前言
在数字化时代,网络安全已经成为每个企业和个人必须面对的挑战。近日,SANS Institute 发布了其年度 《2024年SANS安全意识报告》,为企业提供了一个全面的视角,以理解和改进企业对网络安全威胁的防御措施,易念科技带您解读~
此版安全意识报告有来自全球70多个国家的1000多名安全意识从业者参与。
01
安全意识成熟度模型
2011年,通过 200 多名意识官员的协调努力,建立了安全意识成熟度模型,使组织能够确定其安全意识计划的当前成熟度水平,并确定改进路径。
共有五个层次,依次递进:不存在安全意识计划——以合规为中心——提高认识和改变行为——长期维持和文化变革——战略指标框架
调研发现2024年的情况中,处于三四阶段的组织相对较多,已经建成战略指标框架的组织仍然相对较少。
02
最受关注的三大人为风险?
2024年最受关注的三大人为风险:社会工程攻击、密码/身份认证、人为检测/报告
如果安全意识计划最终是关于管理人为风险的,那么2024年大家最关心哪些人为风险呢?89%的人特别担心社会工程学攻击(如网络钓鱼、短信诈骗和语音诈骗),这是组织最关注的风险。随着人工智能(AI)的发展,定制化的社会工程学攻击变得更加容易,这对组织构成了新的挑战;其次是身份验证问题,如何验证和管理自己的密码;第三则是人为检测报告可疑事件的风险,这一点则跟企业安全文化密切相关。
03
安全意识发展的头号挑战是什么?
2024年安全意识发展的头号挑战:缺乏必要的时间和人力
意识到相关的风险后,建立有效安全意识计划中也面临一些挑战。今年调查发现头号挑战是缺乏时间和人力,41% 的组织缺少时间,37% 的组织缺少专业人员。从业者有太多事情要做,而资源太少,缺乏专业的安全意识团队成为制约安全意识发展的重要难题。
04
安全意识团队规模多大合适?
安全意识团队的规模:至少需要 1.8 FTE的共同努力才能有效地改变安全意识行为
*FTE是指将75%或更多时间用于安全意识的个人
今年的调查发现,安全意识团队的规模与计划成熟度之间存在很强的相关性:安全意识团队越大,安全意识计划成熟度水平就越高。
经过调研发现,为了产生影响,大多数项目至少需要 1.8 FTE的共同努力才能有效地改变行为,这意味着至少有1.8人将 75% 以上的时间用于该项目。平均而言,最成熟的安全意识项目至少需要4名全职员工专门负责或帮助管理该项目。在过去的五年中,不变的调研结果是:致力于或致力于安全项目的人越多,这个项目就越成熟。
网络安全意识不仅仅是遵守规定,更是一种文化。通过投资于人,组织可以有效地管理风险,并建立起一种强大的安全文化。《2024年SANS安全意识报告》为企业提供了宝贵的洞见和工具,网络安全意识教育仍在路上。
报告部分摘要
报告此外还包括其他部分,旨在帮助组织更好地管理风险并推动强大的安全文化:
1.意识计划的成熟度与安全意识团队的规模成正比
至少需要1.8名全职员工来有效改变员工行为。
至少需要4.2名全职员工来嵌入强大的安全文化和战略性指标框架。
2.探讨如何根据基准测试结果来发展和成熟安全意识计划
报告针对不同的测试结果阶段,还提供了不同的解决方案:
**倘若您的组织尚未开展安全意识教育,**进入下一阶段的步骤为:
确定必须遵守的法规或标准
确定这些法规、标准中对安全意识的要求
选择受训人员范围,以确定安全意识培训需求
开发或购买符合这些要求的培训,并实际部署
跟踪并记录人员完成培训的情况
**倘若您**的组织**已经形成网络安全文化,**进入最终阶段的步骤为:
创建一个度量指标仪表板,将不同成熟度级别的所有信息/度量合并在一起
确定领导层的战略优先事项并与之保持一致
识别并与任何关键战略安全框架或模型保持一致
3.提供具体步骤,帮助读者如何向领导层提出增加团队规模的建议
(1)与领导层(或者和您的网络安全团队)谈论网络安全的风险
(2)展示技术安全和以人为本的安全之间的投资差距
(3)分解增加团队规模的步骤和需求
(4)暂时利用生成式人工智能代替
(5)和其他部门合作发展伙伴关系
参考文献:SANS 2024 Security Awareness Report——Embeddinga Strong Security Culture
学习漏洞挖掘技巧和方法
学习漏洞挖掘需要了解一些常用的技巧和方法,如 Fuzzing、代码审计、反向工程、漏洞利用等。这些技巧和方法能够帮助挖掘者更快速地发现漏洞,并且深入理解漏洞的原理和利用方式。例如,Fuzzing 可以帮助挖掘者通过自动生成大量的输入数据,来测试程序是否存在漏洞,代码审计可以帮助挖掘者通过分析代码来发现漏洞等。
总的来说,学习漏洞挖掘需要综合掌握多方面的知识,包括编程、计算机基础知识、安全基础知识、漏洞挖掘工具以及漏洞挖掘技巧和方法。建议先从基础知识入手,逐步深入学习,不断实践,并在实践中发现和解决问题,才能逐渐成为一名优秀的漏洞挖掘者
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取