नवीनतम सुरक्षा खतरा यहां है - और यह हमारे कैलेंडर में है। स्पैमर Google कैलेंडर निमंत्रण जिसमें लिंक होते हैं भेज रहे हैं, इनबॉक्स को बायपास करते हुए और डिफॉल्ट कैलेंडर सेटिंग्स का फायदा उठाते हुए जो निमंत्रणों को स्वचालित रूप से प्रदर्शित करने की अनुमति देते हैं, चाहे उन्हें स्वीकार किया गया हो या नहीं। हमने हमारे जोखिम और अनुपालन प्रबंधक, वेस आंद्रूस के साथ बातचीत की, कि आपकी कंपनी को उभरते सामाजिक इंजीनियरिंग सुरक्षा खतरों (जैसे फ़िशिंग या कैलेंडर स्पैम) के बारे में कैसे सबसे अच्छा शिक्षित किया जाए, और कैसे व्यापक ज्ञान आपके आंतरिक तकनीकी सुरक्षा को बनाए रखने में मदद कर सकता है।
पहले, हम वेस के बारे में थोड़ा जानकारी देते हैं इससे पहले कि हम उनके सुझावों में जाएं: उनकी पृष्ठभूमि में पेंटागन में रक्षा विभाग और आर्मी साइबर कमांड में सेवा देना शामिल है, इसके बाद डेल सुरक्षित कार्यों में जोखिम और अनुपालन विभाग का नेतृत्व करना। यह कहने की जरूरत नहीं है, वह जानता है कि वह किस बारे में बात कर रहा है।
फिशिंग हैकिंग नहीं है - यह और भी बुरा है।
जबकि हॉलीवुड हमें यह विश्वास दिलाना पसंद करता है कि "हैकिंग" में एक आदमी टर्मिनल में क्रोधित होकर कमांड टाइप करता है, उस तरह की भेद्यता को "बग शिकारी" कार्यक्रमों के कारण बड़े पैमाने पर (हालांकि पूरी तरह से नहीं) हतोत्साहित किया गया है। वेस इसे इस तरह बताते हैं: "बग शिकारी कार्यक्रम कंपनियों को कहते हैं, 'यदि आप हमारी ऐप में कुछ गलत पाते हैं, तो हम आपको भुगतान करेंगे। हमें हैक करने की कोशिश मत करो; बस हमें बताओ और हम आपको भुगतान करेंगे।"
"सामाजिक इंजीनियरिंग पारंपरिक हैकिंग प्रयासों को बायपास करती है और सीधे डेटा के पहुंच वाले मानवों के माध्यम से जाती है - और यह साबित हुआ है कि यह कहीं अधिक प्रभावी है।"
कुछ ईमेल निम्न गुणवत्ता वाले होते हैं, लेकिन कई काफी विश्वसनीय होते हैं, जो हमारे मौजूदा एक्सपोज़र के डर पर शिकारी करते हैं ताकि हमें… एक्सपोज़ करने के लिए! आपको किसी एक व्यक्ति को घबराने की आवश्यकता होती है ताकि सामाजिक इंजीनियरिंग पूरे कंपनी पर असर डाले।
एक स्मार्ट व्यक्ति को सामाजिक इंजीनियरिंग द्वारा मूर्ख बनाने का经典案例? जॉन पोडेस्टा। दो साल पहले। DNC। "उन्होंने दुनिया के लिए ‘पासवर्ड बदलें' लिंक पर क्लिक किया," वेस कहते हैं। "वह जॉर्जटाउन से पढ़े हुए वकील हैं जो इसके लिए फंस गए, इसलिए आप देख सकते हैं कि सामाजिक इंजीनियरिंग हैकिंग पर बहुत सारे मौके प्रदान करती है।"
सुरक्षा खतरों का प्रभावी ढंग से मुकाबला कैसे करें
यदि सामाजिक इंजीनियरिंग हमले इस तरह से डिजाइन किए गए हैं कि हमें विश्वास दिलाएँ कि हम पहले से ही एक्सपोज़ हैं, तो आप, एक कंपनी के रूप में, अपने कर्मचारियों को घबराने की स्वाभाविक प्रवृत्तियों से लड़ने के लिए कैसे शिक्षित कर सकते हैं? यहां, वेस एकदम स्पष्ट हैं:
"आपको संस्कृति को बदलने की आवश्यकता है।"
"गुरु में, हम आमतौर पर जो मजेदार फ़िशिंग ईमेल प्रयास देखते हैं, उन्हें साझा करते हैं - और वे आमतौर पर 'रिक [गुरु के सीईओ] से' आ रहे होते हैं, जो लगातार हमारे सेल फ़ोन नंबरों की आवश्यकता में माने जाते हैं। यह मजेदार है, लेकिन यह भी नहीं है। क्या होगा यदि हमारे CSMs में से कोई इसमें फंस गया और एक सेल फोन नंबर या एक ईमेल पता दिया गया जिसे फिर हमारे ग्राहकों तक पहुंचने के लिए उपयोग किया गया था? यह एक बड़ी बात होगी। सौभाग्य से, क्योंकि हम नियमित रूप से इन खतरों का सामना करते हैं, हम उनके बारे में बात करने और नए उपायों पर एक-दूसरे को शिक्षा देने में सक्षम होते हैं, जिससे हम इनका पता लगाने में बहुत अधिक सक्षम होते हैं।"
कंपनियाँ यहां तक कि फ़िशिंग अभ्यास करने की कोशिश भी कर सकती हैं जो उनके अपने जोखिम और अनुपालन टीम को नकली फ़िशिंग ईमेल भेजने की अनुमति देती हैं यह देखने के लिए कि कंपनी में कौन वास्तव में हमले के लिए फंस सकता है, लेकिन इससे टीम में विश्वास खोने का खतरा होता है। इसके बदले, यहाँ गुरु में, वेस ने सुनिश्चित किया कि कंपनी में सभी ने प्रशिक्षण उद्देश्यों के लिए गूगल जिग्सॉ फ़िशिंग क्विज़ से गुजरें।
सुरक्षा खतरों से निपटने का सही तरीका नहीं
"किसी कारण से, कई मामलों में, उद्योग में स्वर्ण मानक है कि कर्मचारियों को सालाना एक निष्क्रिय तरीके से सुरक्षा पर 'प्रशिक्षित' किया जाए। हर कोई फ़िशिंग के खतरों का जवाब देने के जोखिम के बारे में वीडियो देखता है या ईमेल ब्लास्ट प्राप्त करता है, और फिर सुरक्षा टीम कह सकती है, ‘देखो, हर किसी ने इसे देखा या पढ़ा, फिर हर कोई आगे बढ़ गया।'"
ऐसा निष्क्रिय प्रशिक्षण जरूरी नहीं सिखाता है कि हमले का जवाब कैसे देना है या उन खतरों की सक्रिय पहचान कैसे करनी है, खासकर जैसे-जैसे रणनीतियाँ पूरे वर्ष बदलती हैं। आपकी जोखिम और अनुपालन टीम को बड़े कर्मचारी आधार के साथ संवाद की उस रेखा को खुला रखना चाहिए और सुनिश्चित करना चाहिए कि यह एक स्थायी वार्तालाप है।
फ़िशिंग के खिलाफ सबसे मजबूत रक्षा
"अंत में, फ़िशिंग के खिलाफ सबसे मजबूत रक्षा एक स्वस्थ संदेह है," वेस समझाते हैं। एक आदर्श दुनिया में, यह तरह के खतरे मौजूद नहीं होते, लेकिन चूंकि वे मौजूद हैं, जिस उपकरण पर हम निर्भर हैं उसमें उचित मात्रा में संदेह बनाए रखना एकमात्र तरीका है वास्तविकता में सतर्क रहना।
नवीनतम सुरक्षा खतरा यहां है - और यह हमारे कैलेंडर में है। स्पैमर Google कैलेंडर निमंत्रण जिसमें लिंक होते हैं भेज रहे हैं, इनबॉक्स को बायपास करते हुए और डिफॉल्ट कैलेंडर सेटिंग्स का फायदा उठाते हुए जो निमंत्रणों को स्वचालित रूप से प्रदर्शित करने की अनुमति देते हैं, चाहे उन्हें स्वीकार किया गया हो या नहीं। हमने हमारे जोखिम और अनुपालन प्रबंधक, वेस आंद्रूस के साथ बातचीत की, कि आपकी कंपनी को उभरते सामाजिक इंजीनियरिंग सुरक्षा खतरों (जैसे फ़िशिंग या कैलेंडर स्पैम) के बारे में कैसे सबसे अच्छा शिक्षित किया जाए, और कैसे व्यापक ज्ञान आपके आंतरिक तकनीकी सुरक्षा को बनाए रखने में मदद कर सकता है।
पहले, हम वेस के बारे में थोड़ा जानकारी देते हैं इससे पहले कि हम उनके सुझावों में जाएं: उनकी पृष्ठभूमि में पेंटागन में रक्षा विभाग और आर्मी साइबर कमांड में सेवा देना शामिल है, इसके बाद डेल सुरक्षित कार्यों में जोखिम और अनुपालन विभाग का नेतृत्व करना। यह कहने की जरूरत नहीं है, वह जानता है कि वह किस बारे में बात कर रहा है।
फिशिंग हैकिंग नहीं है - यह और भी बुरा है।
जबकि हॉलीवुड हमें यह विश्वास दिलाना पसंद करता है कि "हैकिंग" में एक आदमी टर्मिनल में क्रोधित होकर कमांड टाइप करता है, उस तरह की भेद्यता को "बग शिकारी" कार्यक्रमों के कारण बड़े पैमाने पर (हालांकि पूरी तरह से नहीं) हतोत्साहित किया गया है। वेस इसे इस तरह बताते हैं: "बग शिकारी कार्यक्रम कंपनियों को कहते हैं, 'यदि आप हमारी ऐप में कुछ गलत पाते हैं, तो हम आपको भुगतान करेंगे। हमें हैक करने की कोशिश मत करो; बस हमें बताओ और हम आपको भुगतान करेंगे।"
"सामाजिक इंजीनियरिंग पारंपरिक हैकिंग प्रयासों को बायपास करती है और सीधे डेटा के पहुंच वाले मानवों के माध्यम से जाती है - और यह साबित हुआ है कि यह कहीं अधिक प्रभावी है।"
कुछ ईमेल निम्न गुणवत्ता वाले होते हैं, लेकिन कई काफी विश्वसनीय होते हैं, जो हमारे मौजूदा एक्सपोज़र के डर पर शिकारी करते हैं ताकि हमें… एक्सपोज़ करने के लिए! आपको किसी एक व्यक्ति को घबराने की आवश्यकता होती है ताकि सामाजिक इंजीनियरिंग पूरे कंपनी पर असर डाले।
एक स्मार्ट व्यक्ति को सामाजिक इंजीनियरिंग द्वारा मूर्ख बनाने का经典案例? जॉन पोडेस्टा। दो साल पहले। DNC। "उन्होंने दुनिया के लिए ‘पासवर्ड बदलें' लिंक पर क्लिक किया," वेस कहते हैं। "वह जॉर्जटाउन से पढ़े हुए वकील हैं जो इसके लिए फंस गए, इसलिए आप देख सकते हैं कि सामाजिक इंजीनियरिंग हैकिंग पर बहुत सारे मौके प्रदान करती है।"
सुरक्षा खतरों का प्रभावी ढंग से मुकाबला कैसे करें
यदि सामाजिक इंजीनियरिंग हमले इस तरह से डिजाइन किए गए हैं कि हमें विश्वास दिलाएँ कि हम पहले से ही एक्सपोज़ हैं, तो आप, एक कंपनी के रूप में, अपने कर्मचारियों को घबराने की स्वाभाविक प्रवृत्तियों से लड़ने के लिए कैसे शिक्षित कर सकते हैं? यहां, वेस एकदम स्पष्ट हैं:
"आपको संस्कृति को बदलने की आवश्यकता है।"
"गुरु में, हम आमतौर पर जो मजेदार फ़िशिंग ईमेल प्रयास देखते हैं, उन्हें साझा करते हैं - और वे आमतौर पर 'रिक [गुरु के सीईओ] से' आ रहे होते हैं, जो लगातार हमारे सेल फ़ोन नंबरों की आवश्यकता में माने जाते हैं। यह मजेदार है, लेकिन यह भी नहीं है। क्या होगा यदि हमारे CSMs में से कोई इसमें फंस गया और एक सेल फोन नंबर या एक ईमेल पता दिया गया जिसे फिर हमारे ग्राहकों तक पहुंचने के लिए उपयोग किया गया था? यह एक बड़ी बात होगी। सौभाग्य से, क्योंकि हम नियमित रूप से इन खतरों का सामना करते हैं, हम उनके बारे में बात करने और नए उपायों पर एक-दूसरे को शिक्षा देने में सक्षम होते हैं, जिससे हम इनका पता लगाने में बहुत अधिक सक्षम होते हैं।"
कंपनियाँ यहां तक कि फ़िशिंग अभ्यास करने की कोशिश भी कर सकती हैं जो उनके अपने जोखिम और अनुपालन टीम को नकली फ़िशिंग ईमेल भेजने की अनुमति देती हैं यह देखने के लिए कि कंपनी में कौन वास्तव में हमले के लिए फंस सकता है, लेकिन इससे टीम में विश्वास खोने का खतरा होता है। इसके बदले, यहाँ गुरु में, वेस ने सुनिश्चित किया कि कंपनी में सभी ने प्रशिक्षण उद्देश्यों के लिए गूगल जिग्सॉ फ़िशिंग क्विज़ से गुजरें।
सुरक्षा खतरों से निपटने का सही तरीका नहीं
"किसी कारण से, कई मामलों में, उद्योग में स्वर्ण मानक है कि कर्मचारियों को सालाना एक निष्क्रिय तरीके से सुरक्षा पर 'प्रशिक्षित' किया जाए। हर कोई फ़िशिंग के खतरों का जवाब देने के जोखिम के बारे में वीडियो देखता है या ईमेल ब्लास्ट प्राप्त करता है, और फिर सुरक्षा टीम कह सकती है, ‘देखो, हर किसी ने इसे देखा या पढ़ा, फिर हर कोई आगे बढ़ गया।'"
ऐसा निष्क्रिय प्रशिक्षण जरूरी नहीं सिखाता है कि हमले का जवाब कैसे देना है या उन खतरों की सक्रिय पहचान कैसे करनी है, खासकर जैसे-जैसे रणनीतियाँ पूरे वर्ष बदलती हैं। आपकी जोखिम और अनुपालन टीम को बड़े कर्मचारी आधार के साथ संवाद की उस रेखा को खुला रखना चाहिए और सुनिश्चित करना चाहिए कि यह एक स्थायी वार्तालाप है।
फ़िशिंग के खिलाफ सबसे मजबूत रक्षा
"अंत में, फ़िशिंग के खिलाफ सबसे मजबूत रक्षा एक स्वस्थ संदेह है," वेस समझाते हैं। एक आदर्श दुनिया में, यह तरह के खतरे मौजूद नहीं होते, लेकिन चूंकि वे मौजूद हैं, जिस उपकरण पर हम निर्भर हैं उसमें उचित मात्रा में संदेह बनाए रखना एकमात्र तरीका है वास्तविकता में सतर्क रहना।
