做到这一点。