Erfahren Sie, wie Sie Ihr Unternehmen am besten über aufkommende Cybersicherheitsbedrohungen wie Phishing-E-Mails und Kalender-Spam informieren und diese bekämpfen können.
Die neueste Sicherheitsbedrohung ist hier – und sie befindet sich in unseren Kalendern. Spam-Versender haben Google Kalender-Einladungen mit Links versendet, die die Posteingänge umgehen und die Standardkalendereinstellungen ausnutzen, die Einladungen automatisch anzeigen, unabhängig davon, ob sie angenommen wurden oder nicht. Wir haben mit unserem Risiko- und Compliance-Manager Wes Andrues gesprochen, wie man Ihr Unternehmen am besten über aufkommende Sicherheitsbedrohungen durch soziale Manipulation (wie Phishing oder Kalender-Spam) aufklärt und wie weitreichendes Wissen helfen kann, Ihre interne technologische Sicherheit zu wahren.
Zuerst ein wenig über Wes, bevor wir in seine Tipps eintauchen: Sein Werdegang umfasst eine Tätigkeit im Verteidigungsministerium und den Cyber-Kommandos der Armee im Pentagon, gefolgt von der Leitung der Risiko- und Compliance-Abteilung bei Dell SecureWorks. Es versteht sich von selbst, dass er weiß, wovon er spricht.
Phishing ist kein Hacking – es ist schlimmer
Während Hollywood uns gerne glauben machen würde, dass "Hacking" bedeutet, dass ein Typ hektisch Befehle in das Terminal eintippt, wurde diese Art von Verwundbarkeit größtenteils (wenn auch nicht vollständig) durch "Bug-Bounty"-Programme entmutigt. Wes erklärt es so: "Bug-Bounty-Programme ermöglichen es Unternehmen zu sagen: ‚Wir zahlen dir, wenn du etwas Falsches an unserer App findest. Versuche nicht, uns zu hacken; sage uns einfach Bescheid und wir bezahlen dich.'"
"Soziale Manipulation umgeht diesen traditionellen Hacking-Versuch und geht direkt über Menschen, die Zugang zu Daten haben – und das hat sich als viel effektiver erwiesen."
Einige sind von schlechter Qualität, aber viele sind ziemlich überzeugend und nutzen unsere bestehenden Ängste vor Enthüllung aus, um uns… zu entblößen! Man muss nur eine Person in Panik versetzen, damit soziale Manipulation ein ganzes Unternehmen beeinflussen kann.
Der klassische Fall, in dem eine clevere Person durch soziale Manipulation hereingelegt wird? John Podesta. Vor zwei Jahren. Die DNC. "Er klickte auf den Link zum Passwortwechsel, der in aller Welt gehört wurde," sagt Wes. "Er ist ein Jurist, der in Georgetown ausgebildet wurde und darauf hereingefallen ist, also sieht man, warum soziale Manipulation viel mehr Möglichkeiten bietet als Hacking."
Wie man Sicherheitsbedrohungen effektiv bekämpft
Wenn Angriffe durch soziale Manipulation darauf abzielen, uns davon zu überzeugen, dass wir bereits exponiert sind, wie können Sie als Unternehmen Ihre Mitarbeiter schulen, um dem natürlichen Drang zur Panik zu widerstehen? Hier ist Wes eindeutig:
"Sie müssen die Kultur ändern."
"Bei Guru teilen wir im Allgemeinen die lustigeren Phishing-E-Mail-Versuche, die wir sehen – und sie kommen normalerweise ‚von‘ Rick [Guru's CEO] und scheinen ständig unsere Handynummern zu benötigen. Es ist lustig, aber es ist auch nicht. Was, wenn einer unserer CSMs darauf hereinfällt und eine Handynummer oder eine E-Mail-Adresse weitergibt, die dann verwendet wird, um zu unseren Kunden zu gelangen? Das wäre eine große Sache. Zum Glück, da wir diese Bedrohungen regelmäßig aufdecken, können wir darüber sprechen und uns gegenseitig über neue Taktiken aufklären, was unsere Chancen erhöht, sie zu erkennen."
Unternehmen können sogar Phishing-Übungen versuchen, die es ihrem eigenen Risiko- und Compliance-Team ermöglichen, gefälschte Phishing-E-Mails zu versenden, um zu sehen, wer im Unternehmen wahrscheinlich auf einen echten Angriff hereinfällt, aber das könnte das Vertrauen in das Team untergraben. Stattdessen hat Wes dafür gesorgt, dass alle im Unternehmen durch das Google Jigsaw Phishing Quiz zu Schulungszwecken gehen.
Wie man Sicherheitsbedrohungen nicht bekämpfen sollte
"Aus irgendeinem Grund ist in vielen Fällen der Goldstandard in der Branche, die Belegschaft jährlich passiv über Sicherheit zu 'schulen'. Jeder schaut ein Video oder erhält eine E-Mail über die Risiken, auf Phishing zu reagieren, und dann kann das Sicherheitsteam sagen: ‚Schaut, jeder hat das gesehen oder gelesen, also können wir weitermachen.'"
Diese Art der passiven Schulung lehren nicht unbedingt, wie man auf einen Angriff reagiert oder wie man diese Bedrohungen aktiv identifiziert, insbesondere da sich die Taktiken im Laufe des Jahres ändern. Ihr Risiko- und Compliance-Team sollte diesen Dialog mit der größeren Belegschaft offen halten und sicherstellen, dass es ein fortlaufendes Gespräch gibt.
Die stärkste Verteidigung gegen Phishing
„Am Ende ist die stärkste Verteidigung gegen Phishing ein gesundes Misstrauen“, erklärt Wes. In einer idealen Welt würden solche Bedrohungen nicht existieren, aber da sie es tun, ist es der einzige Weg, um wirklich wachsam zu bleiben, eine angemessene Skepsis gegenüber den Werkzeugen, von denen wir abhängig sind, zu wahren.
Die neueste Sicherheitsbedrohung ist hier – und sie befindet sich in unseren Kalendern. Spam-Versender haben Google Kalender-Einladungen mit Links versendet, die die Posteingänge umgehen und die Standardkalendereinstellungen ausnutzen, die Einladungen automatisch anzeigen, unabhängig davon, ob sie angenommen wurden oder nicht. Wir haben mit unserem Risiko- und Compliance-Manager Wes Andrues gesprochen, wie man Ihr Unternehmen am besten über aufkommende Sicherheitsbedrohungen durch soziale Manipulation (wie Phishing oder Kalender-Spam) aufklärt und wie weitreichendes Wissen helfen kann, Ihre interne technologische Sicherheit zu wahren.
Zuerst ein wenig über Wes, bevor wir in seine Tipps eintauchen: Sein Werdegang umfasst eine Tätigkeit im Verteidigungsministerium und den Cyber-Kommandos der Armee im Pentagon, gefolgt von der Leitung der Risiko- und Compliance-Abteilung bei Dell SecureWorks. Es versteht sich von selbst, dass er weiß, wovon er spricht.
Phishing ist kein Hacking – es ist schlimmer
Während Hollywood uns gerne glauben machen würde, dass "Hacking" bedeutet, dass ein Typ hektisch Befehle in das Terminal eintippt, wurde diese Art von Verwundbarkeit größtenteils (wenn auch nicht vollständig) durch "Bug-Bounty"-Programme entmutigt. Wes erklärt es so: "Bug-Bounty-Programme ermöglichen es Unternehmen zu sagen: ‚Wir zahlen dir, wenn du etwas Falsches an unserer App findest. Versuche nicht, uns zu hacken; sage uns einfach Bescheid und wir bezahlen dich.'"
"Soziale Manipulation umgeht diesen traditionellen Hacking-Versuch und geht direkt über Menschen, die Zugang zu Daten haben – und das hat sich als viel effektiver erwiesen."
Einige sind von schlechter Qualität, aber viele sind ziemlich überzeugend und nutzen unsere bestehenden Ängste vor Enthüllung aus, um uns… zu entblößen! Man muss nur eine Person in Panik versetzen, damit soziale Manipulation ein ganzes Unternehmen beeinflussen kann.
Der klassische Fall, in dem eine clevere Person durch soziale Manipulation hereingelegt wird? John Podesta. Vor zwei Jahren. Die DNC. "Er klickte auf den Link zum Passwortwechsel, der in aller Welt gehört wurde," sagt Wes. "Er ist ein Jurist, der in Georgetown ausgebildet wurde und darauf hereingefallen ist, also sieht man, warum soziale Manipulation viel mehr Möglichkeiten bietet als Hacking."
Wie man Sicherheitsbedrohungen effektiv bekämpft
Wenn Angriffe durch soziale Manipulation darauf abzielen, uns davon zu überzeugen, dass wir bereits exponiert sind, wie können Sie als Unternehmen Ihre Mitarbeiter schulen, um dem natürlichen Drang zur Panik zu widerstehen? Hier ist Wes eindeutig:
"Sie müssen die Kultur ändern."
"Bei Guru teilen wir im Allgemeinen die lustigeren Phishing-E-Mail-Versuche, die wir sehen – und sie kommen normalerweise ‚von‘ Rick [Guru's CEO] und scheinen ständig unsere Handynummern zu benötigen. Es ist lustig, aber es ist auch nicht. Was, wenn einer unserer CSMs darauf hereinfällt und eine Handynummer oder eine E-Mail-Adresse weitergibt, die dann verwendet wird, um zu unseren Kunden zu gelangen? Das wäre eine große Sache. Zum Glück, da wir diese Bedrohungen regelmäßig aufdecken, können wir darüber sprechen und uns gegenseitig über neue Taktiken aufklären, was unsere Chancen erhöht, sie zu erkennen."
Unternehmen können sogar Phishing-Übungen versuchen, die es ihrem eigenen Risiko- und Compliance-Team ermöglichen, gefälschte Phishing-E-Mails zu versenden, um zu sehen, wer im Unternehmen wahrscheinlich auf einen echten Angriff hereinfällt, aber das könnte das Vertrauen in das Team untergraben. Stattdessen hat Wes dafür gesorgt, dass alle im Unternehmen durch das Google Jigsaw Phishing Quiz zu Schulungszwecken gehen.
Wie man Sicherheitsbedrohungen nicht bekämpfen sollte
"Aus irgendeinem Grund ist in vielen Fällen der Goldstandard in der Branche, die Belegschaft jährlich passiv über Sicherheit zu 'schulen'. Jeder schaut ein Video oder erhält eine E-Mail über die Risiken, auf Phishing zu reagieren, und dann kann das Sicherheitsteam sagen: ‚Schaut, jeder hat das gesehen oder gelesen, also können wir weitermachen.'"
Diese Art der passiven Schulung lehren nicht unbedingt, wie man auf einen Angriff reagiert oder wie man diese Bedrohungen aktiv identifiziert, insbesondere da sich die Taktiken im Laufe des Jahres ändern. Ihr Risiko- und Compliance-Team sollte diesen Dialog mit der größeren Belegschaft offen halten und sicherstellen, dass es ein fortlaufendes Gespräch gibt.
Die stärkste Verteidigung gegen Phishing
„Am Ende ist die stärkste Verteidigung gegen Phishing ein gesundes Misstrauen“, erklärt Wes. In einer idealen Welt würden solche Bedrohungen nicht existieren, aber da sie es tun, ist es der einzige Weg, um wirklich wachsam zu bleiben, eine angemessene Skepsis gegenüber den Werkzeugen, von denen wir abhängig sind, zu wahren.
