Scopri come educare al meglio la tua azienda riguardo e combattere le emergenti minacce alla sicurezza informatica come le email di phishing e lo spam nei calendari.
La nuova minaccia alla sicurezza è qui — ed è nei nostri calendari. I spammer hanno inviato inviti di Google Calendar contenenti collegamenti, eludendo le caselle di posta e approfittando delle impostazioni di calendario predefinite che consentono alle inviti di essere visualizzati automaticamente, indipendentemente dal fatto che siano stati accettati o meno. Abbiamo parlato con il nostro responsabile della gestione dei rischi e della conformità, Wes Andrues, su come educare al meglio la vostra azienda riguardo alle minacce emergenti alla sicurezza informatica legate all'ingegneria sociale (come il phishing o lo spam nei calendari), e come la conoscenza diffusa può aiutare a mantenere la sicurezza tecnologica interna.
Prima di tutto, un po' su Wes prima di tuffarci nei suoi consigli: la sua esperienza include il servizio nel Dipartimento della Difesa e nei Comandi di Cyber Army al Pentagono, seguito dalla guida del dipartimento di gestione dei rischi e della conformità presso Dell SecureWorks. A dir poco, sa di cosa sta parlando.
Il phishing NON è hacking — è peggio
Mentre Hollywood vorrebbe farci credere che "hacking" comporti un ragazzo che digita furiosamente comandi nel terminale, quel tipo di vulnerabilità è stato ampiamente (anche se non del tutto) disincentivato grazie ai programmi di "bug bounty". Wes lo spiega in questo modo: "I programmi di bug bounty consentono alle aziende di dire: ‘Ti pagheremo se trovi qualcosa che non va nella nostra app. Non provarci a hackerarci; dillo e ti pagheremo.'"
"L'ingegneria sociale elude quel tradizionale tentativo di hacking e passa direttamente attraverso gli esseri umani con accesso ai dati — e questo si è dimostrato molto più efficace."
Alcuni sono email di scarsa qualità, ma molti sono piuttosto convincenti, approfittando delle nostre paure esistenti di esposizione per… esporci! Hai bisogno di una sola persona che entri in panico affinché l'ingegneria sociale influisca su un'intera azienda.
Il caso classico di una persona intelligente ingannata dall'ingegneria sociale? John Podesta. Due anni fa. Il DNC. "Ha cliccato sul link per cambiare la password che ha fatto il giro del mondo," dice Wes. "È un avvocato laureato a Georgetown che ci è caduto, quindi puoi vedere perché l'ingegneria sociale offre molte più occasioni rispetto all'hacking."
Come combattere efficacemente le minacce alla sicurezza
Se gli attacchi di ingegneria sociale sono progettati per convincerci che siamo già esposti, come puoi, come azienda, educare i tuoi dipendenti a combattere l'istinto naturale di andare nel panico? Qui, Wes è inequivocabile:
"Devi cambiare la cultura."
"Da Guru, generalmente condividiamo i tentativi di phishing più divertenti che vediamo — e di solito ‘provengono’ da Rick [CEO di Guru], che sembra essere costantemente in cerca dei nostri numeri di cellulare. È divertente, ma in realtà non lo è. E se uno dei nostri CSM cadde nella trappola e desse un numero di cellulare o un indirizzo email che poi fu usato per raggiungere i nostri clienti? Sarebbe un gran problema. Fortunatamente, poiché affrontiamo regolarmente queste minacce, siamo in grado di parlarne e educarci a vicenda sulle nuove tattiche, rendendoci molto più propensi a riconoscerle."
Le aziende possono anche provare esercizi di phishing che consentono al proprio team di gestione dei rischi e della conformità di inviare false email di phishing per vedere chi in azienda è più probabile che cada in un attacco reale, ma questo rischia di erodere la fiducia nel team. Invece, qui da Guru, Wes si è assicurato che tutti in azienda partecipassero al Google Jigsaw Phishing Quiz per scopi di formazione.
Come non combattere le minacce alla sicurezza
"Per qualche motivo, in molti casi, lo standard d'oro nel settore è 'formare' la forza lavoro annualmente sulla sicurezza in modo passivo. Tutti guardano un video o ricevono un'email sui rischi di rispondere a un phishing, e poi il team di sicurezza può dire: ‘Guarda, tutti hanno guardato o letto questo, quindi tutti sono andati avanti.'"
Quel tipo di formazione passiva non insegna necessariamente a nessuno come rispondere a un attacco o come identificare attivamente quelle minacce, specialmente man mano che le tattiche cambiano durante l'anno. Il tuo team di gestione dei rischi e della conformità dovrebbe mantenere aperto quel dialogo con la base dei dipendenti più ampia e assicurarsi che sia una conversazione continua.
La difesa più forte contro il phishing
"Alla fine, la difesa più forte contro il phishing è una sana sfiducia," spiega Wes. In un mondo ideale, queste tipologie di minacce non esisterebbero, ma poiché esistono, mantenere un buon livello di scetticismo sugli strumenti di cui dipendiamo è l'unico modo per rimanere realmente vigili.
La nuova minaccia alla sicurezza è qui — ed è nei nostri calendari. I spammer hanno inviato inviti di Google Calendar contenenti collegamenti, eludendo le caselle di posta e approfittando delle impostazioni di calendario predefinite che consentono alle inviti di essere visualizzati automaticamente, indipendentemente dal fatto che siano stati accettati o meno. Abbiamo parlato con il nostro responsabile della gestione dei rischi e della conformità, Wes Andrues, su come educare al meglio la vostra azienda riguardo alle minacce emergenti alla sicurezza informatica legate all'ingegneria sociale (come il phishing o lo spam nei calendari), e come la conoscenza diffusa può aiutare a mantenere la sicurezza tecnologica interna.
Prima di tutto, un po' su Wes prima di tuffarci nei suoi consigli: la sua esperienza include il servizio nel Dipartimento della Difesa e nei Comandi di Cyber Army al Pentagono, seguito dalla guida del dipartimento di gestione dei rischi e della conformità presso Dell SecureWorks. A dir poco, sa di cosa sta parlando.
Il phishing NON è hacking — è peggio
Mentre Hollywood vorrebbe farci credere che "hacking" comporti un ragazzo che digita furiosamente comandi nel terminale, quel tipo di vulnerabilità è stato ampiamente (anche se non del tutto) disincentivato grazie ai programmi di "bug bounty". Wes lo spiega in questo modo: "I programmi di bug bounty consentono alle aziende di dire: ‘Ti pagheremo se trovi qualcosa che non va nella nostra app. Non provarci a hackerarci; dillo e ti pagheremo.'"
"L'ingegneria sociale elude quel tradizionale tentativo di hacking e passa direttamente attraverso gli esseri umani con accesso ai dati — e questo si è dimostrato molto più efficace."
Alcuni sono email di scarsa qualità, ma molti sono piuttosto convincenti, approfittando delle nostre paure esistenti di esposizione per… esporci! Hai bisogno di una sola persona che entri in panico affinché l'ingegneria sociale influisca su un'intera azienda.
Il caso classico di una persona intelligente ingannata dall'ingegneria sociale? John Podesta. Due anni fa. Il DNC. "Ha cliccato sul link per cambiare la password che ha fatto il giro del mondo," dice Wes. "È un avvocato laureato a Georgetown che ci è caduto, quindi puoi vedere perché l'ingegneria sociale offre molte più occasioni rispetto all'hacking."
Come combattere efficacemente le minacce alla sicurezza
Se gli attacchi di ingegneria sociale sono progettati per convincerci che siamo già esposti, come puoi, come azienda, educare i tuoi dipendenti a combattere l'istinto naturale di andare nel panico? Qui, Wes è inequivocabile:
"Devi cambiare la cultura."
"Da Guru, generalmente condividiamo i tentativi di phishing più divertenti che vediamo — e di solito ‘provengono’ da Rick [CEO di Guru], che sembra essere costantemente in cerca dei nostri numeri di cellulare. È divertente, ma in realtà non lo è. E se uno dei nostri CSM cadde nella trappola e desse un numero di cellulare o un indirizzo email che poi fu usato per raggiungere i nostri clienti? Sarebbe un gran problema. Fortunatamente, poiché affrontiamo regolarmente queste minacce, siamo in grado di parlarne e educarci a vicenda sulle nuove tattiche, rendendoci molto più propensi a riconoscerle."
Le aziende possono anche provare esercizi di phishing che consentono al proprio team di gestione dei rischi e della conformità di inviare false email di phishing per vedere chi in azienda è più probabile che cada in un attacco reale, ma questo rischia di erodere la fiducia nel team. Invece, qui da Guru, Wes si è assicurato che tutti in azienda partecipassero al Google Jigsaw Phishing Quiz per scopi di formazione.
Come non combattere le minacce alla sicurezza
"Per qualche motivo, in molti casi, lo standard d'oro nel settore è 'formare' la forza lavoro annualmente sulla sicurezza in modo passivo. Tutti guardano un video o ricevono un'email sui rischi di rispondere a un phishing, e poi il team di sicurezza può dire: ‘Guarda, tutti hanno guardato o letto questo, quindi tutti sono andati avanti.'"
Quel tipo di formazione passiva non insegna necessariamente a nessuno come rispondere a un attacco o come identificare attivamente quelle minacce, specialmente man mano che le tattiche cambiano durante l'anno. Il tuo team di gestione dei rischi e della conformità dovrebbe mantenere aperto quel dialogo con la base dei dipendenti più ampia e assicurarsi che sia una conversazione continua.
La difesa più forte contro il phishing
"Alla fine, la difesa più forte contro il phishing è una sana sfiducia," spiega Wes. In un mondo ideale, queste tipologie di minacce non esisterebbero, ma poiché esistono, mantenere un buon livello di scetticismo sugli strumenti di cui dipendiamo è l'unico modo per rimanere realmente vigili.
