Dowiedz się, jak najlepiej edukować swoją firmę o zwalczaniu pojawiających się zagrożeń w zakresie bezpieczeństwa, takich jak e-maile phishingowe i spam w kalendarzu.
Najświeższe zagrożenie w zakresie bezpieczeństwa jest tutaj — i jest w naszych kalendarzach. Spamerzy wysyłają zaproszenia do Google Calendar zawierające linki, omijając skrzynki odbiorcze i wykorzystując domyślne ustawienia kalendarza, które umożliwiają automatyczne wyświetlanie zaproszeń, niezależnie od tego, czy zostały zaakceptowane, czy nie. Rozmawialiśmy z naszym menedżerem ds. ryzyka i zgodności, Wesem Andruesem, o tym, jak najlepiej edukować swoją firmę na temat pojawiających się zagrożeń związanych z inżynierią społeczną (takich jak phishing czy spam w kalendarzu) oraz jak powszechna wiedza może pomóc w utrzymaniu bezpieczeństwa technologicznego w firmie.
Najpierw kilka informacji o Wesie, zanim przejdziemy do jego wskazówek: jego doświadczenie obejmuje pracę w Departamencie Obrony oraz Dowództwie Cybernetycznym Armii w Pentagonie, a następnie kierowanie działem ryzyka i zgodności w Dell SecureWorks. Nie trzeba mówić, że wie, o czym mówi.
Phishing NIE jest hackingiem — to gorsze
Podczas gdy Hollywood chciałoby, abyśmy uwierzyli, że "hacking" polega na tym, że jeden facet wściekle pisze komendy w terminalu, tego rodzaju podatność została w dużej mierze (choć nie całkowicie) zniechęcona dzięki programom "bug bounty". Wes wyjaśnia to w ten sposób: "Programy bug bounty pozwalają firmom powiedzieć: 'Zapłacimy ci, jeśli znajdziesz coś złego w naszej aplikacji. Nie próbuj nas hackować; po prostu nam to powiedz, a zapłacimy ci.'"
"Inżynieria społeczna omija tradycyjne próby hackingu i przechodzi bezpośrednio przez ludzi mających dostęp do danych — i to okazało się znacznie skuteczniejsze."
Niektóre to słabej jakości e-maile, ale wiele z nich jest całkiem przekonujących, wykorzystując nasze istniejące lęki przed ujawnieniem, aby… nas ujawnić! Potrzebujesz tylko jednej osoby, aby się załamała, aby inżynieria społeczna miała wpływ na całą firmę.
Klasyczny przypadek inteligentnej osoby, która została oszukana przez inżynierię społeczną? John Podesta. Dwa lata temu. DNC. "Kliknął w link zmiany hasła, który usłyszał cały świat," mówi Wes. "Jest prawnikiem wykształconym na Georgetown, który wpadł w to, więc możesz zobaczyć, dlaczego inżynieria społeczna oferuje wiele możliwości w porównaniu do hackingu."
Jak skutecznie zwalczać zagrożenia bezpieczeństwa
Jeśli ataki inżynierii społecznej mają na celu przekonanie nas, że już jesteśmy narażeni, jak możesz, jako firma, edukować swoich pracowników, aby walczyć z naturalną skłonnością do paniki? Tutaj Wes jest nieugięty:
"Musisz zmienić kulturę."
"W Guru zazwyczaj dzielimy się zabawnymi próbami phishingu, które widzimy — a zazwyczaj ‘przychodzą' od Ricka [CEO Guru], który wydaje się być w ciągłej potrzebie naszym numerów telefonów. To zabawne, ale to również nie jest śmieszne. Co jeśli jeden z naszych menedżerów ds. relacji z klientami dałby się złapać i ujawniłby numer telefonu lub adres e-mail, który następnie zostałby wykorzystany do skontaktowania się z naszymi klientami? To byłoby duże wydarzenie. Na szczęście, ponieważ regularnie wyłaniamy te zagrożenia, możemy o nich rozmawiać i edukować się nawzajem w zakresie nowych taktyk, co znacznie zwiększa nasze szanse na ich zauważenie."
Firmy mogą nawet spróbować ćwiczeń antyphishingowych, które pozwalają ich własnemu zespołowi ds. ryzyka i zgodności wysyłać fałszywe e-maile phishingowe, aby zobaczyć, kto w firmie jest prawdopodobnie narażony na prawdziwy atak, ale to wiąże się z ryzykiem podważenia zaufania do zespołu. Zamiast tego, tutaj w Guru, Wes upewnił się, że wszyscy w firmie przeszli Quiz antyphishingowy Google Jigsaw w celach szkoleniowych.
Jak nie zwalczać zagrożeń bezpieczeństwa
"Z jakiegoś powodu w wielu przypadkach złotym standardem w branży jest 'szkolenie' pracowników co roku w pasywny sposób. Każdy ogląda film lub dostaje e-mail z informacjami o ryzyku związanym z reagowaniem na phishing, a następnie zespół bezpieczeństwa może powiedzieć: 'Spójrzcie, wszyscy obejrzeli lub przeczytali to, więc wszyscy przeszli dalej.'"
Tego rodzaju pasywne szkolenie niekoniecznie uczy nikogo, jak odpowiedzieć na atak lub jak aktywnie identyfikować te zagrożenia, zwłaszcza w miarę zmiany taktyk w ciągu roku. Twój zespół ds. ryzyka i zgodności powinien utrzymywać otwarty dialog z szerszą bazą pracowników i upewnić się, że jest to ciągła rozmowa.
Najsilniejsza obrona przed phishingiem
"Ostatecznie najsilniejsza obrona przed phishingiem to zdrowa nieufność," wyjaśnia Wes. W idealnym świecie takie zagrożenia nie powinny istnieć, ale ponieważ istnieją, utrzymanie odpowiedniego poziomu sceptycyzmu wobec narzędzi, na których polegamy, to jedyny sposób, aby naprawdę pozostać czujnym.
Najświeższe zagrożenie w zakresie bezpieczeństwa jest tutaj — i jest w naszych kalendarzach. Spamerzy wysyłają zaproszenia do Google Calendar zawierające linki, omijając skrzynki odbiorcze i wykorzystując domyślne ustawienia kalendarza, które umożliwiają automatyczne wyświetlanie zaproszeń, niezależnie od tego, czy zostały zaakceptowane, czy nie. Rozmawialiśmy z naszym menedżerem ds. ryzyka i zgodności, Wesem Andruesem, o tym, jak najlepiej edukować swoją firmę na temat pojawiających się zagrożeń związanych z inżynierią społeczną (takich jak phishing czy spam w kalendarzu) oraz jak powszechna wiedza może pomóc w utrzymaniu bezpieczeństwa technologicznego w firmie.
Najpierw kilka informacji o Wesie, zanim przejdziemy do jego wskazówek: jego doświadczenie obejmuje pracę w Departamencie Obrony oraz Dowództwie Cybernetycznym Armii w Pentagonie, a następnie kierowanie działem ryzyka i zgodności w Dell SecureWorks. Nie trzeba mówić, że wie, o czym mówi.
Phishing NIE jest hackingiem — to gorsze
Podczas gdy Hollywood chciałoby, abyśmy uwierzyli, że "hacking" polega na tym, że jeden facet wściekle pisze komendy w terminalu, tego rodzaju podatność została w dużej mierze (choć nie całkowicie) zniechęcona dzięki programom "bug bounty". Wes wyjaśnia to w ten sposób: "Programy bug bounty pozwalają firmom powiedzieć: 'Zapłacimy ci, jeśli znajdziesz coś złego w naszej aplikacji. Nie próbuj nas hackować; po prostu nam to powiedz, a zapłacimy ci.'"
"Inżynieria społeczna omija tradycyjne próby hackingu i przechodzi bezpośrednio przez ludzi mających dostęp do danych — i to okazało się znacznie skuteczniejsze."
Niektóre to słabej jakości e-maile, ale wiele z nich jest całkiem przekonujących, wykorzystując nasze istniejące lęki przed ujawnieniem, aby… nas ujawnić! Potrzebujesz tylko jednej osoby, aby się załamała, aby inżynieria społeczna miała wpływ na całą firmę.
Klasyczny przypadek inteligentnej osoby, która została oszukana przez inżynierię społeczną? John Podesta. Dwa lata temu. DNC. "Kliknął w link zmiany hasła, który usłyszał cały świat," mówi Wes. "Jest prawnikiem wykształconym na Georgetown, który wpadł w to, więc możesz zobaczyć, dlaczego inżynieria społeczna oferuje wiele możliwości w porównaniu do hackingu."
Jak skutecznie zwalczać zagrożenia bezpieczeństwa
Jeśli ataki inżynierii społecznej mają na celu przekonanie nas, że już jesteśmy narażeni, jak możesz, jako firma, edukować swoich pracowników, aby walczyć z naturalną skłonnością do paniki? Tutaj Wes jest nieugięty:
"Musisz zmienić kulturę."
"W Guru zazwyczaj dzielimy się zabawnymi próbami phishingu, które widzimy — a zazwyczaj ‘przychodzą' od Ricka [CEO Guru], który wydaje się być w ciągłej potrzebie naszym numerów telefonów. To zabawne, ale to również nie jest śmieszne. Co jeśli jeden z naszych menedżerów ds. relacji z klientami dałby się złapać i ujawniłby numer telefonu lub adres e-mail, który następnie zostałby wykorzystany do skontaktowania się z naszymi klientami? To byłoby duże wydarzenie. Na szczęście, ponieważ regularnie wyłaniamy te zagrożenia, możemy o nich rozmawiać i edukować się nawzajem w zakresie nowych taktyk, co znacznie zwiększa nasze szanse na ich zauważenie."
Firmy mogą nawet spróbować ćwiczeń antyphishingowych, które pozwalają ich własnemu zespołowi ds. ryzyka i zgodności wysyłać fałszywe e-maile phishingowe, aby zobaczyć, kto w firmie jest prawdopodobnie narażony na prawdziwy atak, ale to wiąże się z ryzykiem podważenia zaufania do zespołu. Zamiast tego, tutaj w Guru, Wes upewnił się, że wszyscy w firmie przeszli Quiz antyphishingowy Google Jigsaw w celach szkoleniowych.
Jak nie zwalczać zagrożeń bezpieczeństwa
"Z jakiegoś powodu w wielu przypadkach złotym standardem w branży jest 'szkolenie' pracowników co roku w pasywny sposób. Każdy ogląda film lub dostaje e-mail z informacjami o ryzyku związanym z reagowaniem na phishing, a następnie zespół bezpieczeństwa może powiedzieć: 'Spójrzcie, wszyscy obejrzeli lub przeczytali to, więc wszyscy przeszli dalej.'"
Tego rodzaju pasywne szkolenie niekoniecznie uczy nikogo, jak odpowiedzieć na atak lub jak aktywnie identyfikować te zagrożenia, zwłaszcza w miarę zmiany taktyk w ciągu roku. Twój zespół ds. ryzyka i zgodności powinien utrzymywać otwarty dialog z szerszą bazą pracowników i upewnić się, że jest to ciągła rozmowa.
Najsilniejsza obrona przed phishingiem
"Ostatecznie najsilniejsza obrona przed phishingiem to zdrowa nieufność," wyjaśnia Wes. W idealnym świecie takie zagrożenia nie powinny istnieć, ale ponieważ istnieją, utrzymanie odpowiedniego poziomu sceptycyzmu wobec narzędzi, na których polegamy, to jedyny sposób, aby naprawdę pozostać czujnym.
