不言而喻，企业网络安全机制中最薄弱的环节是坐在屏幕前的员工。因此，加强员工对网络钓鱼攻击的防范可减少潜在破坏性攻击风险，同时，根据该领域一位顶级研究人员称，建立网络安全文化是抵御攻击的关键。

麻省理工学院斯隆商学院网络安全（CAMS）执行主任Keri Pearlson表示，最佳做法就是安排专门人员负责鼓励培养安全和网络安全行为及决策的文化。

Pearlson在 SIM波士顿技术领导峰会发表讲话后表示：“我们看到成功改变其文化的公司都有专门负责网络安全文化的人员，他们的工作是调整员工语言、行为、价值观、态度和信念。”

这里的重要建议是：这位负责培养网络安全文化的管理人员不应该是首席信息安全官，因为CISO有着更广泛的工作职责。

在SIM会议中，Pearlson及其MIT Sloan的同事Matt Maloney和Keman Huang向CIO们展示了他们最近关于网络安全的研究，其中包括尽可能多地了解攻击者如何在暗黑网络交互以及如何防范针对人员和软件缺陷的攻击。

网络安全文化

根据Pearlson表示，培训只是构建网络安全文化的一部分，企业还可将网络安全纳入员工考评以提高员工行为。

Pearlson称：“如果我会考评你点击网络钓鱼邮件的次数，或者奖励你正确的网络安全行为，你就会改变你的行为。”

同时，麻省理工学院CAMS团队也在研究一系列其他网络安全威胁，包括数十亿相对不受保护的联网智能设备，以及网络犯罪者采用的商业模式。

Pearlson指出，大约84％的网络攻击可归因于人为错误，例如无法安装补丁、使用简单密码或将设备放在不安全的地方等。

为新兴的物联网设备提供安全保障

对于保护企业安全，建立网络安全文化是必要的事情，但这还不够。新技术的部署使企业容易受到新攻击媒介的影响，部分原因在于开发者和制造商都急于将新产品推向市场，而安全并不是他们的工作重点。Pearlson的同事-研究科学家Matt Maloney一直在努力开发一个 “轻量级安全代理”以保护物联网设备。

该软件会为物联网设备（例如远程监控器和温度计）创建可执行活动的白名单，以创建护栏以防止机器被坏人操纵。

Maloney称：“通过查看什么是正常以及什么是不正常，使问题变得简单得多。因为如果你知道设备正常运行是怎样，那么你就可以很容易发现异常情况。”

目前共有超过230亿台物联网设备。根据Maloney的说法，到2025年，这个数字预计会增加到750亿台设备，其中大部分都用于工业流程。Maloney称，物联网设备的爆炸式增长也增加了攻击媒介，而且，设备本身通常也存在严重的安全漏洞。

Maloney称：“很多这些IoT设备面世后，原始制造商已经开始开发第二个版本。他们没有修复周期，并且没有法律或法规要求他们必须修复这些设备，因此很多消费者都在使用易受攻击设备。在这些设备发布时可能没有漏洞，但随后每天都会发现漏洞，这会导致出现世界范围的巨大物联网僵尸网络。”

并且，物联网设备通常具有非常有限的内存和计算能力，有些甚至没有操作系统。 Maloney正在开发可通过区块链进行分发的软件，区块链可在各种工业设备上运行，并规定设备可以执行哪些活动。

Maloney称：“目前还没有开箱即用的解决方案。”

该项目已经得到美国能源部的资助，在下一个阶段，研究人员将使用试验台来模拟实际系统，例如大量使用物联网设备的发电厂。

网络罪犯使用的商业模式

尽管开发人员试图保护工业工具使它们无法用于网络犯罪，而麻省理工学院的其他研究表明暗黑网络的罪犯拥有专业的犯罪模式。

麻省理工学院斯隆商学院研究科学家Keman Huang表示：“网络攻击不再是一种兴趣爱好，而是作为企业运作，现在黑客已经非常组织化。”

他们拥有专业的攻击技能、领域专业技能以及洗钱技能。

Huang预测网络犯罪将变得更便宜且更具可扩展性，并且，了解网络攻击如何形成可更好地抵御他们。

Huang称其研究的下一步将是网络犯罪的最佳和最广泛的商业模式。