Combatting Emerging Cybersecurity Threats
フィッシングメールやカレンダースパムのような、新たなサイバーセキュリティ脅威について、会社をどう教育し、対抗するのが最良かを学びましょう。
最新のセキュリティ脅威がここにあります — それは私たちのカレンダーにあります。 スパマーは、リンクを含むGoogleカレンダーの招待状を送り、受信箱をバイパスし、受け入れられたかどうかにかかわらず、自動的に表示されるデフォルトのカレンダー設定を利用しています。 私たちは、リスクとコンプライアンスマネージャーのウェス・アンドリューズに、フィッシングやカレンダースパムのような新たなソーシャルエンジニアリングセキュリティ脅威について、会社を教育する最善の方法と、その広範な知識が内部の技術セキュリティを維持するのにどう役立つかを尋ねました。
まず、彼のヒントに入る前にウェスについて少しお話しします:彼の経歴には国防総省やペンタゴンの陸軍サイバーコマンドでの勤務が含まれ、その後デル・セキュアワークスでリスクとコンプライアンスの部門をリードしました。 言うまでもなく、彼は自分が何を話しているのかを知っています。
フィッシングはハッキングではありません — それどころか悪化しています。
ハリウッドが信じさせたいのは、「ハッキング」は一人の男が熱心にターミナルにコマンドを打ち込むことだということですが、その種の脆弱性は、「バグバウンティ」プログラムのおかげで、大部分(完全にはそうではありませんが)排除されました。 ウェスはこれをこう説明します:「バグバウンティプログラムは、企業が『アプリに何か問題があるのを見つけたら報酬を払います。 私たちをハッキングしないで、ただ教えてくれれば、報酬を支払います。"
「ソーシャルエンジニアリングはその伝統的なハッキングの試みをバイパスし、データにアクセスできる人間を直接攻撃します — そして、それははるかに効果的であることが証明されています。」
中には質の悪いメールもありますが、非常に説得力のあるものも多く、私たちの露呈への恐怖を利用して私たちを…晒します! 社会工学が全体の会社に影響を与えるには、1人のパニックを起こすだけで済みます。
ソーシャルエンジニアリングで騙される賢い人の典型的なケースは? ジョン・ポデスタ。 2年前。 DNC。 「彼は世界中で聞こえたパスワード変更リンクをクリックしました。」とウェスは言います。 「彼はジョージタウン大学の教育を受けた弁護士で、それに騙されたので、ソーシャルエンジニアリングがハッキングよりも多くの機会を提供する理由がわかります。」
セキュリティ脅威と効果的に戦う方法
ソーシャルエンジニアリング攻撃は、私たちがすでに暴露されていると信じ込ませるように設計されている場合、企業として、従業員にパニックを避けるように教育するにはどうすればよいのでしょうか? ここでウェスは明確です:
「文化を変えなければなりません。」
「私たちは通常、見かけの面白いフィッシングメールの試みを共有していますし、それらは通常、リック(GuruのCEO)から「来ている」とされ、彼は私たちの携帯電話番号を常に必要としています。 それは面白いですが、面白くないこともあります。 私たちのCSMの一人がそれに引っかかって、顧客にアクセスするために使われる携帯電話番号やメールアドレスを教えたらどうなるでしょうか? それは大問題です。 幸運なことに、私たちは定期的にこれらの脅威を提示しているため、私たちはそれについて話し合い、新しい戦術についてお互いに教育し合うことができ、対処できる可能性が大幅に高まります。"
企業は、自社のリスクとコンプライアンスチームが偽のフィッシングメールを送信して、誰が本当の攻撃に引っかかる可能性があるかを確認するようなフィッシング演習を実施することもできますが、それはチームへの信頼を損なうリスクがあります。 その代わりに、私たちのGuruでは、ウェスが会社全体が< a href="https://phishingquiz.withgoogle.com/" id="">Google Jigsaw Phishing Quizをトレーニング目的で受けたことを確認しました。
セキュリティ脅威に対処しない方法
「なぜか、多くの場合、業界のゴールドスタンダードは、労働力を受動的に年間セキュリティについて「訓練」することです。 皆がフィッシングに応答するリスクについてのビデオを見たり、メールを受け取ったりし、次にセキュリティチームが『みんながこれを見たり読んだりしたので、みんな次に進んだ』と言えるのです。
そのような受動的な訓練は、攻撃にどのように反応するか、またはそれらの脅威を積極的に特定する方法を確実に教えるものではありません、特に戦術が年間を通じて変化する場合には。 リスクとコンプライアンスのチームは、大きな従業員基盤との対話を開いたままにし、それを継続的な会話にする必要があります。
フィッシングに対する最も強力な防御
「結局のところ、フィッシングに対する最も強力な防御は健全な不信感です。」とウェスは説明します。 理想的な世界では、このような脅威は存在しないでしょうが、存在するので、私たちが依存しているツールに対して適度な懐疑心を持ち続けることが唯一の方法です。
最新のセキュリティ脅威がここにあります — それは私たちのカレンダーにあります。 スパマーは、リンクを含むGoogleカレンダーの招待状を送り、受信箱をバイパスし、受け入れられたかどうかにかかわらず、自動的に表示されるデフォルトのカレンダー設定を利用しています。 私たちは、リスクとコンプライアンスマネージャーのウェス・アンドリューズに、フィッシングやカレンダースパムのような新たなソーシャルエンジニアリングセキュリティ脅威について、会社を教育する最善の方法と、その広範な知識が内部の技術セキュリティを維持するのにどう役立つかを尋ねました。
まず、彼のヒントに入る前にウェスについて少しお話しします:彼の経歴には国防総省やペンタゴンの陸軍サイバーコマンドでの勤務が含まれ、その後デル・セキュアワークスでリスクとコンプライアンスの部門をリードしました。 言うまでもなく、彼は自分が何を話しているのかを知っています。
フィッシングはハッキングではありません — それどころか悪化しています。
ハリウッドが信じさせたいのは、「ハッキング」は一人の男が熱心にターミナルにコマンドを打ち込むことだということですが、その種の脆弱性は、「バグバウンティ」プログラムのおかげで、大部分(完全にはそうではありませんが)排除されました。 ウェスはこれをこう説明します:「バグバウンティプログラムは、企業が『アプリに何か問題があるのを見つけたら報酬を払います。 私たちをハッキングしないで、ただ教えてくれれば、報酬を支払います。"
「ソーシャルエンジニアリングはその伝統的なハッキングの試みをバイパスし、データにアクセスできる人間を直接攻撃します — そして、それははるかに効果的であることが証明されています。」
中には質の悪いメールもありますが、非常に説得力のあるものも多く、私たちの露呈への恐怖を利用して私たちを…晒します! 社会工学が全体の会社に影響を与えるには、1人のパニックを起こすだけで済みます。
ソーシャルエンジニアリングで騙される賢い人の典型的なケースは? ジョン・ポデスタ。 2年前。 DNC。 「彼は世界中で聞こえたパスワード変更リンクをクリックしました。」とウェスは言います。 「彼はジョージタウン大学の教育を受けた弁護士で、それに騙されたので、ソーシャルエンジニアリングがハッキングよりも多くの機会を提供する理由がわかります。」
セキュリティ脅威と効果的に戦う方法
ソーシャルエンジニアリング攻撃は、私たちがすでに暴露されていると信じ込ませるように設計されている場合、企業として、従業員にパニックを避けるように教育するにはどうすればよいのでしょうか? ここでウェスは明確です:
「文化を変えなければなりません。」
「私たちは通常、見かけの面白いフィッシングメールの試みを共有していますし、それらは通常、リック(GuruのCEO)から「来ている」とされ、彼は私たちの携帯電話番号を常に必要としています。 それは面白いですが、面白くないこともあります。 私たちのCSMの一人がそれに引っかかって、顧客にアクセスするために使われる携帯電話番号やメールアドレスを教えたらどうなるでしょうか? それは大問題です。 幸運なことに、私たちは定期的にこれらの脅威を提示しているため、私たちはそれについて話し合い、新しい戦術についてお互いに教育し合うことができ、対処できる可能性が大幅に高まります。"
企業は、自社のリスクとコンプライアンスチームが偽のフィッシングメールを送信して、誰が本当の攻撃に引っかかる可能性があるかを確認するようなフィッシング演習を実施することもできますが、それはチームへの信頼を損なうリスクがあります。 その代わりに、私たちのGuruでは、ウェスが会社全体が< a href="https://phishingquiz.withgoogle.com/" id="">Google Jigsaw Phishing Quizをトレーニング目的で受けたことを確認しました。
セキュリティ脅威に対処しない方法
「なぜか、多くの場合、業界のゴールドスタンダードは、労働力を受動的に年間セキュリティについて「訓練」することです。 皆がフィッシングに応答するリスクについてのビデオを見たり、メールを受け取ったりし、次にセキュリティチームが『みんながこれを見たり読んだりしたので、みんな次に進んだ』と言えるのです。
そのような受動的な訓練は、攻撃にどのように反応するか、またはそれらの脅威を積極的に特定する方法を確実に教えるものではありません、特に戦術が年間を通じて変化する場合には。 リスクとコンプライアンスのチームは、大きな従業員基盤との対話を開いたままにし、それを継続的な会話にする必要があります。
フィッシングに対する最も強力な防御
「結局のところ、フィッシングに対する最も強力な防御は健全な不信感です。」とウェスは説明します。 理想的な世界では、このような脅威は存在しないでしょうが、存在するので、私たちが依存しているツールに対して適度な懐疑心を持ち続けることが唯一の方法です。
Experience the power of the Guru platform firsthand – take our interactive product tour
見学する
![[閉じる] アイコン](https://cdn.prod.website-files.com/5d8d029013ffd80bbb91320d/60634db8e001683398b23894_X-close.svg){kind=small}