网络安全意识成熟度阶段，你的企业在哪个发展阶段？

前言

在数字化时代，网络安全已经成为每个企业和个人必须面对的挑战。近日，SANS Institute 发布了其年度 《2024年SANS安全意识报告》，为企业提供了一个全面的视角，以理解和改进企业对网络安全威胁的防御措施，易念科技带您解读~

此版安全意识报告有来自全球70多个国家的1000多名安全意识从业者参与。

01

安全意识成熟度模型

2011年，通过 200 多名意识官员的协调努力，建立了安全意识成熟度模型，使组织能够确定其安全意识计划的当前成熟度水平，并确定改进路径。

共有五个层次，依次递进：不存在安全意识计划——以合规为中心——提高认识和改变行为——长期维持和文化变革——战略指标框架

调研发现2024年的情况中，处于三四阶段的组织相对较多，已经建成战略指标框架的组织仍然相对较少。

02

最受关注的三大人为风险？

2024年最受关注的三大人为风险：社会工程攻击、密码/身份认证、人为检测/报告

如果安全意识计划最终是关于管理人为风险的，那么2024年大家最关心哪些人为风险呢？89%的人特别担心社会工程学攻击（如网络钓鱼、短信诈骗和语音诈骗），这是组织最关注的风险。随着人工智能（AI）的发展，定制化的社会工程学攻击变得更加容易，这对组织构成了新的挑战；其次是身份验证问题，如何验证和管理自己的密码；第三则是人为检测报告可疑事件的风险，这一点则跟企业安全文化密切相关。

03

安全意识发展的头号挑战是什么？

2024年安全意识发展的头号挑战：缺乏必要的时间和人力

意识到相关的风险后，建立有效安全意识计划中也面临一些挑战。今年调查发现头号挑战是缺乏时间和人力，41% 的组织缺少时间，37% 的组织缺少专业人员。从业者有太多事情要做，而资源太少，缺乏专业的安全意识团队成为制约安全意识发展的重要难题。

04

安全意识团队规模多大合适？

安全意识团队的规模：至少需要 1.8 FTE的共同努力才能有效地改变安全意识行为

*FTE是指将75%或更多时间用于安全意识的个人

今年的调查发现，安全意识团队的规模与计划成熟度之间存在很强的相关性:安全意识团队越大，安全意识计划成熟度水平就越高。

经过调研发现，为了产生影响，大多数项目至少需要 1.8 FTE的共同努力才能有效地改变行为，这意味着至少有1.8人将 75% 以上的时间用于该项目。平均而言，最成熟的安全意识项目至少需要4名全职员工专门负责或帮助管理该项目。在过去的五年中，不变的调研结果是：致力于或致力于安全项目的人越多，这个项目就越成熟。

网络安全意识不仅仅是遵守规定，更是一种文化。通过投资于人，组织可以有效地管理风险，并建立起一种强大的安全文化。《2024年SANS安全意识报告》为企业提供了宝贵的洞见和工具，网络安全意识教育仍在路上。

报告部分摘要

报告此外还包括其他部分，旨在帮助组织更好地管理风险并推动强大的安全文化：

1.意识计划的成熟度与安全意识团队的规模成正比

至少需要1.8名全职员工来有效改变员工行为。

至少需要4.2名全职员工来嵌入强大的安全文化和战略性指标框架。

2.探讨如何根据基准测试结果来发展和成熟安全意识计划

报告针对不同的测试结果阶段，还提供了不同的解决方案：

**倘若您的组织尚未开展安全意识教育，**进入下一阶段的步骤为：

确定必须遵守的法规或标准

确定这些法规、标准中对安全意识的要求

选择受训人员范围，以确定安全意识培训需求

开发或购买符合这些要求的培训，并实际部署

跟踪并记录人员完成培训的情况

**倘若您**的组织**已经形成网络安全文化，**进入最终阶段的步骤为：

创建一个度量指标仪表板，将不同成熟度级别的所有信息/度量合并在一起

确定领导层的战略优先事项并与之保持一致

识别并与任何关键战略安全框架或模型保持一致

3.提供具体步骤，帮助读者如何向领导层提出增加团队规模的建议

（1）与领导层(或者和您的网络安全团队)谈论网络安全的风险

（2）展示技术安全和以人为本的安全之间的投资差距

（3）分解增加团队规模的步骤和需求

（4）暂时利用生成式人工智能代替

（5）和其他部门合作发展伙伴关系

参考文献：SANS 2024 Security Awareness Report——Embeddinga Strong Security Culture

网络安全/黑客零基础入门

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

点击领取 《网络安全&黑客&入门进阶学习资源包》