إن أحدث تهديد أمني موجود الآن — وهو في تقاويمنا. لقد كان السبامير يرسلون دعوات تقويم جوجل تحتوي على روابط، متجاوزين صناديق البريد و مستغلين إعدادات التقويم الافتراضية التي تسمح بعرض الدعوات تلقائيًا، بغض النظر عما إذا تم قبولها أم لا. تحدثنا مع مدير المخاطر والامتثال لدينا، ويس أندروس، حول كيفية تعليم شركتك عن تهديدات الأمن الاجتماعي الناشئة (مثل التصيد الاحتيالي أو سبام التقويم)، وكيف يمكن أن يساعد الوعي العام في الحفاظ على أمنك التكنولوجي الداخلي.
أولاً، القليل عن ويس قبل أن نغوص في نصائحه: خلفيته تشمل الخدمة في وزارة الدفاع وأوامر جيش السايبر في البنتاجون، تلاها قيادته لقسم المخاطر والامتثال في ديل سيكيورووركس. لا حاجة للقول، إنه يعرف ما يتحدث عنه.
التصيد الاحتيالي ليس اختراقًا — إنه أسوأ
بينما تحب هوليوود أن نعتقد أن "الاختراق" ينطوي على شخص واحد يكتب الأوامر بشدة في الطرفية، فإن هذا النوع من الثغرات قد تم تثبيطه إلى حد كبير ( رغم أنه ليس تمامًا) بفضل برامج "مكافأة الأخطاء". يشرح ويس الأمر بهذه الطريقة: "برامج مكافأة الأخطاء تتيح للشركات أن تقول: 'سندفع لك إذا وجدت شيئًا خاطئًا في تطبيقنا.' لا تحاول أن تخترقونا؛ فقط أخبرونا وسندفع لك.'"
"يجاوز الهندسة الاجتماعية تلك المحاولات التقليدية للاختراق ويذهب مباشرة عبر البشر الذين لديهم وصول إلى البيانات — وقد أثبت ذلك أنه أكثر فعالية بكثير."
بعضها رسائل بريد إلكتروني ذات جودة رديئة، لكن العديد منها مقنع للغاية، متغذيًا على مخاوفنا الحالية من التعرض من أجل ... كشفنا! لا تحتاج إلا إلى شخص واحد ليشعر بالذعر حتى تؤثر الهندسة الاجتماعية على شركة بأكملها.
الحالة الكلاسيكية لشخص ذكي تم خداعه بواسطة الهندسة الاجتماعية؟ جون بوديستا. قبل عامين. اللجنة الوطنية الديمقراطية. "لقد نقر على رابط تغيير كلمة المرور الذي سمعه العالم،" كما يقول ويس. "إنه محامٍ متعلم في جورج تاون وقع ضحية لذلك، لذا يمكنك أن ترى لماذا تقدم الهندسة الاجتماعية الكثير من الفرص مقارنة بالاختراق."
كيفية مكافحة تهديدات الأمن بشكل فعال
إذا كانت الهجمات الهندسية الاجتماعية مصممة لإقناعنا بأننا قد تعرضنا بالفعل، كيف يمكنك ككشركة، تعليم موظفيك التصدي للرغبة الطبيعية في الذعر؟ هنا، يكون ويس واضحًا:
"يجب أن تغير الثقافة."
"في جورو، نشارك عمومًا محاولات التصيد الملطفة التي نراها — وغالبًا ما تكون 'تأتي' من ريك [مدير جورو التنفيذي]، الذي يبدو أنه في حاجة مستمرة لأرقام هواتفنا. إنه مضحك، لكنه أيضًا ليس كذلك. ماذا لو وقع أحد مديري خدمة العملاء لدينا في الفخ ومنح رقم هاتف أو عنوان بريد إلكتروني تم استخدامه بعد ذلك للوصول إلى عملائنا؟ ستكون تلك مسألة كبيرة. لحسن الحظ، لأننا نعرض هذه التهديدات بانتظام، يمكننا التحدث عنها وتعليم بعضنا البعض حول تكتيكات جديدة، مما يجعلنا أكثر احتمالًا لرؤية تلك التهديدات."
يمكن للشركات حتى تجربة تمارين التصيد التي تسمح لفريقها الخاص بالمخاطر والامتثال بإرسال رسائل بريد إلكتروني مزيفة للتصيد لمعرفة من في الشركة من المحتمل أن يقع في هجوم حقيقي، لكن ذلك قد يعرض الثقة في الفريق للخطر. بدلاً من ذلك، هنا في جورو، تأكد ويس من أن الجميع في الشركة قد اجتاز اختبار التصيد من جوجل لأغراض التدريب.
كيفية عدم مكافحة تهديدات الأمن
"لسبب ما، في العديد من الحالات، المعيار الذهبي في الصناعة هو 'تدريب' العمالة سنويًا حول الأمن بطريقة سلبية. يشاهد الجميع فيديو أو يحصل على بريد إلكتروني يوضح مخاطر الرد على التصيد، ثم يمكن لفريق الأمن أن يقول: 'انظر، لقد شاهد الجميع أو قرأ هذا، لذا انتقل الجميع بعد ذلك.'"
هذا النوع من التدريب السلبي لا يعلم بالضرورة أي شخص كيفية الاستجابة لهجوم أو كيفية التعرف فعليًا على تلك التهديدات، خاصة مع تغير التكتيكات على مدار العام. يجب على فريق المخاطر والامتثال لديك الحفاظ على تلك الخطوط من الحوار مفتوحة مع قاعدة الموظفين الأكبر ويجب التأكد من أنها محادثة مستمرة.
أقوى دفاع ضد التصيد الاحتيالي
"في النهاية، أقوى دفاع ضد التصيد الاحتيالي هو عدم الثقة الصحية،" يشرح ويس. في عالم مثالي، لن توجد مثل هذه التهديدات، ولكن بما أنها موجودة، فإن الحفاظ على قدر معقول من الشك تجاه الأدوات التي نعتمد عليها هو السبيل الوحيد للبقاء يقظًا.
إن أحدث تهديد أمني موجود الآن — وهو في تقاويمنا. لقد كان السبامير يرسلون دعوات تقويم جوجل تحتوي على روابط، متجاوزين صناديق البريد و مستغلين إعدادات التقويم الافتراضية التي تسمح بعرض الدعوات تلقائيًا، بغض النظر عما إذا تم قبولها أم لا. تحدثنا مع مدير المخاطر والامتثال لدينا، ويس أندروس، حول كيفية تعليم شركتك عن تهديدات الأمن الاجتماعي الناشئة (مثل التصيد الاحتيالي أو سبام التقويم)، وكيف يمكن أن يساعد الوعي العام في الحفاظ على أمنك التكنولوجي الداخلي.
أولاً، القليل عن ويس قبل أن نغوص في نصائحه: خلفيته تشمل الخدمة في وزارة الدفاع وأوامر جيش السايبر في البنتاجون، تلاها قيادته لقسم المخاطر والامتثال في ديل سيكيورووركس. لا حاجة للقول، إنه يعرف ما يتحدث عنه.
التصيد الاحتيالي ليس اختراقًا — إنه أسوأ
بينما تحب هوليوود أن نعتقد أن "الاختراق" ينطوي على شخص واحد يكتب الأوامر بشدة في الطرفية، فإن هذا النوع من الثغرات قد تم تثبيطه إلى حد كبير ( رغم أنه ليس تمامًا) بفضل برامج "مكافأة الأخطاء". يشرح ويس الأمر بهذه الطريقة: "برامج مكافأة الأخطاء تتيح للشركات أن تقول: 'سندفع لك إذا وجدت شيئًا خاطئًا في تطبيقنا.' لا تحاول أن تخترقونا؛ فقط أخبرونا وسندفع لك.'"
"يجاوز الهندسة الاجتماعية تلك المحاولات التقليدية للاختراق ويذهب مباشرة عبر البشر الذين لديهم وصول إلى البيانات — وقد أثبت ذلك أنه أكثر فعالية بكثير."
بعضها رسائل بريد إلكتروني ذات جودة رديئة، لكن العديد منها مقنع للغاية، متغذيًا على مخاوفنا الحالية من التعرض من أجل ... كشفنا! لا تحتاج إلا إلى شخص واحد ليشعر بالذعر حتى تؤثر الهندسة الاجتماعية على شركة بأكملها.
الحالة الكلاسيكية لشخص ذكي تم خداعه بواسطة الهندسة الاجتماعية؟ جون بوديستا. قبل عامين. اللجنة الوطنية الديمقراطية. "لقد نقر على رابط تغيير كلمة المرور الذي سمعه العالم،" كما يقول ويس. "إنه محامٍ متعلم في جورج تاون وقع ضحية لذلك، لذا يمكنك أن ترى لماذا تقدم الهندسة الاجتماعية الكثير من الفرص مقارنة بالاختراق."
كيفية مكافحة تهديدات الأمن بشكل فعال
إذا كانت الهجمات الهندسية الاجتماعية مصممة لإقناعنا بأننا قد تعرضنا بالفعل، كيف يمكنك ككشركة، تعليم موظفيك التصدي للرغبة الطبيعية في الذعر؟ هنا، يكون ويس واضحًا:
"يجب أن تغير الثقافة."
"في جورو، نشارك عمومًا محاولات التصيد الملطفة التي نراها — وغالبًا ما تكون 'تأتي' من ريك [مدير جورو التنفيذي]، الذي يبدو أنه في حاجة مستمرة لأرقام هواتفنا. إنه مضحك، لكنه أيضًا ليس كذلك. ماذا لو وقع أحد مديري خدمة العملاء لدينا في الفخ ومنح رقم هاتف أو عنوان بريد إلكتروني تم استخدامه بعد ذلك للوصول إلى عملائنا؟ ستكون تلك مسألة كبيرة. لحسن الحظ، لأننا نعرض هذه التهديدات بانتظام، يمكننا التحدث عنها وتعليم بعضنا البعض حول تكتيكات جديدة، مما يجعلنا أكثر احتمالًا لرؤية تلك التهديدات."
يمكن للشركات حتى تجربة تمارين التصيد التي تسمح لفريقها الخاص بالمخاطر والامتثال بإرسال رسائل بريد إلكتروني مزيفة للتصيد لمعرفة من في الشركة من المحتمل أن يقع في هجوم حقيقي، لكن ذلك قد يعرض الثقة في الفريق للخطر. بدلاً من ذلك، هنا في جورو، تأكد ويس من أن الجميع في الشركة قد اجتاز اختبار التصيد من جوجل لأغراض التدريب.
كيفية عدم مكافحة تهديدات الأمن
"لسبب ما، في العديد من الحالات، المعيار الذهبي في الصناعة هو 'تدريب' العمالة سنويًا حول الأمن بطريقة سلبية. يشاهد الجميع فيديو أو يحصل على بريد إلكتروني يوضح مخاطر الرد على التصيد، ثم يمكن لفريق الأمن أن يقول: 'انظر، لقد شاهد الجميع أو قرأ هذا، لذا انتقل الجميع بعد ذلك.'"
هذا النوع من التدريب السلبي لا يعلم بالضرورة أي شخص كيفية الاستجابة لهجوم أو كيفية التعرف فعليًا على تلك التهديدات، خاصة مع تغير التكتيكات على مدار العام. يجب على فريق المخاطر والامتثال لديك الحفاظ على تلك الخطوط من الحوار مفتوحة مع قاعدة الموظفين الأكبر ويجب التأكد من أنها محادثة مستمرة.
أقوى دفاع ضد التصيد الاحتيالي
"في النهاية، أقوى دفاع ضد التصيد الاحتيالي هو عدم الثقة الصحية،" يشرح ويس. في عالم مثالي، لن توجد مثل هذه التهديدات، ولكن بما أنها موجودة، فإن الحفاظ على قدر معقول من الشك تجاه الأدوات التي نعتمد عليها هو السبيل الوحيد للبقاء يقظًا.
