网安牛马如何优雅开展企业安全培训？

遁入网安似狗忙，培训任务甚抓狂。

员工意识薄如纸，弱密不改心飞扬。

钓鱼紧盯仍追尾，随手链接想点光。

安全海报贴满墙，皆云培训臭又长。

案例苦口成效微，爆雷瞬间心微凉。

网安牛马怎凌志？不如改行卖烤肠！

好湿好湿~~看来熊猫的文采没有退步，反倒更有深度......

最近一直忙着评选优秀员工来着，要写PPT，又要答辩，还要干活，今天总算完事~~成功拿下，腾出时间来水个文~~

去年的SDL文章有兄弟评论想要企业培训的PPT，结果忙着忙着就给忘了.....今天就简单唠唠企业安全培训吧，顺便再分享一些素材.....

熟悉的场景：局促的网安牛马拿着打磨一周的培训PPT，走进公司最大的会议室为员工培训，看着+1领导和+2领导，生硬的看着PPT开念......

台上培训人局促不安......

台下听众昏昏欲睡......

培训结束后，自信的在KPI指标上标注“本次安全培训效果显著，员工安全意识大幅提升”……

培训是个操蛋的活，但又不得不做，那网安牛马咋样才能优雅的开展企业安全培训呢？熊猫结合自己社畜经验，给兄弟们支几招......

关于安全培训，废话熊猫就不讲了，总之，一个网安牛马的日常工作，必然躲不开要做网安培训......

培训内容咋做？

咋样能做好培训？

这俩问题才是网安牛马需要关心的重点......

初入网安的菜鸟，大部分培训方向都是安全意识培训、安全编码培训，再让做出其他培训就没思路了，那是不是就只能做这些培训呢？

你太天真了.......

熊猫曾经简单画过一个粗糙的脑图，大家可以参考这几个方向......

根据员工的工作职能、对安全理解、入职阶段的特殊性，可以从脑图的几个方向来准备培训内容......

面向新员工：

新员工的配合度最高，在这个时候认真培训安全红线部分，新员工能听下去，也能加深印象，否则等入职一段时间，人家就不鸟你了......

除了一些安全红线，还可以做一些企业内部的安全制度培训，比如员工安全行为规范、安全流程的使用......

面向技术部门：

业务漏洞复盘培训，什么数据是网安牛马最了解的？那自然就是挖洞......

根据季度渗透测试、漏洞扫描的漏洞数据对研发漏洞进行复盘，总结漏洞类型、成因进行安全编码培训.......

然后根据功能缺陷进行安全设计培训，通过漏洞频率类型对进行安全功能设计培训......

APP安全，除了B端安全，C端安全自然也至关重要，那就需要对安卓部门进行APP安全培训......

主要包括APP合规检测培训，讲述工信部APP合规出发案例，以及培训android漏洞风险......

除了一些风险管理方向的培训外，安全部门安全工具、安全流程的使用也可以进行培训，千万别觉得只有技术涉及到风险的才能培训......

一些安全部门自研的平台使用、安全设备的接入都可以做培训，说明用途、说明操作方式......

面向产品部门：

产品安全培训，给产品就不能讲技术了，大部分产品都为了快速上线而忽略安全功能设计，所以要用监管要求来唬住他们.......

并且扯大旗说老板对安全这块非常重视，严禁绕过安全进行功能设计，让产品时刻在流程中嵌入安全职能......

安全设计Checklist培训，这个属于SDL的安全功能要求，最主要的就是给产品培训好，之后让开发落实......

全体员工：

数据安全培训：这个包括DLP、企业网盘的相关数据安全产品推广，也包括数据安全意识相关的培养，多找一些企业数据安全风险案例来进行普及......

安全制度宣贯培训：企业内部一些最新颁布的企业安全制度，比如内容安全要求、AI安全要求、数据合规要求......

自研安全产品教学培训：大部分甲方安全都会强调企业安全能力自动化，比如代码自动安全扫描、数据加密落库检测、数据分享平台......

这些自研的工具如果只是给员工一个使用文档还是不够的，最好是整体做一个工具使用培训，查缺补漏......

企业信息安全事件案例培训：这个则是需要关注互联网行业的最新风险案例、处罚案例、爆雷时间，比如曾经微软数据泄露......

蔚来汽车被勒索......

微盟删库......

为啥员工都不爱听培训？如果你是一个公司员工，某一天安全部要求全体出席培训，没约束、没奖励、没妹子，谁参加呀？

熊猫总结一下员工没有激情的心态：

觉得培训很枯燥型：又搞这TM安全培训，一群大汉凑在一起昏昏欲睡，连个母的苍蝇都没有，培训完还特么要答题，狗都不去......

嫌弃没油水型：安全培训是什么玩意，给钱吗？有啥福利吗？没有？那跟我有JM关系，劳资不伺候......

全程懵逼型：卧槽？咱公司还有安全部？干啥玩楞的？叫我培训干啥？啥意思我不安全？

浪费我时间型：又尼玛要安全培训，这培训占用着工作时间，任务交付时间还不延后，每次都那么点东西，浪费劳资时间，不去！

咱知道员工为啥不爱参加安全培训之后，咱就该吸引他们来参加培训了，那该咋吸引呢？

处罚案例唬人：以与公司业务相似的网络安全处罚案例来做药引， 说明公司高层对网络安全的重视，如若出现类型事件，责任、处罚方式将会十分严肃（可以展示一下制度内的处罚标准）......

以技术互动代替发言：PPT做的再好，也无法代替技术的灵活性，所以在培训中灵活运用计策黑客技术来吸引眼球是是否有必要的......

熊猫推荐几个可以在培训中的演示技术，比如，

未加壳小游戏APP重打包，上应用商店找个没加壳的单机小游戏，逆向修改一下充值逻辑，无限道具，既能吸引眼球，还能推进app加固工作.......

CS免杀钓鱼演示，做个CS免杀病毒，在培训现场前做个钓鱼测试，然后在培训中通过钓鱼测试结果展示钓鱼的风险，强调终端安全软件重要性......

逻辑漏洞批量提取数据，找一些逻辑漏洞用python写个批量导出数据的脚本，现场演示批量窃取数据.......

弱口令扫描演示，培训中通过字典生成器对公司业务进行弱口令登录测试，以培训网络安全意识.......

主要是要有冲击，要符合大家对黑客的模糊感觉，黑客是啥，点击几下键盘就把你电脑入侵，随便翻看你电脑里的学习资料......

适度小奖励，跟行政沟通，为培训置办一些小奖励，比如水杯、礼盒、奶茶，总之有点甜头即可......

目前大部分公司的安全培训都是为了完成KPI，有效果但是随着人走人留也就忘得差不多了，所以熊猫认为培训还是要定期做，躲在领导面前晃悠晃悠......

另外熊猫觉得安全培训还是要看谁在听.......

如果有领导在，就着重讲监管要求、讲案例......

如果都是技术员工，就讲危害、讲处罚......

如果都是普通员工，那就上技术、做演示......

通过长期、递进的方式来实现收益......

熊猫分享了一些培训相关的资料，感兴趣的话

私信公众号“培训”进行获取