Появилась новая угроза безопасности — и она в наших календарях. Спамеры начали рассылать приглашения в Google Calendar с ссылками, обходя почту и воспользовавшись настройками календаря по умолчанию, которые позволяют автоматически отображать приглашения, независимо от того, были они приняты или нет. Мы поговорили с менеджером по рискам и соблюдению норм, Уэслом Андрюсом, о том, как лучше всего обучить вашу компанию новым угрозам безопасности в сфере социального инжиниринга (таким как фишинг или спам в календаре) и как широкое знание может помочь поддерживать внутреннюю технологическую безопасность.
Сначала немного о Уэсе, прежде чем мы перейдем к его советам: его опыт включает службу в Министерстве обороны и Армейских кибер-командах в Пентагоне, за которым следовало руководство отделом рисков и соблюдения в Dell SecureWorks. Неудивительно, что он знает, о чем говорит.
Фишинг — это не взлом — это хуже
Хотя Голливуд хотел бы, чтобы мы верили, что "взлом" включает одного человека, бешено печатающего команды в терминале, такая уязвимость была в значительной степени (хотя и не полностью) устранившись благодаря программам "вознаграждения за ошибки". Уэс объясняет это так: "Программы вознаграждений за ошибки позволяют компаниям сказать: 'Мы заплатим вам, если вы найдете что-то неправильное в нашем приложении.' Не пытайтесь взломать нас; просто сообщите нам, и мы заплатим вам.'"
"Социальный инжиниринг обходит эту традиционную попытку взлома и обращается непосредственно к людям, имеющим доступ к данным, — и это оказалось гораздо более эффективным."
Некоторые из этих писем низкого качества, но многие из них довольно убедительные, используя наши существующие страхи перед разоблачением, чтобы… разоблачить нас! Вам нужно только одно человек, чтобы паниковать, чтобы социальный инжиниринг повлиял на всю компанию.
Классический случай о том, как умного человека обманули с помощью социального инжиниринга? Джон Подеста. Два года назад. ДНК. "Он нажал на ссылку для смены пароля, которая вышла на весь мир," — говорит Уэс. "Он юрист, образованный в Джорджтауне, который попался на этот трюк, поэтому вы можете видеть, почему социальный инжиниринг предлагает множество возможностей по сравнению с взломом."
Как эффективно противостоять угрозам безопасности
Если атаки социального инжиниринга созданы для того, чтобы убедить нас, что мы уже подвержены риску, как вы, как компания, можете обучить своих сотрудников бороться с естественным желанием паниковать? Здесь Уэс определенно говорит:
"Вы должны изменить культуру."
"В Guru мы обычно делимся более смешными попытками фишинга, которые мы видим — и они обычно приходят от Рика [Генерального директора Guru], который, похоже, постоянно нуждается в наших номерах мобильных телефонов. Это смешно, но также и не совсем. Что если один из наших CSM ошибся и предоставил свой номер мобильного телефона или адрес электронной почты, который затем использовался для доступа к нашим клиентам? Это было бы большим делом. К счастью, поскольку мы регулярно обсуждаем эти угрозы, мы можем говорить о них и обучать друг друга новым тактикам, что делает нас гораздо более способными их распознавать."
Компании могут даже попробовать упражнения на фишинг, которые позволяют их команде по рискам и соблюдению норм отправить фальшивые фишинг-электронные письма, чтобы проверить, кто в компании, вероятно, попадется на настоящий атака, но это может подорвать доверие к команде. Вместо этого, здесь, в Guru, Уэс убедился, что каждый в компании прошел Тест на фишинг Google Jigsaw для обучения.
Как не противостоять угрозам безопасности
"По какой-то причине, в большинстве случаев золотым стандартом в отрасли является 'обучение' рабочего персонала ежегодно по безопасности в пассивной форме. Все смотрят видео или получают рассылку об опасностях ответа на фишинг, а затем команда безопасности может сказать: 'Смотрите, все посмотрели или прочитали это, так что все могут переключиться.'"
Такой тип пассивного обучения не обязательно обучает никого, как реагировать на нападение или как активно выявлять эти угрозы, особенно когда тактики меняются в течение года. Ваша команда по рискам и соблюдению норм должна поддерживать этот диалог с более широким кругом сотрудников и убеждаться, что это ongoing разговор.
Самая сильная защита от фишинга
"В конечном счете, самая сильная защита от фишинга — это здоровое недоверие," — объясняет Уэс. В идеальном мире такие угрозы не существовали бы, но поскольку они есть, поддержание разумной доли скептицизма по отношению к инструментам, на которые мы полагаемся, — единственный способ оставаться бдительными.
Для получения дополнительной информации о кибербезопасности, ознакомьтесь с новой книгой Уэса Андрюса, "Поиски пара," доступной сейчас.
Появилась новая угроза безопасности — и она в наших календарях. Спамеры начали рассылать приглашения в Google Calendar с ссылками, обходя почту и воспользовавшись настройками календаря по умолчанию, которые позволяют автоматически отображать приглашения, независимо от того, были они приняты или нет. Мы поговорили с менеджером по рискам и соблюдению норм, Уэслом Андрюсом, о том, как лучше всего обучить вашу компанию новым угрозам безопасности в сфере социального инжиниринга (таким как фишинг или спам в календаре) и как широкое знание может помочь поддерживать внутреннюю технологическую безопасность.
Сначала немного о Уэсе, прежде чем мы перейдем к его советам: его опыт включает службу в Министерстве обороны и Армейских кибер-командах в Пентагоне, за которым следовало руководство отделом рисков и соблюдения в Dell SecureWorks. Неудивительно, что он знает, о чем говорит.
Фишинг — это не взлом — это хуже
Хотя Голливуд хотел бы, чтобы мы верили, что "взлом" включает одного человека, бешено печатающего команды в терминале, такая уязвимость была в значительной степени (хотя и не полностью) устранившись благодаря программам "вознаграждения за ошибки". Уэс объясняет это так: "Программы вознаграждений за ошибки позволяют компаниям сказать: 'Мы заплатим вам, если вы найдете что-то неправильное в нашем приложении.' Не пытайтесь взломать нас; просто сообщите нам, и мы заплатим вам.'"
"Социальный инжиниринг обходит эту традиционную попытку взлома и обращается непосредственно к людям, имеющим доступ к данным, — и это оказалось гораздо более эффективным."
Некоторые из этих писем низкого качества, но многие из них довольно убедительные, используя наши существующие страхи перед разоблачением, чтобы… разоблачить нас! Вам нужно только одно человек, чтобы паниковать, чтобы социальный инжиниринг повлиял на всю компанию.
Классический случай о том, как умного человека обманули с помощью социального инжиниринга? Джон Подеста. Два года назад. ДНК. "Он нажал на ссылку для смены пароля, которая вышла на весь мир," — говорит Уэс. "Он юрист, образованный в Джорджтауне, который попался на этот трюк, поэтому вы можете видеть, почему социальный инжиниринг предлагает множество возможностей по сравнению с взломом."
Как эффективно противостоять угрозам безопасности
Если атаки социального инжиниринга созданы для того, чтобы убедить нас, что мы уже подвержены риску, как вы, как компания, можете обучить своих сотрудников бороться с естественным желанием паниковать? Здесь Уэс определенно говорит:
"Вы должны изменить культуру."
"В Guru мы обычно делимся более смешными попытками фишинга, которые мы видим — и они обычно приходят от Рика [Генерального директора Guru], который, похоже, постоянно нуждается в наших номерах мобильных телефонов. Это смешно, но также и не совсем. Что если один из наших CSM ошибся и предоставил свой номер мобильного телефона или адрес электронной почты, который затем использовался для доступа к нашим клиентам? Это было бы большим делом. К счастью, поскольку мы регулярно обсуждаем эти угрозы, мы можем говорить о них и обучать друг друга новым тактикам, что делает нас гораздо более способными их распознавать."
Компании могут даже попробовать упражнения на фишинг, которые позволяют их команде по рискам и соблюдению норм отправить фальшивые фишинг-электронные письма, чтобы проверить, кто в компании, вероятно, попадется на настоящий атака, но это может подорвать доверие к команде. Вместо этого, здесь, в Guru, Уэс убедился, что каждый в компании прошел Тест на фишинг Google Jigsaw для обучения.
Как не противостоять угрозам безопасности
"По какой-то причине, в большинстве случаев золотым стандартом в отрасли является 'обучение' рабочего персонала ежегодно по безопасности в пассивной форме. Все смотрят видео или получают рассылку об опасностях ответа на фишинг, а затем команда безопасности может сказать: 'Смотрите, все посмотрели или прочитали это, так что все могут переключиться.'"
Такой тип пассивного обучения не обязательно обучает никого, как реагировать на нападение или как активно выявлять эти угрозы, особенно когда тактики меняются в течение года. Ваша команда по рискам и соблюдению норм должна поддерживать этот диалог с более широким кругом сотрудников и убеждаться, что это ongoing разговор.
Самая сильная защита от фишинга
"В конечном счете, самая сильная защита от фишинга — это здоровое недоверие," — объясняет Уэс. В идеальном мире такие угрозы не существовали бы, но поскольку они есть, поддержание разумной доли скептицизма по отношению к инструментам, на которые мы полагаемся, — единственный способ оставаться бдительными.
Для получения дополнительной информации о кибербезопасности, ознакомьтесь с новой книгой Уэса Андрюса, "Поиски пара," доступной сейчас.
Опробуйте мощь платформы Гуру на практике - пройдите интерактивный тур по нашему продукту
