网络安全意识成熟度阶段,你的企业在哪个发展阶段?

前言

在数字化时代,网络安全已经成为每个企业和个人必须面对的挑战。近日,SANS Institute 发布了其年度 《2024年SANS安全意识报告》,为企业提供了一个全面的视角,以理解和改进企业对网络安全威胁的防御措施,易念科技带您解读~

此版安全意识报告有来自全球70多个国家的1000多名安全意识从业者参与。

01

安全意识成熟度模型

2011年,通过 200 多名意识官员的协调努力,建立了安全意识成熟度模型,使组织能够确定其安全意识计划的当前成熟度水平,并确定改进路径。

图片

共有五个层次,依次递进:不存在安全意识计划——以合规为中心——提高认识和改变行为——长期维持和文化变革——战略指标框架

调研发现2024年的情况中,处于三四阶段的组织相对较多,已经建成战略指标框架的组织仍然相对较少。

02

最受关注的三大人为风险?

2024年最受关注的三大人为风险:社会工程攻击、密码/身份认证、人为检测/报告

图片

如果安全意识计划最终是关于管理人为风险的,那么2024年大家最关心哪些人为风险呢?89%的人特别担心社会工程学攻击(如网络钓鱼、短信诈骗和语音诈骗),这是组织最关注的风险。随着人工智能(AI)的发展,定制化的社会工程学攻击变得更加容易,这对组织构成了新的挑战;其次是身份验证问题,如何验证和管理自己的密码;第三则是人为检测报告可疑事件的风险,这一点则跟企业安全文化密切相关。

03

安全意识发展的头号挑战是什么?

2024年安全意识发展的头号挑战:缺乏必要的时间和人力

图片

意识到相关的风险后,建立有效安全意识计划中也面临一些挑战。今年调查发现头号挑战是缺乏时间和人力,41% 的组织缺少时间,37% 的组织缺少专业人员。从业者有太多事情要做,而资源太少,缺乏专业的安全意识团队成为制约安全意识发展的重要难题。

04

安全意识团队规模多大合适?

安全意识团队的规模:至少需要 1.8 FTE的共同努力才能有效地改变安全意识行为

图片

*FTE是指将75%或更多时间用于安全意识的个人

今年的调查发现,安全意识团队的规模与计划成熟度之间存在很强的相关性:安全意识团队越大,安全意识计划成熟度水平就越高

经过调研发现,为了产生影响,大多数项目至少需要 1.8 FTE的共同努力才能有效地改变行为,这意味着至少有1.8人将 75% 以上的时间用于该项目。平均而言,最成熟的安全意识项目至少需要4名全职员工专门负责或帮助管理该项目。在过去的五年中,不变的调研结果是:致力于或致力于安全项目的人越多,这个项目就越成熟。

网络安全意识不仅仅是遵守规定,更是一种文化。通过投资于人,组织可以有效地管理风险,并建立起一种强大的安全文化。《2024年SANS安全意识报告》为企业提供了宝贵的洞见和工具,网络安全意识教育仍在路上。

报告部分摘要

报告此外还包括其他部分,旨在帮助组织更好地管理风险并推动强大的安全文化:

1.意识计划的成熟度与安全意识团队的规模成正比

至少需要1.8名全职员工来有效改变员工行为。

至少需要4.2名全职员工来嵌入强大的安全文化和战略性指标框架。

2.探讨如何根据基准测试结果来发展和成熟安全意识计划

报告针对不同的测试结果阶段,还提供了不同的解决方案:

**倘若您的组织尚未开展安全意识教育,**进入下一阶段的步骤为:

确定必须遵守的法规或标准

确定这些法规、标准中对安全意识的要求

选择受训人员范围,以确定安全意识培训需求

开发或购买符合这些要求的培训,并实际部署

跟踪并记录人员完成培训的情况

**倘若您**的组织**已经形成网络安全文化,**进入最终阶段的步骤为:

创建一个度量指标仪表板,将不同成熟度级别的所有信息/度量合并在一起

确定领导层的战略优先事项并与之保持一致

识别并与任何关键战略安全框架或模型保持一致

3.提供具体步骤,帮助读者如何向领导层提出增加团队规模的建议

(1)与领导层(或者和您的网络安全团队)谈论网络安全的风险

(2)展示技术安全和以人为本的安全之间的投资差距

(3)分解增加团队规模的步骤和需求

(4)暂时利用生成式人工智能代替

(5)和其他部门合作发展伙伴关系

参考文献:SANS 2024 Security Awareness Report——Embeddinga Strong Security Culture

学习漏洞挖掘技巧和方法

学习漏洞挖掘需要了解一些常用的技巧和方法,如 Fuzzing、代码审计、反向工程、漏洞利用等。这些技巧和方法能够帮助挖掘者更快速地发现漏洞,并且深入理解漏洞的原理和利用方式。例如,Fuzzing 可以帮助挖掘者通过自动生成大量的输入数据,来测试程序是否存在漏洞,代码审计可以帮助挖掘者通过分析代码来发现漏洞等。

总的来说,学习漏洞挖掘需要综合掌握多方面的知识,包括编程、计算机基础知识、安全基础知识、漏洞挖掘工具以及漏洞挖掘技巧和方法。建议先从基础知识入手,逐步深入学习,不断实践,并在实践中发现和解决问题,才能逐渐成为一名优秀的漏洞挖掘者

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!

4.护网行动资料

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止和谐,可以扫描获取~

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值