Det senaste säkerhetshotet är här – och det är i våra kalendrar. Spammare har skickat Google Calendar-inbjudningar med länkar, och har på så sätt kringgått inkorgar och utnyttjat standardinställningarna för kalender som gör att inbjudningar visas automatiskt, oavsett om de har accepterats eller inte. Vi pratade med vår risk- och avtalschefs Wes Andrues, om hur man bäst kan utbilda sitt företag om nya säkerhetshot baserade på social ingenjörskonst (som nätfiske eller kalender-spam), och hur spridd kunskap kan hjälpa till att upprätthålla vår interna teknologiska säkerhet.
Först, lite om Wes innan vi går in på hans tips: hans bakgrund inkluderar tjänstgöring i försvarsdepartementet och arméns cybersäkerhetskommandon vid Pentagon, följt av ledning av risk- och efterlevnadsavdelningen på Dell SecureWorks. Man kan lugnt säga att han vet vad han pratar om.
Nätfiske är INTE hacking – det är värre
Medan Hollywood gärna skulle vilja få oss att tro att "hacking" innebär att någon rasar in med att knappa in kommandon i terminalen, har den typen av sårbarhet i stor utsträckning (men inte helt) avskräckts tack vare "bug bounty"-program. Wes förklarar det så här: "Bug bounty-programmet tillåter företag att säga, ‘Vi betalar dig om du hittar något fel med vår app. Försök inte hacka oss; bara berätta för oss så betalar vi dig.'"
"Social ingenjörskonst kringgår det traditionella hackningsförsöket och går direkt genom människor med tillgång till data – och det har visat sig vara mycket mer effektivt."
Vissa är dåliga kvalitetsmail, men många är ganska övertygande, och utnyttjar våra befintliga rädslor för exponering för att... exponera oss! Du behöver bara en person för att bli panikslagen för att social ingenjörskonst ska påverka ett helt företag.
Det klassiska exemplet på en smart person som blir lurad av social ingenjörskonst? John Podesta. För två år sedan. DNC. "Han klickade på länken för att ändra lösenord som hördes runt om i världen," säger Wes. "Han är en jurist utbildad i Georgetown som föll för det, så man kan förstå varför social ingenjörskonst erbjuder mycket mer möjligheter än hacking."
Hur man effektivt bekämpar säkerhetshot
Om social ingenjörsangrepp är utformade för att övertyga oss om att vi redan är exponerade, hur kan du som företag utbilda dina anställda att kämpa emot den naturliga impulsen att få panik? Här är Wes tydlig:
"Du måste förändra kulturen."
"På Guru delar vi vanligtvis de roligaste försöken till phishingmail vi ser – och de kommer oftast ‘från’ Rick [Gurus VD], som verkar vara i konstant behov av våra mobilnummer. Det är roligt, men det är också inte. Vad om en av våra CSM:s föll för det och gav ut ett mobilnummer eller en e-postadress som sedan användes för att nå våra kunder? Det skulle vara en stor grej. Lyckligtvis, eftersom vi tar fram dessa hot regelbundet, kan vi prata om dem och utbilda varandra om nya taktiker, vilket gör oss mycket mer sannolika att kunna upptäcka dem."
Företag kan även försöka phishingövningar som tillåter deras eget risk och efterlevnadsteam att skicka ut falska phishingmail för att se vem i företaget som är benägen att falla för ett verkligt angrepp, men det riskerar att urvattna förtroendet för teamet. Istället såg Wes till att alla på Guru genomgick Google Jigsaw Phishing Quiz för utbildningsändamål.
Hur man inte bekämpar säkerhetshot
"Av någon anledning är guldstandarden inom branschen i många fall att ‘utbilda’ arbetskraften årligen om säkerhet på ett passivt sätt. Alla ser en video eller får ett mejl med riskerna med att svara på nätfiske, och sedan kan säkerhetsteamet säga, ‘Titta, alla såg eller läste detta, så alla gick vidare.'"
Den typen av passiv utbildning lär inte nödvändigtvis någon hur man svarar på ett angrepp eller hur man aktivt identifierar dessa hot, särskilt när taktiker förändras under året. Ditt risk- och efterlevnadsteam bör hålla den linjen av dialog öppen med den större anställda basen och se till att det är en pågående konversation.
Det starkaste försvaret mot nätfiske
"I slutändan är det starkaste försvaret mot nätfiske en sund misstro," förklarar Wes. I en ideal värld skulle sådana hot inte existera, men eftersom de gör det, är en rimlig mängd skepsis mot de verktyg vi är beroende av det enda sättet att verkligen förbli vaksamma.
Det senaste säkerhetshotet är här – och det är i våra kalendrar. Spammare har skickat Google Calendar-inbjudningar med länkar, och har på så sätt kringgått inkorgar och utnyttjat standardinställningarna för kalender som gör att inbjudningar visas automatiskt, oavsett om de har accepterats eller inte. Vi pratade med vår risk- och avtalschefs Wes Andrues, om hur man bäst kan utbilda sitt företag om nya säkerhetshot baserade på social ingenjörskonst (som nätfiske eller kalender-spam), och hur spridd kunskap kan hjälpa till att upprätthålla vår interna teknologiska säkerhet.
Först, lite om Wes innan vi går in på hans tips: hans bakgrund inkluderar tjänstgöring i försvarsdepartementet och arméns cybersäkerhetskommandon vid Pentagon, följt av ledning av risk- och efterlevnadsavdelningen på Dell SecureWorks. Man kan lugnt säga att han vet vad han pratar om.
Nätfiske är INTE hacking – det är värre
Medan Hollywood gärna skulle vilja få oss att tro att "hacking" innebär att någon rasar in med att knappa in kommandon i terminalen, har den typen av sårbarhet i stor utsträckning (men inte helt) avskräckts tack vare "bug bounty"-program. Wes förklarar det så här: "Bug bounty-programmet tillåter företag att säga, ‘Vi betalar dig om du hittar något fel med vår app. Försök inte hacka oss; bara berätta för oss så betalar vi dig.'"
"Social ingenjörskonst kringgår det traditionella hackningsförsöket och går direkt genom människor med tillgång till data – och det har visat sig vara mycket mer effektivt."
Vissa är dåliga kvalitetsmail, men många är ganska övertygande, och utnyttjar våra befintliga rädslor för exponering för att... exponera oss! Du behöver bara en person för att bli panikslagen för att social ingenjörskonst ska påverka ett helt företag.
Det klassiska exemplet på en smart person som blir lurad av social ingenjörskonst? John Podesta. För två år sedan. DNC. "Han klickade på länken för att ändra lösenord som hördes runt om i världen," säger Wes. "Han är en jurist utbildad i Georgetown som föll för det, så man kan förstå varför social ingenjörskonst erbjuder mycket mer möjligheter än hacking."
Hur man effektivt bekämpar säkerhetshot
Om social ingenjörsangrepp är utformade för att övertyga oss om att vi redan är exponerade, hur kan du som företag utbilda dina anställda att kämpa emot den naturliga impulsen att få panik? Här är Wes tydlig:
"Du måste förändra kulturen."
"På Guru delar vi vanligtvis de roligaste försöken till phishingmail vi ser – och de kommer oftast ‘från’ Rick [Gurus VD], som verkar vara i konstant behov av våra mobilnummer. Det är roligt, men det är också inte. Vad om en av våra CSM:s föll för det och gav ut ett mobilnummer eller en e-postadress som sedan användes för att nå våra kunder? Det skulle vara en stor grej. Lyckligtvis, eftersom vi tar fram dessa hot regelbundet, kan vi prata om dem och utbilda varandra om nya taktiker, vilket gör oss mycket mer sannolika att kunna upptäcka dem."
Företag kan även försöka phishingövningar som tillåter deras eget risk och efterlevnadsteam att skicka ut falska phishingmail för att se vem i företaget som är benägen att falla för ett verkligt angrepp, men det riskerar att urvattna förtroendet för teamet. Istället såg Wes till att alla på Guru genomgick Google Jigsaw Phishing Quiz för utbildningsändamål.
Hur man inte bekämpar säkerhetshot
"Av någon anledning är guldstandarden inom branschen i många fall att ‘utbilda’ arbetskraften årligen om säkerhet på ett passivt sätt. Alla ser en video eller får ett mejl med riskerna med att svara på nätfiske, och sedan kan säkerhetsteamet säga, ‘Titta, alla såg eller läste detta, så alla gick vidare.'"
Den typen av passiv utbildning lär inte nödvändigtvis någon hur man svarar på ett angrepp eller hur man aktivt identifierar dessa hot, särskilt när taktiker förändras under året. Ditt risk- och efterlevnadsteam bör hålla den linjen av dialog öppen med den större anställda basen och se till att det är en pågående konversation.
Det starkaste försvaret mot nätfiske
"I slutändan är det starkaste försvaret mot nätfiske en sund misstro," förklarar Wes. I en ideal värld skulle sådana hot inte existera, men eftersom de gör det, är en rimlig mängd skepsis mot de verktyg vi är beroende av det enda sättet att verkligen förbli vaksamma.
