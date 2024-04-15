《IBM X-Force Threat Intelligence Index 报告》最新研究结果显示，攻击者的攻击策略正发生显著转变。相较于传统黑客攻击手段，犯罪分子利用合法凭据渗透系统的攻击行为激增 71%。信息窃取工具的使用率更是飙升 266%，凸显其在获取这类凭据过程中的核心作用。他们的目标很简单：利用阻力最小的路径（通常是通过毫无防备的员工）获取合法凭据。
各组织已投入数百万资金研发并应用前沿技术以强化自身针对这类威胁的防护体系，而且不少组织还开展了网络安全宣传培训活动。可既然如此，我们为何依旧无法有效拦截这类攻击呢？
如今，大多数网络安全意识培训计划都会向员工普及必备知识，包括数据处理规范、《通用数据保护条例》相关要求，以及钓鱼攻击等常见威胁的防范要点。
但这种方法有一大弱点：培训计划没有考虑人类行为。这类培训计划通常采用“一刀切”的通用模式：员工需每年完成一次标准化的线上培训，内容多为制作精美的动画演示，辅以简短的在线测试。
尽管这类培训能传递必要的知识，但由于培训过程仓促且缺乏个人相关性，员工往往在短短 4 至 6 个月内就会遗忘所学内容。Daniel Kahneman 的人类认知理论可以解释这一点。根据该理论，每个人都有一个快速、自动和直观的思维过程，称为系统 1。人们还有一个缓慢的、深思熟虑的分析性思维过程，称为系统 2。
传统的安全意识计划主要针对系统 2，因为信息需要理性处理。然而，若缺乏足够的动机、重复和个人相关性，信息通常会左耳朵进右耳朵出。
人类近 95% 的思维和决策是由系统 1 控制的，这是我们的习惯性思维方式。人类每天要面对数千项任务和各类外部刺激，大量信息处理都是通过固有偏见与启发式思维自动、无意识地完成的。普通员工的日常工作多处于惯性模式，若要让网络安全相关问题与风险真正融入其日常决策，就必须设计并构建能够精准契合员工直觉工作方式的培训体系。
要理解人类行为模式并找到行为改变的有效路径，需基于 COM-B 行为改变轮框架，评估并衡量若干核心因素。
理解并评估这三个领域后，我们就能精准指出行为改变的领域，并设计针对员工直觉行为的干预措施。归根结底，这套方法能够帮助组织培养具备高度网络安全意识的员工队伍，进而构建起第一道安全防线。
一旦明确了行为问题的根本原因，工作重心自然会转向安全文化建设。如今网络安全文化面临的核心挑战在于，其构建基础往往是对犯错与违规行为的恐惧。这种心态通常会让员工对网络安全产生负面认知，导致培训完成率偏低，且责任追究流于形式。我们亟需转变这种模式，但具体该如何实现呢？
首先且最为关键的是，我们必须重新审视现有举措的实施思路，摒弃单纯以安全意识普及和合规要求为导向的模式。尽管安全意识培训依然至关重要且不应被忽视，但我们需丰富教育手段以培育更积极的安全文化。除了面向全组织的通用性培训外，还应推行岗位定制化培训，融入体验式学习与游戏化元素，例如 IBM X-Force 推出的沉浸式网络靶场。此外，全组织范围的专项活动可进一步强化积极安全文化的理念，例如建立网络安全先锋团队、举办包含多元活动的安全意识月等。
一旦选定并实施这些举措以培育积极且稳固的网络安全文化，就必须获得组织各层级的全力支持，上至高层管理者，下至基层员工。唯有传递统一且积极的核心理念，才能真正实现组织内部安全文化的根本性转变。
在明确了行为层面的核心挑战并实施旨在培育积极安全文化的相关举措后，下一步需建立成效评估的指标与参数。要衡量该举措的实际效能，我们必须解答一个根本性问题：对于由人为失误引发的网络安全事件风险，我们的缓解成效究竟达到了何种程度？因此，建立一套能够全面衡量风险降低幅度与举措整体成效的指标体系，至关重要。
传统上，组织多依赖钓鱼邮件模拟测试、安全技能熟练度考核等方式评估成效，但结果往往参差不齐。如今，一种前沿方法是风险量化，即针对特定场景下的人为风险赋予明确财务价值的评估方式。将这类指标整合到安全文化项目中，能够帮助我们精准评估项目成效，并实现长期持续优化。
不断变化的网络安全态势需要采取全面的方法来解决关键的人为因素。组织需要在领导参与和创新举措的支持下，培养积极的网络安全文化。这一点需结合有效的评估指标落地，通过量化进展来彰显其实际价值。
IBM 提供一系列专业服务，助力客户将安全项目的核心从单纯的意识普及转向对员工行为的深度优化。我们能够协助：评估组织现有干预措施，结合员工的内在动机与工作习惯进行定制化调整；通过赋能每位员工成为网络安全的主动守护者，构建具备强韧性的第一道防线，从容抵御各类新兴威胁。
