概括。   雅虎研究了员工对模拟的反应,以更好地了解如何让他们认真对待网络安全。为了做出有意义的改变,管理者应该采取三个关键步骤。首先,他们必须识别关键的员工行为。二、管理者…更多的

告诉你的员工他们应该做一些事情并不足以激发有意义的改变。问问曾经看过网络安全意识视频的任何员工。虽然视频指导员工注意数据安全,但它们很少导致公司安全行为的全面改善。为了改善您的网络安全文化,并最终改善您的企业对攻击的抵抗力,您必须衡量人们在无人注意时的行为。

去年年底,麻省理工学院斯隆研究小组 (CAMS) 的网络安全开始与雅虎的安全组织(绰号偏执狂)合作,以了解他们如何应用管理机制来影响公司的网络安全文化。Paranoids 的 Proactive Engagement 团队成功地采用了几种有趣且创新的机制,这些机制导致了更好的网络安全行为。

主动参与的模型

2018 年夏天,在对更大的安全组织进行重组的过程中,Paranoids 将两个不同的团体聚集在一起:红队(一群狡猾的黑客,对内部系统、服务、流程和人员进行攻击性测试以发现系统弱点)和公司的安全意识团队。后来,Paranoids 增加了行为工程团队,该团队专注于衡量他们认为基于 HR 数据和企业技术日志混合的良好安全行为的活动。

为了更好地了解员工如何应对网络安全威胁,行为工程团队首先区分了员工的行为、习惯和行为。他们总结说,一个行动是一个人为了完成而做的事情。例如,雅虎员工被要求参加年度安全培训课程。想要的结果,上课,是一个动作。习惯是为可重复的行为创造的捷径。例如,培训员工依赖密码管理器而不是手动更改密码会导致形成习惯。

最后,他们将行为定义为在情境、环境或刺激背景下的行为和习惯的组合。在前面的示例中,所需的安全行为不仅仅是让员工使用密码管理器。相反,目标是让员工在创建或更新帐户时使用密码管理器生成和存储凭据。

改变行为的过程

尝试改变行为意味着首先要确定所需操作的特定上下文。偏执狂称之为行为目标的创造。在创建行为目标时,行为工程团队旨在回答以下问题:“我们希望特定群组(或个人)在何种特定环境下执行特定操作?”

例如:“在生成新的单点登录密码时,我们希望所有员工生成密码并将其存储在我们公司批准的密码管理器中。” 团队定义这些目标的能力是有效衡量组织内网络安全文化方向的关键。

随着行为工程团队研究和制定行为目标,一个公式形成了。

阅读更多关于

网络安全不(只是)一个技术问题

第 1 步: 确定所需的行为目标。特定行为结果的明确目标是发生任何可衡量变化的先决条件。该目标避免了团队所说的“不可能的建议”,即要求最终用户对安全性做出定性判断的任何安全指南。

第 2 步:找到合适的度量并创建基线。为了改善公司的网络安全文化,并增强企业对攻击的抵抗力,必须衡量人们在无人注意时的行为。

第 3 步: 采取行动来影响衡量的行为,随着时间的推移调整这些行动,并重复该过程。然后设计活动以影响基线。但对于成功推动适当行为同样重要的是从这些活动的结果中学习,然后调整和创建新的活动以持续改进。

该过程成为 Proactive Engagement 团队进行的基于行为改变的实验的基石。Proactive Engagement 小组没有指示员工确定链接是否可疑,这是一种主观且有缺陷的网络安全方法,而是为员工定义了一个新的行为目标:当您的公司帐户收到一封电子邮件,将您发送到一个网站,要求您输入凭据,将电子邮件报告给我们的辩护团队。

衡量员工行为

一次又一次,在红队运营中,员工会陷入网络钓鱼电子邮件,这些电子邮件向他们提供虚假登录页面,就像欺骗当时的 DNC 主席约翰波德斯塔的助手将他的密码输入到一个被缩短的虚假登录页面掩盖的虚假登录页面一样。恶意电子邮件中的链接。

该团队研究了这个问题,并强调了三个关键措施:

易感率:输入凭据但未报告网络钓鱼电子邮件的员工人数除以发送的网络钓鱼模拟电子邮件总数。

凭据捕获率:输入凭据(且未向我们的防御团队报告链接)的员工人数除以打开网络钓鱼模拟并登陆虚假登录页面的员工人数。

报告率:报告网络钓鱼模拟的员工人数除以发送的模拟电子邮件总数。

确定了行为目标和关键措施后,该团队着手实施新​​的管理机制,以降低员工放弃证书的速度。当时,网络钓鱼模拟在每次测试中都捕获了近七分之一的员工凭据。每 10 个员工中就有一个准确地将原始模拟电子邮件报告为潜在的网络钓鱼。在查看数据后,Proactive Engagement 团队决定专注于阻止员工在网络钓鱼页面上输入他们的凭据。

解决方案已经到位。他们希望员工使用 Verizon 已经付费并提供的密码管理器。因为密码管理器只会在它识别的网站上自动填充密码,而不是用于窃取凭据的虚假密码,所以员工无需猜测。

选择架构、激励、沟通和游戏化

到 2019 年年中,该团队在其企业管理的浏览器中安装了企业密码管理器作为域检测工具,并将使用该工具成为所有员工的默认选项。该团队还为积极使用企业密码管理器提供了奖励。积极使用密码管理器的员工会收到诸如 Paranoid 品牌 T 恤、连帽衫和帽子等商品。他们还创建了操作指南视频和内容,以教育用户要查找的内容、如何识别可疑电子邮件以及如果他们看到可疑内容该怎么办。这些通信与电子邮件相结合,这些电子邮件会促使那些被网络钓鱼模拟欺骗的人阅读其他教育材料并将他们定向到公司密码管理器。

Proactive Engagement 团队通过创建仪表板来衡量进度,管理人员可以在仪表板中将公司支柱的绩效与同行的绩效进行对比。仪表板是管理人员的重要工具,因为它们创造了主动和被动竞争的环境。比赛激励员工做得更好,仪表板让管理人员可以看到他们的报告表现如何。他们还充当了 Proactive Engagement 团队和雅虎高级领导层之间的桥梁。

给管理者的可行建议

为了做出有意义的改变,管理者应该采取三个关键步骤。首先,他们必须识别关键的员工行为。Paranoids 进行的最大变革是组织变革,而非技术变革。他们对员工进行了测试,以更好地告知他们改变网络安全文化的战略。直到那时,他们才制定并实施了一项计划。

其次,管理者必须透明地衡量行为。虽然安全团队无法做出商业决策,但商业领袖可以。为了让他们做到这一点,Proactive Engagement 团队构建了仪表板,让经理们可以将他们的直接下属的行为与同行的公司支柱的行为进行对比。花椒壳-愿您平安健康