檢查與清單:網路風險不僅僅是技術問題

對我來說,我已經到了人生的某個階段,需要做一個醫療程序,而這是我拖延了好幾年的事情。雖然承認這件事可能不太舒適,但上個星期,我做了大腸鏡檢查。

這樣的開場方式可能不是一般網路安全部落格會有的,但請聽我說說這個吧!

坦白說,這次的經歷確實有些尷尬,還帶點噁心,但其中包含了需要信任、準備和透明度的時刻。在這40小時的禁食、文書工作,以及我個人的謙遜或脆弱之間,我開始意識到,這大致上就是在網路安全中管理人員風險的感覺。

準備是成功的關鍵之一。 

說實話,最具挑戰性的部分不是過程,而是準備,或者說他們所稱的 Suprep。需要進行二十四小時的清液飲食,再加上重劑量的瀉藥,這些瀉藥包含硫酸鈉、硫酸鉀和硫酸鎂的口服溶液,這樣的準備要求你必須隨時待在廁所附近。 

我知道這樣說可能會讓人覺得奇怪,不過這聽起來有沒有很熟悉呢?

在網路安全領域,真正的工作經常是在事件發生之前進行的。我們需要為颶風做好準備,否則我們可能會失去房子。我們需要為考試做好準備,否則會失敗而無法通過課程。我們需要為許多事情做好準備,但也有一些事情是我們無法預見的,例如全面的網路攻擊。或者說,我們真的無法嗎?

當我們觀察到由於未打補丁系統、零天漏洞、憑證填充,或是使用者成為釣魚攻擊或標的釣魚攻擊的受害者,造成的成功網路攻擊時,我們不再僅僅談論安全意識訓練,而是要關注人員風險管理(HRM)以及建立強大的網路安全文化計畫。在建立強大的人員風險管理計畫時,這意味著要識別行為、訓練員工,並進行模擬攻擊,所有這些都是在發生資料洩漏之前進行的。

現在,讓我們回到結腸鏡檢查。

在看不見的系統中盲目信任

在進行大腸鏡檢查時,你會被施以鎮靜劑。你對正在發生的事情毫無概念。你相信醫療團隊、器材以及整個過程都在如預期般運作,並且保障你的安全。

這就是我們每天對員工的要求。我們要求他們遵循一些他們可能不完全了解的安全規範。點這個,不要點那個。使用多重驗證 (MFA),使用密碼管理器,或是舉報釣魚郵件。我們要求他們信任這個過程。

但是,如果沒有理解的信任就是一種風險。這就是人員風險管理派上用場的地方。我們必須建立一種文化,讓人們了解這些為什麼與這些什麼之間的關聯,因為這不僅僅是關於規則的問題。這關鍵在於賦權使用者並教育他們了解自己的責任。

你看不見的風險可能對你造成最大的傷害

大腸鏡檢查的目的就是要找到那些在未變嚴重之前看不出來的問題,這些問題可能需要大量的努力來修正,甚至可能導致災難性的後果。

勒索病毒、人工智慧驅動的釣魚攻擊或商業電子郵件詐騙 – 大部分威脅並不會大聲宣告它們的到來。它們會悄悄地透過疏漏的系統更新、重複使用的密碼,或是用戶點擊某個連結,在精心設計的社會工程郵件中提供憑證進入。組織可能花了太多時間在應對安全漏洞上,以至於忘了網路安全的實質應該是:主動出擊,而非被動反應。

雖然不舒服,但這是必要的。

說實話:沒有人會期待腸鏡檢查。相信我,我就是這樣的人。不過,經過90年代和2000年代因癌症治療而進行多次手術後,我對檢查或住院已經不再感到焦慮。

那次改變人生的經驗是決定它是否值得的關鍵因素。這種心態就像高管們一樣,他們可能會把網路安全視為成本中心,而把安全意識訓練視為浪費時間。這些事件可能會帶來侵入性、不便,甚至有可能讓人感到尷尬,尤其是當有人點擊了網路釣魚連結,或者當你需要告知董事會你的文化審核顯示高層有風險行為時。

但迴避讓人不舒服的對話並不會讓風險消失,反而會讓情況變得更糟。真正的韌性來自於透明度,這是醫療、網路安全及領導力共同擁有的特質。

後續跟進是你成長的地方

在手術後,醫生給了我一個清晰的後續計劃:哪些情況良好,哪些是我們需要觀察的,以及接下來該怎麼做。七年後見!

網路安全領導者也需要這麼做。

在每次釣魚測試、漏洞模擬或意識提升活動之後,請問自己或你的團隊:我們學到了什麼?我們在哪些地方做得不夠好?接下來的計畫是什麼?

這不僅僅是關於遵從性或讓最多人點擊網路釣魚評估,而是關於隨著時間提升你的風險姿態。

最後的想法

網路安全並不華麗。它常常讓人感到尷尬。不舒服。但卻是必要的。

就像大腸鏡檢查一樣。

如果你從未經歷過,你總有一天會體驗到。正如大家所說的,50歲之後人生就開始下坡了。

當你學會接受不適感、提前準備,並專注於持續改善時,你就能減少對你的系統和人員造成損害的風險。

誰知道呢?也許你下次的不舒服經歷會激發出你最強的安全策略。

覺察就像健康一樣,只有當它成為習慣,而非反應時,才能發揮作用。

如果這讓你感同身受,或是你想聊聊如何建立有韌性的風險管理計畫,歡迎跟易璽科技聯繫,只是可能不要穿著醫院的病號服。

You cannot copy content of this page