Ancaman keamanan terbaru ada di sini — dan ada di kalender kita. Spammer telah mengirimkan undangan Google Calendar yang berisi tautan, melewati kotak masuk dan memanfaatkan pengaturan kalender default yang memungkinkan undangan untuk ditampilkan secara otomatis, terlepas dari apakah sudah diterima atau belum. Kami berbincang dengan manajer risiko dan kepatuhan kami, Wes Andrues, tentang cara terbaik untuk mendidik perusahaan Anda mengenai ancaman keamanan rekayasa sosial yang muncul (seperti phishing atau spam kalender), dan bagaimana pengetahuan yang luas dapat membantu menjaga keamanan teknologi internal Anda.
Pertama, sedikit tentang Wes sebelum kita masuk ke tipsnya: latar belakangnya mencakup penugasan di Departemen Pertahanan dan Perintah Siber Angkatan Darat di Pentagon, diikuti dengan memimpin departemen risiko dan kepatuhan di Dell SecureWorks. Tidak perlu dikatakan, dia tahu apa yang dia bicarakan.
Phishing BUKAN hacking — itu lebih buruk
Sementara Hollywood ingin kita percaya bahwa "hacking" melibatkan satu orang mengetik perintah dengan gelisah di terminal, jenis kerentanan seperti itu sebagian besar (meskipun tidak sepenuhnya) tidak lagi dirangsang berkat program "bug bounty". Wes menjelaskan hal ini: "Program bug bounty memungkinkan perusahaan untuk mengatakan, 'Kami akan membayar Anda jika Anda menemukan sesuatu yang salah dengan aplikasi kami. Jangan coba-coba untuk meretas kami; cukup beri tahu kami dan kami akan membayar Anda.'"
"Rekayasa sosial menghindari upaya peretasan tradisional dan langsung melalui manusia yang memiliki akses data — dan itu terbukti jauh lebih efektif."
Beberapa adalah email berkualitas rendah, tetapi banyak yang cukup meyakinkan, memangsa ketakutan kita yang ada terhadap paparan untuk... mengekspos kita! Anda hanya perlu satu orang yang panik agar rekayasa sosial berdampak pada seluruh perusahaan.
Kasus klasik tentang orang cerdas yang tertipu oleh rekayasa sosial? John Podesta. Dua tahun yang lalu. DNC. "Dia mengklik tautan ganti kata sandi yang terdengar di seluruh dunia," kata Wes. "Dia adalah seorang pengacara lulusan Georgetown yang terjebak, jadi Anda dapat melihat mengapa rekayasa sosial menawarkan banyak peluang dibandingkan peretasan."
Cara efektif untuk melawan ancaman keamanan
Jika serangan rekayasa sosial dirancang untuk meyakinkan kita bahwa kita sudah terpapar, bagaimana Anda, sebagai perusahaan, mendidik karyawan Anda untuk melawan dorongan alami untuk panik? Di sini, Wes tidak ambigu:
"Anda harus mengubah budaya."
"Di Guru, kami umumnya berbagi upaya email phishing yang lebih lucu yang kami lihat — dan biasanya juga ‘datang' dari Rick [CEO Guru], yang tampaknya membutuhkan nomor telepon seluler kami secara konstan. Ini lucu, tetapi juga tidak. Bagaimana jika salah satu CSM kami terjebak dan memberikan nomor telepon seluler atau alamat email yang kemudian digunakan untuk menghubungi pelanggan kami? Itu akan menjadi permasalahan besar. Untungnya, karena kami sering menghadapi ancaman ini, kami dapat membicarakannya dan mendidik satu sama lain tentang taktik baru, sehingga kami jauh lebih mungkin untuk dapat mengenali mereka."
Perusahaan bahkan dapat mencoba latihan phishing yang memungkinkan tim risiko dan kepatuhan mereka sendiri untuk mengirimkan email phishing palsu untuk melihat siapa di perusahaan yang kemungkinan besar akan terjebak dalam serangan nyata, tetapi itu berisiko mengikis kepercayaan terhadap tim. Sebagai gantinya, di Guru, Wes memastikan semua orang di perusahaan menghadiri Kuis Phishing Google Jigsaw untuk tujuan pelatihan.
Cara tidak melawan ancaman keamanan
"Entah mengapa, dalam banyak kasus, standar emas dalam industri adalah 'melatih' tenaga kerja setiap tahun mengenai keamanan dengan cara yang pasif. Semua orang menonton video atau mendapatkan email tentang risiko menanggapi phishing, dan kemudian tim keamanan bisa berkata, ‘Lihat, semua orang sudah menonton atau membaca ini, jadi semua orang melanjutkan.'"
Jenjang pelatihan pasif semacam itu tidak serta merta mengajarkan siapapun cara untuk merespons serangan atau bagaimana secara aktif mengidentifikasi ancaman tersebut, terutama seiring dengan bergesernya taktik sepanjang tahun. Tim risiko dan kepatuhan Anda harus menjaga saluran dialog itu terbuka dengan basis karyawan yang lebih besar dan memastikan ini adalah percakapan yang berkelanjutan.
Pertahanan terkuat terhadap phishing
"Pada akhirnya, pertahanan terkuat terhadap phishing adalah ketidakpercayaan yang sehat," jelas Wes. Dalam dunia ideal, jenis ancaman ini tidak akan ada, tetapi karena mereka ada, mempertahankan jumlah skeptisisme yang wajar terhadap alat yang kita andalkan adalah satu-satunya cara untuk benar-benar tetap waspada.
Ancaman keamanan terbaru ada di sini — dan ada di kalender kita. Spammer telah mengirimkan undangan Google Calendar yang berisi tautan, melewati kotak masuk dan memanfaatkan pengaturan kalender default yang memungkinkan undangan untuk ditampilkan secara otomatis, terlepas dari apakah sudah diterima atau belum. Kami berbincang dengan manajer risiko dan kepatuhan kami, Wes Andrues, tentang cara terbaik untuk mendidik perusahaan Anda mengenai ancaman keamanan rekayasa sosial yang muncul (seperti phishing atau spam kalender), dan bagaimana pengetahuan yang luas dapat membantu menjaga keamanan teknologi internal Anda.
Pertama, sedikit tentang Wes sebelum kita masuk ke tipsnya: latar belakangnya mencakup penugasan di Departemen Pertahanan dan Perintah Siber Angkatan Darat di Pentagon, diikuti dengan memimpin departemen risiko dan kepatuhan di Dell SecureWorks. Tidak perlu dikatakan, dia tahu apa yang dia bicarakan.
Phishing BUKAN hacking — itu lebih buruk
Sementara Hollywood ingin kita percaya bahwa "hacking" melibatkan satu orang mengetik perintah dengan gelisah di terminal, jenis kerentanan seperti itu sebagian besar (meskipun tidak sepenuhnya) tidak lagi dirangsang berkat program "bug bounty". Wes menjelaskan hal ini: "Program bug bounty memungkinkan perusahaan untuk mengatakan, 'Kami akan membayar Anda jika Anda menemukan sesuatu yang salah dengan aplikasi kami. Jangan coba-coba untuk meretas kami; cukup beri tahu kami dan kami akan membayar Anda.'"
"Rekayasa sosial menghindari upaya peretasan tradisional dan langsung melalui manusia yang memiliki akses data — dan itu terbukti jauh lebih efektif."
Beberapa adalah email berkualitas rendah, tetapi banyak yang cukup meyakinkan, memangsa ketakutan kita yang ada terhadap paparan untuk... mengekspos kita! Anda hanya perlu satu orang yang panik agar rekayasa sosial berdampak pada seluruh perusahaan.
Kasus klasik tentang orang cerdas yang tertipu oleh rekayasa sosial? John Podesta. Dua tahun yang lalu. DNC. "Dia mengklik tautan ganti kata sandi yang terdengar di seluruh dunia," kata Wes. "Dia adalah seorang pengacara lulusan Georgetown yang terjebak, jadi Anda dapat melihat mengapa rekayasa sosial menawarkan banyak peluang dibandingkan peretasan."
Cara efektif untuk melawan ancaman keamanan
Jika serangan rekayasa sosial dirancang untuk meyakinkan kita bahwa kita sudah terpapar, bagaimana Anda, sebagai perusahaan, mendidik karyawan Anda untuk melawan dorongan alami untuk panik? Di sini, Wes tidak ambigu:
"Anda harus mengubah budaya."
"Di Guru, kami umumnya berbagi upaya email phishing yang lebih lucu yang kami lihat — dan biasanya juga ‘datang' dari Rick [CEO Guru], yang tampaknya membutuhkan nomor telepon seluler kami secara konstan. Ini lucu, tetapi juga tidak. Bagaimana jika salah satu CSM kami terjebak dan memberikan nomor telepon seluler atau alamat email yang kemudian digunakan untuk menghubungi pelanggan kami? Itu akan menjadi permasalahan besar. Untungnya, karena kami sering menghadapi ancaman ini, kami dapat membicarakannya dan mendidik satu sama lain tentang taktik baru, sehingga kami jauh lebih mungkin untuk dapat mengenali mereka."
Perusahaan bahkan dapat mencoba latihan phishing yang memungkinkan tim risiko dan kepatuhan mereka sendiri untuk mengirimkan email phishing palsu untuk melihat siapa di perusahaan yang kemungkinan besar akan terjebak dalam serangan nyata, tetapi itu berisiko mengikis kepercayaan terhadap tim. Sebagai gantinya, di Guru, Wes memastikan semua orang di perusahaan menghadiri Kuis Phishing Google Jigsaw untuk tujuan pelatihan.
Cara tidak melawan ancaman keamanan
"Entah mengapa, dalam banyak kasus, standar emas dalam industri adalah 'melatih' tenaga kerja setiap tahun mengenai keamanan dengan cara yang pasif. Semua orang menonton video atau mendapatkan email tentang risiko menanggapi phishing, dan kemudian tim keamanan bisa berkata, ‘Lihat, semua orang sudah menonton atau membaca ini, jadi semua orang melanjutkan.'"
Jenjang pelatihan pasif semacam itu tidak serta merta mengajarkan siapapun cara untuk merespons serangan atau bagaimana secara aktif mengidentifikasi ancaman tersebut, terutama seiring dengan bergesernya taktik sepanjang tahun. Tim risiko dan kepatuhan Anda harus menjaga saluran dialog itu terbuka dengan basis karyawan yang lebih besar dan memastikan ini adalah percakapan yang berkelanjutan.
Pertahanan terkuat terhadap phishing
"Pada akhirnya, pertahanan terkuat terhadap phishing adalah ketidakpercayaan yang sehat," jelas Wes. Dalam dunia ideal, jenis ancaman ini tidak akan ada, tetapi karena mereka ada, mempertahankan jumlah skeptisisme yang wajar terhadap alat yang kita andalkan adalah satu-satunya cara untuk benar-benar tetap waspada.
