AwareGo 的行為科學專家 Maia Bada 博士在Infosecurity?Europe 2022第 2 天的主題演講中表示，利用終端用戶行為分析來增強員工的網絡安全意識計劃對于防御網絡威脅至關重要 。

Bada 強調，據數據顯示，85% 的成功網絡攻擊是因用戶遭受網絡釣魚等社會工程攻擊而產生的。盡管如此，組織仍然傾向于過度關注技術和流程，而不是人為因素。“我們還需要識別、衡量和補救人類風險因素，”她說。

新冠疫情的發生使這個問題變得更加嚴峻，例如在不安全的網絡中工作和更多地使用個人設備。因此，加強對員工的網絡安全意識培訓至關重要。這種培訓應該對員工的行為產生長期的影響，包括態度和心態。“這是一個漫長的過程，而不是一次性的培訓，”Bada 評論道。

組織經常使用的方法是網絡釣魚模擬，但這些方法經常被使用不當，導致安全疲勞和恐懼等問題。例如，Bada 引用了一個案例，組織中的員工將所有電子郵件都視為網絡釣魚，拒絕打開或回復任何進入他們收件箱的郵件。

一個主要挑戰是評估意識培訓的有效性，并了解它在改變組織文化方面的有效性。這樣公司可以根據員工的不同關注點定制個性化的培訓計劃。例如，為不同的部門量身定制，如人力資源、財務和安全。

Bada 表示，分析顯示應該尋求提供有關四個關鍵評價指標的見解：

· 訓練前、中、后的效率

· 獲取知識、行為和文化

· 提供組織可用來改進計劃和政策的可行見解

· 它的相關性、參與性和教育性如何

Bada 說，實現這一目標的最佳方法是通過終端用戶行為分析。這可以識別諸如日常行為模式和員工弱勢群體等。

然后，她重點介紹了 AwareGo 一項針對 160 位網絡安全領導者的調查 ，向他們詢問了他們組織的意識培訓實踐。結果發現，62% 的公司正在開展意識培訓計劃。制定計劃的最大原因是合規性（72%），其次是管理層的戰略決策（58%）。令人擔憂的是，只有 13% 的受訪者提到了提高安全意識。這表明培訓通常是一項旨在履行法律和公司義務的勾選框練習。

Bada 概述說，這項研究進一步表明需要“以人為本的方法來關注超越合規性和網絡釣魚的意識”。

她總結道：“人是第一道也是最后一道防線，我們需要加強每家公司的人力防火墻。”

原標題：Focus on End-User Behaviors to Enhance Security

作者：James Coker

鏈接：https://www.infosecurity-magazine.com/news/end-user-behaviors-security/