阅读本文,了解有关使用 KnowBe4 的 SmartRisk™ 引擎和风险得分功能的常见问题解答。如果本文尚未解答您的其他问题,请向我们的支持团队支持团队(链接在新窗口中打开)提交问题单。
如需详细了解风险得分,请参阅 SmartRisk™ 引擎和风险得分指南。
通用信息
有关 SmartRisk™ 引擎和风险得分的通用信息,请查看以下问题和答案:
- SmartRisk™ 引擎是什么?它如何增强人为风险管理?
- 如何定义和计算风险得分中的七种安全类型?
- 风险得分的适用范围是什么?
- 活跃与不活跃的风险因素之间有什么区别?
- 风险得分多久更新一次?是实时更新吗?
- 新版与旧版的风险得分之间有什么区别?
SmartRisk™ 引擎是什么?它如何增强人为风险管理?
SmartRisk™ 引擎是 KnowBe4 的全新风险得分系统,提供切实可行的动态数据,从而完善组织的安全状况。通过持续跟踪用户的风险行为及变化趋势,您可以有效地量身定制安全培训与政策,并重点关注风险最高或最安全的领域。
SmartRisk™ 引擎会计算个人用户、群组和整个组织的风险得分。得分是基于风险因素或用户事件及行为进行计算的。风险因素包括点击网络钓鱼链接、报告网络钓鱼电子邮件、遵守安全政策等。然后,将风险因素划分为安全类型。风险因素包括活跃和不活跃的因素,说明哪些用户行为和用户事件会导致更高的风险得分以及哪些行为可能表明有潜在的风险。借助这些详细的见解,您可以明确组织里的特定风险领域以及需要额外支持或安全意识培训的特定用户。
如何定义和计算风险得分中的七种安全类型?
有七种安全类型,分别代表用户行为和潜在风险的不同领域。每种安全类型对用户或组织的总体风险得分都有影响。这些安全类型集合了被分为风险、安全或缓解的用户事件及行为。查看以下各个示例,了解每种安全类型及其定义和计算方法:
| 安全类型 | 定义 | 示例 |
|---|---|---|
| 电子邮件安全 | 根据用户的电子邮件类操作评估风险 |
|
| 端点安全 | 关注用户使用设备时产生的风险 |
|
| 数据安全 | 评估与用户数据处理和数据共享行为相关的风险 |
|
| 网页安全 | 衡量与用户在线浏览及网页操作相关的风险 |
|
| 帐户卫生 | 评估用户帐户的整体安全实践 |
|
| 合规培训 | 反映用户参与合规类培训的情况 |
|
| 物理安全 | 衡量用户在与物理访问及安全相关的安全实践中的参加情况 |
注意:目前,对这种安全类型有影响的唯一风险因素是关于物理安全的安全意识培训任务。 |
风险得分的适用范围是什么?
风险得分的适用范围表明了您的风险等级,0 分表示风险最低,100 分表示风险最高。虽然适用范围在 0 到 100 分之间,但您的范围绝对不能低于 10 分或高于 90 分。
我们通过 10-90 分的范围来体现真实的情况,说明您的安全状况和可以改进的地方。0-10 分表示近乎完美的安全防护,但考虑到不断发展的网络安全威胁和潜在的未知风险,这种防护等级其实是不可能实现的。同样,90-100 分表示惨不忍睹的安全状况,这通常并不准确,即使是高风险的组织也不会出现这种情况。重点关注 10-90 分的范围,即可了解实际的风险范围,有助于您优先改善将会真正影响安全状况的环节。
有关适用范围的颜色和风险等级明细,请见下表。
| 颜色 | 风险得分 | 风险等级 |
|---|---|---|
| 绿色 | 10-40 | 低 |
| 黄色 | 41-47 | 中 |
| 橘色 | 48-53 | 高 |
| 红色 | 54-90 | 严重 |
活跃与不活跃的风险因素之间有什么区别?
活跃因素是指来自 KnowBe4 集成产品的事件,可为风险得分计算提供直接的数据。被视为有风险的操作会增加风险得分,而安全的操作则会降低风险得分。
当某类安全项目暂无可用数据时,系统将启用非活跃因子,由 SmartRisk™ 引擎套用默认风险值。默认风险值反映了基于行业标准和潜在威胁的安全类型的常规风险等级。KnowBe4 会假设这些类型中的用户行为是有风险的,这可能会提高总体的风险得分。
风险得分多久更新一次?是实时更新吗?
风险得分会在新数据可用时进行动态更新,但不会进行精准的实时更新。风险得分每天都会更新,且风险得分最迟会在 24 小时内反映出任何风险事件、安全事件或缓解事件的情况。
SmartRisk™ 引擎会持续监控并记录不同安全类型的各项风险事件、安全事件和缓解事件。来自每个集成产品的事件每天都会被归入到风险得分的数据管道中。当接收到新数据时,系统就会在风险得分中触发渐进调整的功能。例如,如果用户完成了安全培训模块或点击了网络钓鱼链接,该操作将在事件发生后 24 小时内影响到自己的风险得分。
新版与旧版的风险得分之间有什么区别?
请参见下表,了解 SmartRisk™ 引擎和风险得分与旧版 Virtual Risk Officer (VRO) 和风险得分的主要区别:
| 风险领域 | SmartRisk™ 引擎和风险得分 | Virtual Risk Officer (VRO) 和风险得分 |
|---|---|---|
| 数据集成 | 整合 KnowBe4 整个产品套件中的数据 | 主要使用来自网络钓鱼测试、培训操练、职位头衔和数据泄露的数据 |
| 经理风险得分 | 提供含经理风险得分报告的分层视图和即将推出的最新组织架构图筛选器 | 仅可用于团队报表面板下的学员实践 (LX) |
| 基准标准 | 组织规模和行业基准计划于 2025 年底或 2026 年初确定 | 不适用 |
| 可行见解 | 根据安全类型和风险因素,为补救方案提供具体指导 | 提供更具通用性的降低风险建议 |
| 报表功能 | 强调创建灵活报表,旨在完善利益相关者的沟通 | 报表面板量表和标准报告选项 |
| 职位头衔 | 其为静态且不可整改属性,不再纳入风险得分计算;SmartRisk™ 引擎采用可落地的分析结论作为研判依据。 | 根据组织连接模式评估风险 |
| 用户和群组调整器 | 不再作为风险得分计算的因素,因为风险调整器属于手动调整,会影响风险得分的客观性和普遍性因素。 | 手动提高用户的个人或群组风险得分 |
| Phish-prone 百分比 | 不再纳入风险得分计算,因为 SmartRisk™ 引擎采用构成 Phish-prone 百分比的底层用户事件作为研判依据。 | 您的用户在网络钓鱼测试中点击模拟网络钓鱼链接或打开附件的百分比 |
计算
有关风险得分计算的更多信息,请查看以下问题和答案:
- 为什么我的风险得分会上升或下降?
- 什么是风险事件、安全事件和缓解事件?
- 什么是新用户偏见?
- 不活跃因素如何影响我的风险得分?
- 不活跃因素如何影响我的适用范围?
- 特定事件会对用户风险得分产生多久的影响?
- 我的风险得分计算是否将学员考虑在内?
- 我能否将自己的 LMS 与风险得分配合使用?
为什么我的风险得分会上升或下降?
风险得分增加或减少的依据是 KnowBe4 产品所检测和记录的特定风险行为、安全行为或缓解事件。这些行为分为七种安全类型,分别代表不同的安全风险领域。
什么是风险事件、安全事件和缓解事件?
当您或您的用户出现被认为有风险的行为时,风险得分就会上升。有风险的行为预示着潜在的安全漏洞,因此分数的增加反映了风险等级的提高。例如,点击网络钓鱼链接、使用弱密码、访问恶意网站以及检测到您的设备存在恶意软件,均属于风险行为。
采取安全行为会降低您的风险得分。安全行为展现了积极主动的安全意识和合规行为,因此,风险得分会调整您的分数,说明风险已降低。例如,报告网络钓鱼电子邮件、完成安全培训、使用强密码和多重身份验证以及使用物理安全的安全令牌,均属于安全行为。
缓解事件会规避之前记录过的风险事件所带来的风险。当风险事件增加了风险得分时,之后出现的缓解事件会降低该风险事件的影响,但不能完全消除此类影响。例如,SecurityCoach 发送的 SecurityTips、已完成的 AIDA 补救培训以及 PasswordIQ 漏洞解决事件,均属于缓解事件。
什么是新用户偏见?
当新用户添加到 KSAT 控制台时,系统会在前 90 天内,对当前生效的安全类型应用新用户偏差值。风险得分的此项临时上调,旨在反映尚未完成安全培训或不熟悉组织安全政策的用户所带来的较高风险。
当新用户在某一安全类型下完成至少一项安全操作(例如完成培训模块、通过政策测验或通过 PAB 报告网络钓鱼电子邮件)时,该安全类型对应的偏差值将在下一次风险得分计算中移除。若未执行任何安全操作,则该安全类型的偏差值将在 90 天后自动移除。
与等待 90 天自动过期的用户相比,在前 90 天内主动完成培训或展现安全行为的用户,其风险得分会出现更显著、更快速的下降。
不活跃因素如何影响我的风险得分?
在风险得分中,当您的组织没有设置特定的 KnowBe4 产品或集成时,就会出现不活跃因素。不活跃因素属于安全类型中的数据缺口。因缺少相关安全工具及产品的数据源接入,SmartRisk™ 引擎无法追踪用户行为。
若因缺少相关集成或产品而产生非活跃因子,SmartRisk™ 引擎会判定此类领域存在安全隐患。因此,风险得分会将非活跃因子视作潜在风险,导致对应安全类型的风险得分略微偏高。
例如,若未接入端点安全监控类集成,SmartRisk™ 引擎便无法跟踪用户设备是否存在恶意软件及其他端点相关风险。该领域将被视为不活跃领域,系统会将轻微风险纳入考量因素,以便考虑潜在的威胁。
不活跃因素如何影响我的适用范围?
如果您的组织拥有较少的 KnowBe4 产品和集成,那么您的适用范围通常会缩小至较高分数。如果您的组织启用了更多的产品,比如 PasswordIQ 或 SecurityCoach,您的适用范围就会扩大,更能反映出基于实际用户行为数据的真实风险。
接入的集成项与活跃因子越多,SmartRisk™ 引擎对各安全类型下用户行为的研判就越全面,计算出的风险得分也会更精准,且有望更低。
特定事件会对用户风险得分产生多久的影响?
SmartRisk™ 引擎设置了事件数量上下限,分别作用于风险得分的各个领域。此类限值用于规范风险事件与安全事件,对个人用户及整体组织的总体风险得分形成标准化影响。只要超出 SmartRisk™ 引擎设定的特定限值,新增事件将不再对风险得分产生额外影响。例如,Phish Alert Button (PAB) 的数量上限为 3。
影响持续时间值或存活时间 (TTL) 值取决于特定的风险因素。例如,与 Email Exposure Check 相关的凭据泄露事件的 TTL 值为 90 天,也就是 90 天后该泄露事件将不再影响风险得分。与此类似,个人身份信息 (PII) 数据泄露事件的 TTL 值则为 60 天。
这些限制的设置是为了保持得分平衡,以便准确地反映风险水平,避免因重复操作导致分数过度偏离。
我的风险得分计算是否将学员考虑在内?
如果您在使用我们的 KnowBe4 Student Edition 功能,您的整体风险得分计算会将学员考虑在内。
我能否将自己的 LMS 与风险得分配合使用?
是的,您可以将自己的 LMS 与风险得分配合使用。如果您的组织具备 LMS 功能,并且我们接收到任何培训完成数据(包括来自 KnowBe4 的数据),我们将为您组织中的每位成员跟踪记录培训数据。然而,如果您使用自己的 LMS,但未通过我们的用户事件 API 发送培训数据,您的风险得分将会增加。如果没有完成培训的数据,您的用户将显示为培训未完成或未接受培训,这会提高个人风险得分以及您组织的总体风险得分。
定制和重点
有关风险得分定制和重点的更多信息,请查看以下问题和答案:
我能否自定义不同安全类型或风险因素的权重?
您不可以对风险得分中不同安全类型或风险因素的权重进行自定义。SmartRisk™ 引擎的计算旨在为所有组织提供统一且客观的评判基准,而自定义权重会破坏该基准的公允性。这种方法可确保风险得分的基准标准具有普遍适用的可比性,也能防止潜在的权重变动滥用情况,因为随意改变权重会人为地降低风险得分,却不会解决真正的安全问题。
有没有办法把重点放在特定的风险领域?
若运用风险得分报告,您的组织便能查看隐患领域中的安全类型和用户行为,从而专注于特定的风险领域。例如,在报告中,您可以展开特定的安全类型,并查看可能存在安全问题的用户行为的相关风险因素。
改善和管理风险得分
有关改善和管理风险得分的更多信息,请查看以下问题和答案:
高风险员工如何降低自己的风险得分?
要想降低风险得分,高风险员工可以采取积极正面的安全行动。完成指定的安全培训、通过 Phish Alert Button (PAB) 报告网络钓鱼电子邮件以及接收安全提示,全都有助于降低风险得分。这些行动充分展现出具备安全意识的行为,还可降低与风险员工相关的总体风险得分。
SmartRisk™ 引擎是否会给出优化风险得分的相关建议?
SmartRisk™ 引擎通过优先级培训推荐引导用户养成安全行为,并指明最具安全防护成效的操作。常规推荐包括报告网络钓鱼圈套、持续完成安全意识培训以及积极参与合规活动。如果员工落实这些安全行为,并在数据、端点和帐户卫生方面保持良好的安全实践,他们的个人和组织风险得分就能得到改善。通过我们的风险得分报告,您可以查看具体的安全见解,这些见解会提供有关需改进领域的可行数据。
我能否访问用户或组织风险得分背后的原始数据或详细分析?
当前无法直接访问风险得分报告中的原始数据。不过,有些计划可以在未来的更新中提供详细分析和底层计算。SmartRisk™ 引擎可提供综合全面的风险得分报告,详细列出不同安全类型和相关风险因素的得分。前往报告 > 风险得分报告,即可在 KSAT 控制台中访问这些报告。
风险得分和 KnowBe4 的 API
如何检索我的帐户风险历史记录?
您可以使用我们的报告 API 来检索您的帐户风险历史记录。您的帐户将自动转换到风险得分,您的风险历史数据将继续通过 API 提供。
是否将会更新用户事件 API,以便结合风险得分一起使用?
是,用户事件 API 将结合风险得分一起使用,但也有些重要的变更。GET 操作(检索事件)和 POST 操作(推送事件)都不会再支持 risk_level、risk_decay_mode 和 risk_expire_date 参数。这些参数是旧版风险得分的专用参数。
我们已在用户事件 API 上添加了一个新因素字段,可用于创建新的事件类型,以便记录将对风险得分有积极影响的用户培训活动。这些新因素是:
- training_completion_email_security
- training_completion_endpoint_security
- training_completion_data_security
- training_completion_web_security
- training_completion_account_security
- training_completion_compliance_electives
- training_completion_physical_security
通过这些新因素,您可以记录不同风险域内的安全培训完成情况,这将被纳入风险得分的计算中。