가장 최신의 보안 위협이 나타났습니다 — 우리의 달력에 있습니다. 스팸 발송자들은 링크가 포함된 Google 캘린더 초대장을 보냈으며, 받은 편지함을 우회하고 초대장이 자동으로 표시되도록 설정된 기본 캘린더 설정을 이용하고 있습니다. 우리는 우리의 리스크 및 컴플라이언스 매니저, 웨스 안드루스와 함께 신흥 사회 공학 보안 위협(피싱 또는 달력 스팸과 같은)에 대해 회사가 교육받는 최선의 방법과 이러한 정보가 내부 기술 보안을 유지하는 데 어떻게 도움이 되는지에 대해 이야기했습니다.
먼저, 웨스의 조언을 살펴보기 전에 그에 대한 간단한 정보입니다: 그의 경력에는 펜타곤의 국방부와 육군 사이버 사령부에서의 복무가 포함되며, 이후 Dell SecureWorks의 리스크 및 컴플라이언스 부서를 이끌었습니다. 말할 필요도 없이, 그는 자신의 분야에 대해 잘 알고 있습니다.
피싱은 해킹이 아닙니다 — 더 나쁩니다.
할리우드는 "해킹"이 한 남자가 터미널에 명령어를 빠르게 입력하는 작업인 것처럼 믿게 하고 싶어하지만, 그러한 취약점은 "버그 바운티" 프로그램 덕분에 대체로 단념되었습니다(완전히 단념된 것은 아닙니다). 웨스는 이렇게 설명합니다: "버그 바운티 프로그램은 기업이 '우리는 당신이 우리 앱에서 문제를 발견하면 보상하겠습니다.'라고 말할 수 있게 해줍니다. "우리를 해킹하려고 하지 마세요; 그냥 알려주세요, 그러면 보상하겠습니다."
"사회 공학은 전통적인 해킹 시도를 우회하고 데이터에 접근할 수 있는 사람들을 직접 통해 진행되며 — 이것이 훨씬 더 효과적이라는 것이 입증되었습니다."
어떤 이메일은 저질이지만, 많은 이메일이 매우 설득력이 있으며, 우리의 노출에 대한 기존의 두려움을 이용해… 우리를 드러냅니다! 사회 공학이 전체 회사에 영향을 미치려면 단 한 사람만이 패닉에 빠지면 됩니다.
사회 공학에 속은 똑똑한 사람의 전형적인 경우는 무엇일까요? 존 포데스타. 두 년 전. DNC. "그는 전 세계에 알려진 비밀번호 변경 링크를 클릭했습니다,"라고 웨스가 말합니다. "그는 조지타운 교육을 받은 변호사로서 속은 것인데, 그래서 사회 공학은 해킹보다 더 많은 기회를 제공합니다."
보안 위협에 효과적으로 대응하는 방법
사회 공학 공격이 우리가 이미 노출된 것처럼 설득하도록 설계되었다면, 회사로서 직원들을 어떻게 교육하여 패닉에 빠지고 싶지 않도록 할 수 있을까요? 여기서 웨스는 확고합니다:
"문화가 변해야 합니다."
"구루에서는 우리가 보는 더욱 웃긴 피싱 이메일 시도를 일반적으로 공유하고 있습니다 — 그리고 그들은 보통 '리크' [구루의 CEO]에게서 오는 것처럼 보입니다. 그는 우리의 휴대전화 번호가 필요할 것 같습니다. 재미있긴 한데, 그렇지 않기도 합니다. 만약 우리의 CSM 중 한 명이 그것에 속아 휴대폰 번호나 고객에게 접근하기 위해 사용된 이메일 주소를 제공했다면 어떻게 될까요? 그것은 큰 문제가 될 것입니다. 다행히도 이러한 위협을 정기적으로 표면화할 수 있기 때문에, 우리는 이들에 대해 이야기하고 서로 새로운 전술을 교육할 수 있습니다. 그렇게 하면 그것을 더 쉽게 발견할 수 있을 것입니다."
기업들은 심지어 자신의 리스크 및 컴플라이언스 팀이 가짜 피싱 이메일을 보내 회사에서 누가 실제 공격에 속아 넘어갈 가능성이 있는지를 확인할 수 있게 해주는 피싱 연습을 시도할 수 있지만, 그것은 팀에 대한 신뢰를 침식할 위험이 있습니다. 대신, 구루에 있는 웨스는 회사의 모든 사람이 교육 목적으로 구글 지그소 피싱 퀴즈를 통과하는 것을 확실히 했습니다.
보안 위협에 효과적으로 대응하지 않는 방법
"어떤 이유에서인지 많은 경우 업계의 금본위는 연간 직원들에게 수동적인 방식으로 보안에 대해 '교육'하는 것입니다. 모든 사람이 피싱에 대응하는 위험에 대한 비디오를 보거나 이메일 폭탄을 받고, 이후 보안 팀은 '모두가 이걸 보거나 읽었으니 모두 지나갔다.'라고 말할 수 있습니다."
이러한 유형의 수동적인 교육은 누군가가 공격에 어떻게 대응해야 하는지 또는 그러한 위협을 어떻게 적극적으로 식별해야 하는지를 반드시 가르쳐주지 않으며, 특히 전술이 연중 동안 바뀌기 때문에 더욱 어렵습니다. 귀사의 리스크 및 컴플라이언스 팀은 더 큰 직원 기반과 이 대화의 대화선을 유지해야 하며 이를 지속적인 대화로 만들어야 합니다.
피싱에 대한 가장 강력한 방어는
"결국 피싱에 대한 가장 강력한 방어는 건강한 불신입니다,"라고 웨스가 설명합니다. 이상적인 세상에서는 이러한 위협들이 존재하지 않을 것이라고 생각하지만, 이들이 존재하기 때문에 우리가 의존하는 도구에 대한 적절한 양의 의심을 유지하는 것이 진정으로 경계를 유지하는 유일한 방법입니다.
가장 최신의 보안 위협이 나타났습니다 — 우리의 달력에 있습니다. 스팸 발송자들은 링크가 포함된 Google 캘린더 초대장을 보냈으며, 받은 편지함을 우회하고 초대장이 자동으로 표시되도록 설정된 기본 캘린더 설정을 이용하고 있습니다. 우리는 우리의 리스크 및 컴플라이언스 매니저, 웨스 안드루스와 함께 신흥 사회 공학 보안 위협(피싱 또는 달력 스팸과 같은)에 대해 회사가 교육받는 최선의 방법과 이러한 정보가 내부 기술 보안을 유지하는 데 어떻게 도움이 되는지에 대해 이야기했습니다.
먼저, 웨스의 조언을 살펴보기 전에 그에 대한 간단한 정보입니다: 그의 경력에는 펜타곤의 국방부와 육군 사이버 사령부에서의 복무가 포함되며, 이후 Dell SecureWorks의 리스크 및 컴플라이언스 부서를 이끌었습니다. 말할 필요도 없이, 그는 자신의 분야에 대해 잘 알고 있습니다.
피싱은 해킹이 아닙니다 — 더 나쁩니다.
할리우드는 "해킹"이 한 남자가 터미널에 명령어를 빠르게 입력하는 작업인 것처럼 믿게 하고 싶어하지만, 그러한 취약점은 "버그 바운티" 프로그램 덕분에 대체로 단념되었습니다(완전히 단념된 것은 아닙니다). 웨스는 이렇게 설명합니다: "버그 바운티 프로그램은 기업이 '우리는 당신이 우리 앱에서 문제를 발견하면 보상하겠습니다.'라고 말할 수 있게 해줍니다. "우리를 해킹하려고 하지 마세요; 그냥 알려주세요, 그러면 보상하겠습니다."
"사회 공학은 전통적인 해킹 시도를 우회하고 데이터에 접근할 수 있는 사람들을 직접 통해 진행되며 — 이것이 훨씬 더 효과적이라는 것이 입증되었습니다."
어떤 이메일은 저질이지만, 많은 이메일이 매우 설득력이 있으며, 우리의 노출에 대한 기존의 두려움을 이용해… 우리를 드러냅니다! 사회 공학이 전체 회사에 영향을 미치려면 단 한 사람만이 패닉에 빠지면 됩니다.
사회 공학에 속은 똑똑한 사람의 전형적인 경우는 무엇일까요? 존 포데스타. 두 년 전. DNC. "그는 전 세계에 알려진 비밀번호 변경 링크를 클릭했습니다,"라고 웨스가 말합니다. "그는 조지타운 교육을 받은 변호사로서 속은 것인데, 그래서 사회 공학은 해킹보다 더 많은 기회를 제공합니다."
보안 위협에 효과적으로 대응하는 방법
사회 공학 공격이 우리가 이미 노출된 것처럼 설득하도록 설계되었다면, 회사로서 직원들을 어떻게 교육하여 패닉에 빠지고 싶지 않도록 할 수 있을까요? 여기서 웨스는 확고합니다:
"문화가 변해야 합니다."
"구루에서는 우리가 보는 더욱 웃긴 피싱 이메일 시도를 일반적으로 공유하고 있습니다 — 그리고 그들은 보통 '리크' [구루의 CEO]에게서 오는 것처럼 보입니다. 그는 우리의 휴대전화 번호가 필요할 것 같습니다. 재미있긴 한데, 그렇지 않기도 합니다. 만약 우리의 CSM 중 한 명이 그것에 속아 휴대폰 번호나 고객에게 접근하기 위해 사용된 이메일 주소를 제공했다면 어떻게 될까요? 그것은 큰 문제가 될 것입니다. 다행히도 이러한 위협을 정기적으로 표면화할 수 있기 때문에, 우리는 이들에 대해 이야기하고 서로 새로운 전술을 교육할 수 있습니다. 그렇게 하면 그것을 더 쉽게 발견할 수 있을 것입니다."
기업들은 심지어 자신의 리스크 및 컴플라이언스 팀이 가짜 피싱 이메일을 보내 회사에서 누가 실제 공격에 속아 넘어갈 가능성이 있는지를 확인할 수 있게 해주는 피싱 연습을 시도할 수 있지만, 그것은 팀에 대한 신뢰를 침식할 위험이 있습니다. 대신, 구루에 있는 웨스는 회사의 모든 사람이 교육 목적으로 구글 지그소 피싱 퀴즈를 통과하는 것을 확실히 했습니다.
보안 위협에 효과적으로 대응하지 않는 방법
"어떤 이유에서인지 많은 경우 업계의 금본위는 연간 직원들에게 수동적인 방식으로 보안에 대해 '교육'하는 것입니다. 모든 사람이 피싱에 대응하는 위험에 대한 비디오를 보거나 이메일 폭탄을 받고, 이후 보안 팀은 '모두가 이걸 보거나 읽었으니 모두 지나갔다.'라고 말할 수 있습니다."
이러한 유형의 수동적인 교육은 누군가가 공격에 어떻게 대응해야 하는지 또는 그러한 위협을 어떻게 적극적으로 식별해야 하는지를 반드시 가르쳐주지 않으며, 특히 전술이 연중 동안 바뀌기 때문에 더욱 어렵습니다. 귀사의 리스크 및 컴플라이언스 팀은 더 큰 직원 기반과 이 대화의 대화선을 유지해야 하며 이를 지속적인 대화로 만들어야 합니다.
피싱에 대한 가장 강력한 방어는
"결국 피싱에 대한 가장 강력한 방어는 건강한 불신입니다,"라고 웨스가 설명합니다. 이상적인 세상에서는 이러한 위협들이 존재하지 않을 것이라고 생각하지만, 이들이 존재하기 때문에 우리가 의존하는 도구에 대한 적절한 양의 의심을 유지하는 것이 진정으로 경계를 유지하는 유일한 방법입니다.
