IG1 IG2 IG3

تدريب أعضاء القوى العاملة على أفضل ممارسات المصادقة

مجموعة الضابط: 14. التدريب على الوعي والمهارات الأمنية

نوع الأصل: غير محدد

وظيفة الأمان: حماية

الوصف

تدريب أعضاء القوى العاملة على أفضل ممارسات المصادقة. تتضمن مواضيع المثال MFA وإنشاء كلمات المرور وإدارة بيانات الاعتماد.

قائمة التحقق من التطبيق

1

تحديد الأنظمة التي تتطلب المصادقة متعددة العوامل

2

اختيار ونشر حل MFA

3

تسجيل المستخدمين وتوزيع عوامل المصادقة

4

اختبار MFA على جميع الأنظمة المحددة

توصيات الأدوات

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

منصة تدريب التوعية الأمنية مع محاكاة التصيد الاحتيالي ووحدات تدريب تفاعلية وإعداد تقارير الامتثال

KnowBe4 · اشتراك لكل مستخدم

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

منصة توعية أمنية تكيفية وتغيير سلوكي مع تدريب موجه استناداً إلى بيانات التهديدات الفعلية

Proofpoint · اشتراك لكل مستخدم

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

منصة محاكاة التصيد الاحتيالي والتوعية الأمنية مع استخبارات التهديدات في الوقت الفعلي والاستجابة للحوادث

Cofense · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

هجوم حشو بيانات الاعتماد باستخدام كلمات مرور مُعاد استخدامها

السرية

يستخدم مهاجم بيانات اعتماد مسربة من اختراق طرف ثالث للوصول إلى حسابات المؤسسة لأن الموظفين لم يُدربوا أبداً على تفرد كلمات المرور ومخاطر إعادة استخدام بيانات الاعتماد عبر الخدمات.

تجاوز MFA عبر الهندسة الاجتماعية لمستخدم غير مدرب

السرية

يخدع مهاجم موظفاً للموافقة على إشعار MFA احتيالي لأن الموظف لم يُدرّب أبداً على كيفية عمل هجمات إرهاق MFA أو كيفية التعرف على طلبات المصادقة غير المصرح بها.

اختراق كلمة مرور ضعيفة عبر القوة الغاشمة

السرية

يخترق مهاجم بنجاح حساب موظف بالقوة الغاشمة باستخدام أنماط كلمات مرور شائعة لأن القوة العاملة لم تُثقف حول إنشاء عبارات مرور قوية وفريدة أو استخدام مديري بيانات الاعتماد.

الثغرات (عند غياب الإجراء الوقائي)

نظافة كلمات مرور ضعيفة عبر القوة العاملة

بدون تدريب على أفضل ممارسات المصادقة، يعيد الموظفون عادة استخدام كلمات المرور ويختارون بيانات اعتماد ضعيفة ويخزنون كلمات المرور بشكل غير آمن، مما يزيد بشكل كبير سطح الهجوم للهجمات القائمة على بيانات الاعتماد.

سوء فهم آليات MFA

الموظفون الذين لم يُدربوا على أفضل ممارسات MFA قد يشاركون رموزاً لمرة واحدة أو يوافقون على إشعارات دفع غير مطلوبة أو يفشلون في الإبلاغ عن محاولات مصادقة مشبوهة.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
تقني	حالة تسجيل MFA وتهيئة الإنفاذ	يُراجع شهرياً
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة التوعية والتدريب الأمني

Control 14

الإجراءات الوقائية ذات الصلة في الضابط 14

14.1 إنشاء وصيانة برنامج التوعية الأمنية

14.2 تدريب أعضاء القوى العاملة على التعرف على هجمات الهندسة الاجتماعية

14.4 تدريب القوى العاملة على أفضل ممارسات التعامل مع البيانات

14.5 تدريب أعضاء القوى العاملة على أسباب التعرض غير المقصود للبيانات

14.6 تدريب أعضاء القوى العاملة على التعرف على الحوادث الأمنية والإبلاغ عنها

14.7 تدريب القوى العاملة على كيفية تحديد والإبلاغ عن تحديثات الأمان المفقودة على أصول المؤسسة

14.8 تدريب القوى العاملة على مخاطر الاتصال بالشبكات غير الآمنة ونقل بيانات المؤسسة عبرها

14.9 إجراء تدريب توعية ومهارات أمنية خاص بالأدوار