在現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全防御體系中，香港服務(wù)器，人員是最薄弱的環(huán)節(jié)，同時(shí)也是最不受重視的環(huán)節(jié)。換而言之，人員是黑客最容易突破和利用的“漏洞”，同時(shí)也是企業(yè)安全投入最少，提升最慢的短板。GoSecurity公司2020年全球企業(yè)安全調(diào)查結(jié)果直觀地反映了這個(gè)問題：

長期以來，那些手套上鑲著半打零日漏洞寶石，頭上頂著三個(gè)博士帽的的國家級(jí)黑客，被認(rèn)為是網(wǎng)絡(luò)空間最為危險(xiǎn)的物種，而企業(yè)界也熱衷于采購最先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和方案，并試圖提高安全工具集成度和自動(dòng)化水平。

但現(xiàn)實(shí)情況正如上述調(diào)查數(shù)據(jù)：最有效的網(wǎng)絡(luò)安全措施是提升員工安全意識(shí)，但員工安全意識(shí)培訓(xùn)獲得的預(yù)算最少。

這導(dǎo)致一個(gè)全球性的網(wǎng)絡(luò)安全盲區(qū)和悖論：人員漏洞是最危險(xiǎn)也最容易修復(fù)的漏洞（不需要昂貴的技術(shù)產(chǎn)品和頂尖技術(shù)人才），同時(shí)也是最難修復(fù)的漏洞（不被重視、缺乏預(yù)算）。

不難理解，聚焦最前沿網(wǎng)絡(luò)安全技術(shù)產(chǎn)品的RSAC2020網(wǎng)絡(luò)安全大會(huì)將“人的因素”作為大會(huì)主題。這為2020年網(wǎng)絡(luò)安全行業(yè)的發(fā)展主題定下基調(diào)：長期被忽視的人員安全意識(shí)和相關(guān)管理問題，已經(jīng)成為網(wǎng)絡(luò)安全行業(yè)和企業(yè)界最大的“安全債”。

2020年網(wǎng)絡(luò)犯罪最顯著的趨勢就是產(chǎn)業(yè)化和“市場化”，“云犯罪”、“犯罪即服務(wù)”、“共享犯罪”、“事件犯罪”、“精準(zhǔn)犯罪”等等，不斷拉低APT、勒索軟件、人工智能、僵尸網(wǎng)絡(luò)和BEC電子郵件等網(wǎng)絡(luò)攻擊技術(shù)門檻，讓更多善于利用“人的漏洞”的攻擊者如虎添翼，同時(shí)也讓企業(yè)網(wǎng)絡(luò)安全的短板——人員意識(shí)，面臨比過去更加復(fù)雜和危險(xiǎn)的威脅。

2020年，潛在危害性和損失最為嚴(yán)重的安全威脅（例如勒索軟件和BEC郵件攻擊）和安全事件往往都與“人員漏洞”或內(nèi)部威脅有關(guān)，從微盟刪庫到推特大規(guī)模賬戶劫持，從本田停產(chǎn)到全球超級(jí)計(jì)算機(jī)集體挖礦…疫情肆虐全球，遠(yuǎn)程辦公在未來十年將成為“新常態(tài)”，當(dāng)大批企業(yè)員工走出防火墻回到家中辦公，企業(yè)面臨的攻擊面成幾何級(jí)數(shù)放大，利用人的漏洞發(fā)起的網(wǎng)絡(luò)攻擊能夠輕易地癱瘓一家跨國公司的全球業(yè)務(wù)。

據(jù)華爾街日?qǐng)?bào)報(bào)道，70%的企業(yè)擔(dān)心內(nèi)部人員威脅。

員工仍然是網(wǎng)絡(luò)攻擊最大的安全威脅，但傳統(tǒng)的安全技術(shù)和措施無法有效減輕這種網(wǎng)絡(luò)威脅。

2020年，人依然是最大的漏洞。

根據(jù)今年三月份綠盟科技發(fā)布的《2019安全事件響應(yīng)觀察報(bào)告》，2019年1/3的安全事件與企業(yè)存在的安全管理疏忽或員工安全意識(shí)薄弱有關(guān)，在2019年處理的安全事件中，弱口令事件占比22%，釣魚郵件相關(guān)事件占比7%，配置不當(dāng)事件占比3%，與人和管理相關(guān)的安全事件合計(jì)占總數(shù)的1/3，安全管理薄弱、員工安全意識(shí)不足的問題最易遭到攻擊者的利用。

2020年上半年，疫情導(dǎo)致的全球化遠(yuǎn)程辦公進(jìn)一步放大了來自“人的漏洞”的威脅，市場對(duì)安全意識(shí)服務(wù)的需求也開始快速增長。在美國這個(gè)全球最大的網(wǎng)絡(luò)安全市場，網(wǎng)絡(luò)安全意識(shí)教育領(lǐng)域的獨(dú)角獸創(chuàng)業(yè)公司KnowBe4的年收入已經(jīng)超過1億美元，在2020年一季度疫情期間業(yè)務(wù)同比增長了40%。

2020年，人為錯(cuò)誤依然是數(shù)據(jù)泄露的主因。

根據(jù)Tessian的一份報(bào)告，有33％的美國和英國的員工在工作中犯下安全錯(cuò)誤，對(duì)自己或公司造成了網(wǎng)絡(luò)安全或數(shù)據(jù)安全威脅（下圖）。

報(bào)告支出，人為錯(cuò)誤已成為當(dāng)今數(shù)據(jù)泄露的主要原因，并進(jìn)一步研究了人們?yōu)槭裁捶稿e(cuò)誤以及如何在犯錯(cuò)誤之前預(yù)防：

人為錯(cuò)誤對(duì)網(wǎng)絡(luò)安全的影響

當(dāng)被問及犯了什么類型的錯(cuò)誤時(shí)，四分之一的員工承認(rèn)在工作中點(diǎn)擊了網(wǎng)絡(luò)釣魚電子郵件中的鏈接。31至40歲的員工點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件的可能性是51歲以上的員工的四倍，而男性單擊釣魚電子郵件的可能性是女性的兩倍。

47％的員工認(rèn)為分心是網(wǎng)絡(luò)釣魚詐騙得手的主要原因。緊隨其后的原因是，該電子郵件看起來逼真合法（43％），其中41％的電子郵件偽裝成來自高級(jí)管理人員或知名品牌的電子郵件。

除了點(diǎn)擊惡意鏈接外，58％的員工還承認(rèn)向錯(cuò)誤的收件人發(fā)送了工作電子郵件，其中17％的電子郵件發(fā)送給了錯(cuò)誤的外部人員。

這個(gè)簡單的錯(cuò)誤會(huì)給個(gè)人和公司造成嚴(yán)重后果，他們必須向監(jiān)管機(jī)構(gòu)及其客戶報(bào)告該事件。實(shí)際上，五分之一的受訪者表示，他們的公司由于發(fā)送錯(cuò)誤的電子郵件而失去了客戶，而12％的員工失去了工作。