网络安全专业人员通常指责最终用户是确保组织安全的首要风险领域。在很多方面，这是可以理解的。系统和软件在我们的控制之中，但终端用户是不可预测的。他们将我们的威胁面扩大到了每个地理位置分散的用户、个人设备，以及他们可能犯下的影响我们安全的错误。

很明显，威胁行为者会以我们的用户为目标，造成现实世界中的不良后果。但同样显而易见的是，我们无法通过培训来解决这个问题。财富 100 强企业每年都会投入大量资金进行用户安全意识培训，但仍然会出现漏洞。因此，主要关注终端用户的安全并不是有效的策略。

事实：您的用户是一个主要风险因素：根据 Verizon 的《2022 年数据泄露和调查报告，35% 的勒索软件感染始于网络钓鱼电子邮件。事实：尽管多年来对安全意识培训的投资一直在积极增加，但预计这种情况仍将继续--网络安全意识培训市场 预计将从网络安全意识培训市场预计将从 2022 年的 18.549 亿美元增长到 2027 年的 121.4 亿美元，2022-2027 年的复合年增长率为 45.6%。事实：尽管有这些投资，勒索软件（仅作为攻击类型的一个例子） 预计也将积极增长尽管企业做出了许多努力，包括培训终端用户。可悲而不可避免的事实：我们的用户仍然会犯错误，毕竟我们都是人。 一项调查在我看来，这项调查证明了加强安全培训的必要性，但却无法阻止网络危机：五分之四的受访者接受过安全意识培训，但仍有 26-44% 的受访者（根据年龄段划分）继续点击来自未知发件人的链接和附件。从这些事实中，我们应该得出这样的结论：组织安全绝不能严重依赖于确保最终用户的安全，事实上，应该假设他们会被攻破，并在开始确保系统安全时考虑到这一假设。"培训和祈祷 "是行不通的。而且，归根结底，如果采用适当的安全措施并进行正确的协调，即使终端用户被入侵，也不可能造成系统性破坏。

我们是否应该培训终端用户？绝对应该。强大的安全性需要多层次的方法，这意味着要通过努力确保通往组织系统的每一个入口的安全来加强安全性。如果没有这种培训，我们很可能会看到更多的大规模漏洞。但是，我们必须开始审视我们的安全问题，以帮助消除最终用户的风险，而不是依赖他们来完成繁重的工作。对于许多组织来说，这需要做出一些艰难的选择，并得到领导层的大力支持。

如何降低用户风险？

组织必须努力阻止访问并协调安全控制。系统默认情况下过于开放；我们必须使系统默认情况下处于封闭状态，评估每个系统的风险，然后有意识地允许它们进入。用户无法点击或打开他们没有访问权限的东西，而在我们评估或修复漏洞后的组织中，我们看到员工和系统的访问权限和风险敞口远远大于工作过程中所需。企业应该在人员、流程和技术之间建立更强大的安全协调机制，这样，一旦威胁分子通过不正当的点击（或任何其他途径）获得访问权限，就可以通过控制措施阻止威胁分子的横向移动和凭据的获取/升级。以下是企业为消除终端用户风险可以采取的一些具体措施：

阻止访问个人电子邮件账户：不允许用户通过工作设备访问个人电子邮件或社交媒体网站。个人电子邮件不受企业电子邮件过滤器的保护，但却是威胁行为者的主要攻击目标；社交媒体是另一个不必要的风险因素，默认情况下应关闭。

利用深度数据包检查过滤 HTTPS 流量：超过 80% 的互联网和 90% 的指挥与控制都是加密的；如果一个组织没有对 HTTPS 出站流量进行深度包检测（大多数组织都没有），那么他们就错过了大部分互联网和大部分威胁行为者的活动--因此，防火墙和网络过滤器基本上是在做无用功！

默认情况下，在用户子网/VLAN 上阻止除 HTTP (80) 和 HTTPS (443) 以外的所有出站端口：除了浏览所需的端口外，用户不应该通过其他端口访问互联网。显然，除了 80 和 443 端口外，还有一些组织应用程序需要使用其他端口连接互联网；但是，这些端口只能在例外情况下打开，且必须具有源、端口和目标范围，并尽可能由外围控制进行严格检查。

默认情况下阻止互联网访问非用户子网/VLAN：例如，服务器、管理/行政网络和打印机网络不应通过任何端口或协议访问互联网。这些网络只能通过其上运行的应用程序所需的特定端口访问互联网。所有端口和协议都应在默认情况下被阻止，只有在应用功能需要时才有选择地允许。

要求随时检查和过滤所有用户流量，无论终端位于何处：通常情况下，当用户在家中（或咖啡厅）工作时，其流量不会受到同样强度的检查。因此，企业必须实施控制措施，强制所有用户流量通过相同的过滤和检查，无论其在哪里漫游。

无论在哪个网络中，都不能通过已知的良好凭证和 MFA 从未经批准的设备访问应用程序：如果用户不在组织批准的设备上使用正确的凭证和 MFA，就无法访问组织提供的应用程序。在内部和外部，应要求用户至少每天出示凭证和 MFA，即会话令牌的过期时间不应少于每天（最好是每天）。

除 IT 批准的文件共享系统和密码库外，禁止使用其他系统： 威胁行为者经常使用常见的文件共享系统外泄数据，而基于云的密码库则是黑客的宝库。IT 部门应选择经过安全审查和批准的系统，禁止使用所有其他系统。 这应该成为组织的运行模式："选择一种工具，阻止所有其他工具"。

开始启用安全功能（不要认为默认设置会保证您的安全）:安全工具和平台（如防火墙和端点检测与响应 (EDR)）具有许多默认设置未开启（或过于开放）的安全功能。例如，许多现代防火墙可以防止威胁行为者使用的许多方法；但是，防火墙的功能很少全部打开。它们通常默认允许所有 TCP/UDP 端口出站；然而，大多数用户只需要 TCP 80（HTTP）和 TCP 443（HTTPS）端口。威胁行为者利用这一点为自己谋利--这是另一个必须对每个系统进行评估，并根据需要有选择地、有意识地阻止或允许的例子。

EDR 工具也提供了强大的保护功能；但是，企业通常不会打开这些应用程序的所有功能，以获得最大的投资回报。此外，尽管这些公司自己的文档建议他们使用其他堆叠控制，但他们往往不会用这些解决方案来补充。

这种方法的障碍

有几个原因可以解释为什么现在的拦截和协调工作没有达到所需的水平，相反，用户却要承担主要的违规责任。首先，用户（和领导层）可能不喜欢这样做--阻止访问个人网站、限制访问喜欢的平台以及降低因过滤/检查而导致的系统访问速度，都会引起用户的不满。此外，领导层也会预料到并担心用户的不满。所需的一些工具也很昂贵。但这是一项教育工作，需要得到组织执行层的支持。

信息技术部门需要用领导者能够听到和理解的语言表达问题和解决方案。他们必须能够向领导层和董事会陈述真实的风险和失败的结果，以便分配适当的控制措施和相关成本。然后，可以自上而下地教育用户为什么必须采取这些控制措施；这样，安全意识教育就可以从 "不要点击，原因是什么 "转变为 "我们默认阻止大多数东西，原因是什么"。或者，如果在接受教育后，领导者仍然选择放弃对工具和流程进行更积极的投资，那么他们现在就可以亲自承担他们选择为组织接受的风险水平。

通常情况下，IT 团队也是人手不足、工作过度，并专注于日常业务运营。他们无法降低自己无法看到的风险，无法对自己不了解的威胁进行教育，也无法启用自己没有接受过培训的工具。他们并不总能掌握必要的数据、专门的网络技能或影响力，来阻止、协调或获得必要的支持，以全面保障业务安全。他们也不像我们这些事件响应人员一样，每天都身处漏洞之中，亲眼目睹大屠杀的发生。没有这种可视性的团队应考虑由合格的专家公司（如 雅典娜7).在某些情况下，企业应考虑利用外部合格的托管安全公司，如 Grypho5来实施、协调、管理、监控和报告特定控制，如备份、防火墙和端点。

有一点是肯定的：无论我们提供多少培训，用户总会犯错。我们不能也绝不能让一次点击继续给组织带来如此大的风险。首先必须最大限度地减少用户的点击选择，然后确保在用户点击时，有许多分层控制措施来阻止攻击链的发展。