Leer hoe je je bedrijf het beste kunt opleiden over het bestrijden van opkomende cybersecuritybeveiligingsdreigingen zoals phishing-e-mails en agenda-spam.
De nieuwste beveiligingsdreiging is hier — en hij staat in onze agenda's. Spammers hebben Google Agenda-uitnodigingen met links gestuurd, waarbij ze de inboxen omzeilen en profiteren van de standaardinstellingen van de agenda die uitnodigingen automatisch weergeven, ongeacht of ze zijn geaccepteerd of niet. We hebben met onze risico- en compliance-manager, Wes Andrues, gesproken over hoe je het beste je bedrijf kunt opleiden over opkomende beveiligingsdreigingen door sociale manipulatie (zoals phishing of agenda-spam), en hoe wijdverspreide kennis kan helpen om je interne technologische beveiliging te behouden.
Eerst een beetje over Wes voordat we op zijn tips ingaan: zijn achtergrond omvat diensten in het ministerie van Defensie en het Cyber Command van het Leger in het Pentagon, gevolgd door het leiden van de afdeling risico en compliance bij Dell SecureWorks. Zeggen dat hij weet waar hij het over heeft, is overbodig.
Phishing IS GEEN hacking — het is erger
Terwijl Hollywood ons graag zou willen laten geloven dat "hacking" bestaat uit één persoon die vurig commando's in de terminal typt, is dat soort kwetsbaarheid grotendeels (hoewel niet volledig) ontmoedigd dankzij "bug bounty"-programma's. Wes legt het zo uit: "Bug bounty-programma's stellen bedrijven in staat om te zeggen: ‘We betalen je als je iets fout vindt met onze app.' Probeer ons niet te hacken; vertel het ons gewoon en we betalen je."
"Social engineering omzeilt die traditionele hackingpoging en gaat rechtstreeks via mensen met toegang tot gegevens — en dat is veel effectiever gebleken."
Sommige zijn van slechte kwaliteit, maar veel zijn behoorlijk overtuigend en spelen in op onze bestaande angsten voor blootstelling om ons te... bloot te stellen! Je hebt maar één persoon nodig die in paniek raakt, zodat sociale manipulatie een heel bedrijf kan beïnvloeden.
Het klassieke geval van een slimme persoon die door sociale manipulatie wordt misleid? John Podesta. Twee jaar geleden. De DNC. "Hij klikte op de link om het wachtwoord te wijzigen, die de wereld rondging," zegt Wes. "Hij is een advocaat die aan de Georgetown University is opgeleid en viel ervoor, dus je kunt zien waarom sociale manipulatie veel meer kansen biedt dan hacking."
Hoe je beveiligingsdreigingen effectief kunt bestrijden
Als sociale engineering-aanvallen zijn ontworpen om ons te overtuigen dat we al blootgesteld zijn, hoe kun je als bedrijf je medewerkers opleiden om de natuurlijke neiging tot paniek te bestrijden? Hier is Wes stellig:
"Je moet de cultuur veranderen."
"Bij Guru delen we meestal de grappigste phishing-e-mailpogingen die we zien — en ze komen meestal ‘van’ Rick [de CEO van Guru], die voortdurend onze mobiele nummers nodig lijkt te hebben. Het is grappig, maar ook weer niet. Wat als een van onze CSM's ervoor valt en een mobiel nummer of e-mailadres geeft dat vervolgens wordt gebruikt om onze klanten te bereiken? Dat zou een groot probleem zijn. Gelukkig, omdat we deze bedreigingen regelmatig aan de oppervlakte brengen, kunnen we erover praten en elkaar opleiden over nieuwe tactieken, waardoor we veel meer kans maken om ze te herkennen."
Bedrijven kunnen zelfs phishing-oefeningen proberen waarbij hun eigen risico- en compliance-team nep-phishing-e-mails verstuurt om te zien wie in het bedrijf waarschijnlijk voor een echte aanval valt, maar dat kan het vertrouwen in het team ondermijnen. In plaats daarvan zorgde Wes ervoor dat iedereen in het bedrijf de Google Jigsaw Phishing Quiz doorliep voor trainingsdoeleinden.
Hoe je geen beveiligingsdreigingen kunt bestrijden
"Om de een of andere reden is de gouden standaard in de industrie in veel gevallen om de werknemers jaarlijks passief te 'trainen' in beveiliging. Iedereen kijkt naar een video of krijgt een e-mailblast over de risico's van reageren op phishing, en dan kan het beveiligingsteam zeggen: ‘Kijk, iedereen heeft dit bekeken of gelezen, dus iedereen is verder gegaan.'"
Dat soort passieve training leert niemand noodzakelijkerwijs hoe te reageren op een aanval of hoe actief die bedreigingen te identificeren, vooral terwijl de tactieken gedurende het jaar verschuiven. Je risico- en compliance-team moet die lijn van dialoog openhouden met de grotere werknemersbasis en ervoor zorgen dat het een doorlopend gesprek is.
De sterkste verdediging tegen phishing
"Uiteindelijk is de sterkste verdediging tegen phishing een gezonde wantrouwen," legt Wes uit. In een ideale wereld zouden deze soorten bedreigingen niet bestaan, maar omdat ze bestaan, is het behouden van een behoorlijke hoeveelheid scepticisme tegenover de tools waarop we vertrouwen de enige manier om echt waakzaam te blijven.
De nieuwste beveiligingsdreiging is hier — en hij staat in onze agenda's. Spammers hebben Google Agenda-uitnodigingen met links gestuurd, waarbij ze de inboxen omzeilen en profiteren van de standaardinstellingen van de agenda die uitnodigingen automatisch weergeven, ongeacht of ze zijn geaccepteerd of niet. We hebben met onze risico- en compliance-manager, Wes Andrues, gesproken over hoe je het beste je bedrijf kunt opleiden over opkomende beveiligingsdreigingen door sociale manipulatie (zoals phishing of agenda-spam), en hoe wijdverspreide kennis kan helpen om je interne technologische beveiliging te behouden.
Eerst een beetje over Wes voordat we op zijn tips ingaan: zijn achtergrond omvat diensten in het ministerie van Defensie en het Cyber Command van het Leger in het Pentagon, gevolgd door het leiden van de afdeling risico en compliance bij Dell SecureWorks. Zeggen dat hij weet waar hij het over heeft, is overbodig.
Phishing IS GEEN hacking — het is erger
Terwijl Hollywood ons graag zou willen laten geloven dat "hacking" bestaat uit één persoon die vurig commando's in de terminal typt, is dat soort kwetsbaarheid grotendeels (hoewel niet volledig) ontmoedigd dankzij "bug bounty"-programma's. Wes legt het zo uit: "Bug bounty-programma's stellen bedrijven in staat om te zeggen: ‘We betalen je als je iets fout vindt met onze app.' Probeer ons niet te hacken; vertel het ons gewoon en we betalen je."
"Social engineering omzeilt die traditionele hackingpoging en gaat rechtstreeks via mensen met toegang tot gegevens — en dat is veel effectiever gebleken."
Sommige zijn van slechte kwaliteit, maar veel zijn behoorlijk overtuigend en spelen in op onze bestaande angsten voor blootstelling om ons te... bloot te stellen! Je hebt maar één persoon nodig die in paniek raakt, zodat sociale manipulatie een heel bedrijf kan beïnvloeden.
Het klassieke geval van een slimme persoon die door sociale manipulatie wordt misleid? John Podesta. Twee jaar geleden. De DNC. "Hij klikte op de link om het wachtwoord te wijzigen, die de wereld rondging," zegt Wes. "Hij is een advocaat die aan de Georgetown University is opgeleid en viel ervoor, dus je kunt zien waarom sociale manipulatie veel meer kansen biedt dan hacking."
Hoe je beveiligingsdreigingen effectief kunt bestrijden
Als sociale engineering-aanvallen zijn ontworpen om ons te overtuigen dat we al blootgesteld zijn, hoe kun je als bedrijf je medewerkers opleiden om de natuurlijke neiging tot paniek te bestrijden? Hier is Wes stellig:
"Je moet de cultuur veranderen."
"Bij Guru delen we meestal de grappigste phishing-e-mailpogingen die we zien — en ze komen meestal ‘van’ Rick [de CEO van Guru], die voortdurend onze mobiele nummers nodig lijkt te hebben. Het is grappig, maar ook weer niet. Wat als een van onze CSM's ervoor valt en een mobiel nummer of e-mailadres geeft dat vervolgens wordt gebruikt om onze klanten te bereiken? Dat zou een groot probleem zijn. Gelukkig, omdat we deze bedreigingen regelmatig aan de oppervlakte brengen, kunnen we erover praten en elkaar opleiden over nieuwe tactieken, waardoor we veel meer kans maken om ze te herkennen."
Bedrijven kunnen zelfs phishing-oefeningen proberen waarbij hun eigen risico- en compliance-team nep-phishing-e-mails verstuurt om te zien wie in het bedrijf waarschijnlijk voor een echte aanval valt, maar dat kan het vertrouwen in het team ondermijnen. In plaats daarvan zorgde Wes ervoor dat iedereen in het bedrijf de Google Jigsaw Phishing Quiz doorliep voor trainingsdoeleinden.
Hoe je geen beveiligingsdreigingen kunt bestrijden
"Om de een of andere reden is de gouden standaard in de industrie in veel gevallen om de werknemers jaarlijks passief te 'trainen' in beveiliging. Iedereen kijkt naar een video of krijgt een e-mailblast over de risico's van reageren op phishing, en dan kan het beveiligingsteam zeggen: ‘Kijk, iedereen heeft dit bekeken of gelezen, dus iedereen is verder gegaan.'"
Dat soort passieve training leert niemand noodzakelijkerwijs hoe te reageren op een aanval of hoe actief die bedreigingen te identificeren, vooral terwijl de tactieken gedurende het jaar verschuiven. Je risico- en compliance-team moet die lijn van dialoog openhouden met de grotere werknemersbasis en ervoor zorgen dat het een doorlopend gesprek is.
De sterkste verdediging tegen phishing
"Uiteindelijk is de sterkste verdediging tegen phishing een gezonde wantrouwen," legt Wes uit. In een ideale wereld zouden deze soorten bedreigingen niet bestaan, maar omdat ze bestaan, is het behouden van een behoorlijke hoeveelheid scepticisme tegenover de tools waarop we vertrouwen de enige manier om echt waakzaam te blijven.
