网络安全威胁有多种形式。有黑客、入侵者、有目的的渗透者,还有只是犯了错误的员工。
无论他们是否知道,任何机构安全的最大风险都是其员工的判断失误。未能更改密码或安全地将计算机从网络上注销可能会导致政府出现重大端点漏洞。
在今天的在线培训“内部威胁——是你吗?”中,近 32% 的参与者表示,他们认为他们的组织不能很好地处理内部威胁挑战。
为了了解机构如何更好地应对潜在的内部威胁,我们听取了密西西比州信息技术服务部安全服务部主任 Jay White 和康涅狄格州 IT 安全服务 DAS/BEST 主任 David Geick 的意见。他们提出了四种策略来提高机构安全性,防止机构受到蓄意或恶意的内部威胁。
策略一:持续教育
“首先,这是为了帮助用户理解他们的行为非常重要,”怀特说。“他们必须知道错误和失误的代价是巨大的。”
这种教育通常通过正式培训进行,但并不总是有效。
盖克强调,培训必须易于理解且具有一致性。他说,康涅狄格州一直要求政府人员接受网络安全培训。然而,这些培训通常只是幻灯片形式,而且一年只举行一次。
“我们发现,人们接受了培训,但几个月后就陷入了网络钓鱼活动,”盖克说。为了提高网络教育的保留率和应用率,该州决定采用一种新模式。现在他们每隔一个月举办一次 15 分钟的模块,以提供网络安全主题的“持续复习”。他们还会在培训的同时不断提醒人们并提供安全提示。
同样,密西西比州每月为员工安排一次 5-15 分钟的互动培训,以提高保留率。
策略2:鼓励参与
怀特和盖克都表示,这一教育环节至关重要,它鼓励员工在网络安全方面发挥更积极的作用。具体来说,他们表示,应该向员工传授日常网络安全的最佳做法,通常称为“网络卫生”。
“政府工作人员操作着复杂的系统和组织,有很多信息可以用来实施社会工程攻击,”Geick 说道。“如果有人愿意点击链接并访问他们不该访问的网站,那么世界上最好的密码也不起作用。”
Geick 表示,管理层和领导层对于确保下级员工部署网络卫生策 匈牙利号码 略至关重要。White 表示同意:“我们告诉员工要保持警惕,”他说。“不要害怕询问人们是谁……不要假设大楼里的每个人都应该在那里。如果你发现组织中有人明显做错了什么,不要害怕向你的组织提出这个问题。”
在密西西比州,政府网络安全培训实际上是由员工自己决定的。安全服务部门负责提供教育,但他们依靠来自各个部门的利益相关者组成的咨询委员会来制定课程。这种设置确保政府雇员的真正需求被纳入网络安全计划。
策略 3:尽可能实现自动化
然而,即使是最好的政策和教育也可能出错。 Geick 指出,我们经常看到内部威胁发生的原因是员工使用的系统复杂,可能超出了他们对 IT 的理解。在这种情况下,能够快速检测和阻止滥用的自动化解决方案对于保护他们使用的系统是必不可少的。
Geick 建议:“尽可能减少用户的信息泄露。”使用多重身份验证或夜间自动关闭个人系统等策略可以最大限度地减轻雇主保护信息安全的负担。
“你可以跟进犯错的人,并提供建设性的帮助,但你真的必须在这一点上取得平衡,并在可能的情况下使用工具来自动化预防过程,”怀特同意道。
策略#4:监控行为
最后,我们的专家建议利用分析技术来监控政府网络。这有助于解决内部威胁的最大挑战:识别和反应。怀特说:“我们很清楚应该采取什么样的行为,但我们不太擅长识别和应对行为变化或错误的行为。”
监控行为的第一步是了解组成网络的资产以及用户如何与这些资产交互。
White 表示,你尤其需要了解你的用户,了解他们如何破坏你的系统,以及他们为什么会危害你的系统。然后选择监控这些潜在途径的解决方案。这一点尤其重要,因为它与 IT 管理员和其他特权用户有关。“对于那些拥有王国钥匙的人,你需要知道他们如何使用他们有权访问的内容,”Geick 说。
强大的分析解决方案可以帮助监控并应对可能表明内部威胁的异常用户行为。
然而,技术解决方案只是内部威胁安全难题的一部分。White 和 Geick 最后提醒我们,你不能只选择一种策略来对抗这些问题。“由于资源持续受限,你总是试图在开发程序和开发技术之间做出选择。如果你没有程序,技术可能对你没什么用处,”Geick 说
为了有效打击机构内部的威胁,请确保部署一系列教育、文化和技术解决方案。
您喜欢 GovLoop 的政府网络安全虚拟峰会吗?不要错过我们 5 月 10 日举行的下一场虚拟峰会,主题是政府创新。在此注册。
