Combatting Emerging Cybersecurity Threats
เรียนรู้ว่าเราจะสอนบริษัทของคุณเกี่ยวกับภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่เกิดขึ้นใหม่ เช่น อีเมลฟิชชิงและสแปมปฏิทินได้อย่างไรและต่อสู้กับมันได้อย่างไร
ภัยคุกคามด้านความปลอดภัยล่าสุดมาถึงแล้ว — และมันอยู่ในปฏิทินของเรา. สแปมเมอร์ได้ส่ง คำเชิญ Google Calendar ที่มีลิงก์ โดยข้ามกล่องจดหมายและใช้ประโยชน์จากการตั้งค่าเริ่มต้นของปฏิทินที่อนุญาตให้คำเชิญแสดงโดยอัตโนมัติ ไม่ว่าจะได้รับการตอบรับหรือไม่ก็ตาม. เราได้พูดคุยกับ ผู้จัดการความเสี่ยงและการปฏิบัติตามข้อกำหนดของเรา เวส แอนดรูส เกี่ยวกับวิธีที่ดีที่สุดในการสอนบริษัทของคุณเกี่ยวกับภัยคุกคามด้านความปลอดภัยทางสังคมที่เกิดขึ้น (เช่น ฟิชชิงหรือสแปมปฏิทิน) และความรู้ที่แพร่หลายสามารถช่วยรักษาความปลอดภัยทางเทคนิคภายในของคุณได้อย่างไร.
ก่อนอื่น มาพูดถึงเวสกันสักนิดก่อนที่จะดำดิ่งไปที่เคล็ดลับของเขา: ประวัติของเขารวมถึงการทำงานในกระทรวงกลาโหมและกองกำลังไซเบอร์ของกองทัพที่เพนตากอน และต่อด้วยการนำแผนกควบคุมความเสี่ยงและการปฏิบัติตามที่ Dell SecureWorks. ไม่ต้องพูดถึง เขารู้ว่าตนกำลังพูดถึงอะไร
ฟิชชิงไม่ใช่การแฮก — มันแย่กว่านั้น
ในขณะที่ฮอลลีวูดต้องการให้เราหลงเชื่อว่าการ "แฮก" เกี่ยวข้องกับการพิมพ์คำสั่งอย่างรุนแรงในเทอร์มินัล แต่การเปราะบางประเภทนั้นได้ถูกทำให้ไม่เป็นที่นิยมเป็นส่วนใหญ่ (แม้จะไม่ทั้งหมด) ขอบคุณโปรแกรม "เบาะแสข้อบกพร่อง" เวสบรรยายไว้อย่างนี้: "โปรแกรมเบาะแสข้อบกพร่องให้บริษัทต่างๆ สามารถพูดได้ว่า ‘เราจะจ่ายเงินให้คุณหากคุณพบสิ่งผิดปกติกับแอปของเรา' อย่าพยายามแฮกเรา; บอกเราแล้วเราจะจ่ายเงินให้คุณ"
"การจัดการทางสังคมหลีกเลี่ยงการพยายามแฮกแบบดั้งเดิมและเข้าถึงผู้คนที่เข้าถึงข้อมูลโดยตรง — และสิ่งนี้ได้พิสูจน์แล้วว่ามีประสิทธิภาพมากกว่า"
บางอีเมลมีคุณภาพต่ำ แต่หลายฉบับดูน่าเชื่อถือมาก โดยใช้ประโยชน์จากความกลัวในการเปิดเผยของเราเพื่อ… เปิดเผยเรา! คุณแค่ต้องการคนหนึ่งคนที่จะตกใจเพื่อที่การจัดการทางสังคมจะมีผลต่อทั้งบริษัท
กรณีคลาสสิกของคนฉลาดที่ถูกหลอกโดยการจัดการทางสังคม? จอห์น โพเดสตา. สองปีที่แล้ว DNC. "เขาคลิกที่ลิงก์เปลี่ยนรหัสผ่านที่ได้ยินไปทั่วโลกร" เวสบอก. "เขาเป็นทนายความที่จบจากจอร์จทาวน์ที่ตกหลุมพรางนี้ ดังนั้นคุณสามารถเห็นได้ว่าการจัดการทางสังคมช่วยเปิดโอกาสมากกว่าแฮกกิ้ง"
วิธีจัดการกับภัยคุกคามด้านความปลอดภัยอย่างมีประสิทธิภาพ
หากการโจมตีด้วยการจัดการทางสังคมถูกออกแบบมาเพื่อต convince เรายังมีความเปิดเผยแล้ว คุณในฐานะบริษัทจะสอนพนักงานให้ต่อสู้กับแรงจูงใจตามธรรมชาติในการตื่นตระหนกได้อย่างไร? ที่นี่ เวสพูดชัดเจน:
"คุณต้องเปลี่ยนวัฒนธรรม"
"ที่ Guru เรามักจะแชร์อีเมลฟิชชิงที่ตลกที่สุดที่เราเห็น — และพวกเขามักจะ ‘มาจาก’ ริก [ซีอีโอของ Guru] ที่ดูเหมือนจะต้องการหมายเลขโทรศัพท์มือถือของเราอยู่เสมอ มันตลก แต่มันก็ไม่ใช่เช่นกัน จะเกิดอะไรขึ้นถ้าหนึ่งใน CSM ของเราตกหลุมพรางและให้หมายเลขโทรศัพท์มือถือหรือที่อยู่อีเมลที่ถูกใช้เพื่อเข้าถึงลูกค้าของเรา? นั่นจะเป็นเรื่อง ใหญ่. โชคดีที่เราสามารถปรับปรุงภัยคุกคามเหล่านี้อย่างสม่ำเสมอ ทำให้เราสามารถพูดคุยเกี่ยวกับพวกเขาและสอนกันเพื่อสร้างกลยุทธ์ใหม่ๆ ทำให้เรามีแนวโน้มที่จะสามารถระบุพวกเขาได้มากขึ้น"
บริษัทต่างๆ สามารถลองใช้การโจมตีฟิชชิงที่อนุญาตให้ทีมงานความเสี่ยงและการปฏิบัติตามของตนส่งอีเมลฟิชชิงปลอมออกไปเพื่อตรวจสอบว่าใครในบริษัทมีแนวโน้มที่จะตกหลุมพรางการโจมตีจริง แต่สิ่งนี้มีความเสี่ยงที่จะทำลายความไว้วางใจในทีม แทนที่นี่ที่ Guru เวสทำให้แน่ใจว่าทุกคนในบริษัทผ่าน Google Jigsaw Phishing Quiz เพื่อวัตถุประสงค์ในการฝึกอบรม
วิธีที่ไม่ควรรับมือกับภัยคุกคามด้านความปลอดภัย
"ด้วยเหตุผลบางประการ ในหลายกรณี มาตรฐานทองคำในอุตสาหกรรมคือการ ‘ฝึกอบรม’ พนักงานในลักษณะที่ไม่สร้างสรรค์ ทำให้พวกเขาอยู่ในสถานะที่พ passive ทุกคนดูวิดีโอหรือได้รับอีเมลให้ความรู้เกี่ยวกับความเสี่ยงของการตอบสนองต่อการฟิชชิง จากนั้นทีมรักษาความปลอดภัยสามารถพูดได้ว่า ‘ดูสิ ทุกคนได้ดูหรืออ่านสิ่งนี้แล้ว ทุกคนก็เลยผ่านไป’"
การฝึกอบรมแบบพ passive นั้นไม่จำเป็นต้องสอนใครว่าควรตอบสนองต่อการโจมตีอย่างไร หรือระบุภัยคุกคามเหล่านั้นได้อย่างไร โดยเฉพาะเมื่อกลยุทธ์ต่างๆ เปลี่ยนแปลงตลอดทั้งปี ทีมความเสี่ยงและการปฏิบัติตามของคุณควรรักษาช่องทางการพูดคุยนี้กับพนักงานในวงกว้างและให้แน่ใจว่ามันเป็นการสนทนาต่อเนื่อง
การป้องกันที่แข็งแกร่งที่สุดต่อการฟิชชิง
"ท้ายที่สุดแล้ว การป้องกันที่แข็งแกร่งที่สุดต่อการฟิชชิงคือความไม่ไว้วางใจที่มีสุขภาพดี" เวสอธิบาย ในโลกที่สมบูรณ์แบบ ข้อคุกคามเหล่านี้จะไม่มีอยู่จริง แต่เมื่อมันมีอยู่จริง การรักษาปริมาณความสงสัยในเครื่องมือที่เราพึ่งพาจึงเป็นวิธีเดียวที่จะรักษาความระมัดระวังจริงๆ
ภัยคุกคามด้านความปลอดภัยล่าสุดมาถึงแล้ว — และมันอยู่ในปฏิทินของเรา. สแปมเมอร์ได้ส่ง คำเชิญ Google Calendar ที่มีลิงก์ โดยข้ามกล่องจดหมายและใช้ประโยชน์จากการตั้งค่าเริ่มต้นของปฏิทินที่อนุญาตให้คำเชิญแสดงโดยอัตโนมัติ ไม่ว่าจะได้รับการตอบรับหรือไม่ก็ตาม. เราได้พูดคุยกับ ผู้จัดการความเสี่ยงและการปฏิบัติตามข้อกำหนดของเรา เวส แอนดรูส เกี่ยวกับวิธีที่ดีที่สุดในการสอนบริษัทของคุณเกี่ยวกับภัยคุกคามด้านความปลอดภัยทางสังคมที่เกิดขึ้น (เช่น ฟิชชิงหรือสแปมปฏิทิน) และความรู้ที่แพร่หลายสามารถช่วยรักษาความปลอดภัยทางเทคนิคภายในของคุณได้อย่างไร.
ก่อนอื่น มาพูดถึงเวสกันสักนิดก่อนที่จะดำดิ่งไปที่เคล็ดลับของเขา: ประวัติของเขารวมถึงการทำงานในกระทรวงกลาโหมและกองกำลังไซเบอร์ของกองทัพที่เพนตากอน และต่อด้วยการนำแผนกควบคุมความเสี่ยงและการปฏิบัติตามที่ Dell SecureWorks. ไม่ต้องพูดถึง เขารู้ว่าตนกำลังพูดถึงอะไร
ฟิชชิงไม่ใช่การแฮก — มันแย่กว่านั้น
ในขณะที่ฮอลลีวูดต้องการให้เราหลงเชื่อว่าการ "แฮก" เกี่ยวข้องกับการพิมพ์คำสั่งอย่างรุนแรงในเทอร์มินัล แต่การเปราะบางประเภทนั้นได้ถูกทำให้ไม่เป็นที่นิยมเป็นส่วนใหญ่ (แม้จะไม่ทั้งหมด) ขอบคุณโปรแกรม "เบาะแสข้อบกพร่อง" เวสบรรยายไว้อย่างนี้: "โปรแกรมเบาะแสข้อบกพร่องให้บริษัทต่างๆ สามารถพูดได้ว่า ‘เราจะจ่ายเงินให้คุณหากคุณพบสิ่งผิดปกติกับแอปของเรา' อย่าพยายามแฮกเรา; บอกเราแล้วเราจะจ่ายเงินให้คุณ"
"การจัดการทางสังคมหลีกเลี่ยงการพยายามแฮกแบบดั้งเดิมและเข้าถึงผู้คนที่เข้าถึงข้อมูลโดยตรง — และสิ่งนี้ได้พิสูจน์แล้วว่ามีประสิทธิภาพมากกว่า"
บางอีเมลมีคุณภาพต่ำ แต่หลายฉบับดูน่าเชื่อถือมาก โดยใช้ประโยชน์จากความกลัวในการเปิดเผยของเราเพื่อ… เปิดเผยเรา! คุณแค่ต้องการคนหนึ่งคนที่จะตกใจเพื่อที่การจัดการทางสังคมจะมีผลต่อทั้งบริษัท
กรณีคลาสสิกของคนฉลาดที่ถูกหลอกโดยการจัดการทางสังคม? จอห์น โพเดสตา. สองปีที่แล้ว DNC. "เขาคลิกที่ลิงก์เปลี่ยนรหัสผ่านที่ได้ยินไปทั่วโลกร" เวสบอก. "เขาเป็นทนายความที่จบจากจอร์จทาวน์ที่ตกหลุมพรางนี้ ดังนั้นคุณสามารถเห็นได้ว่าการจัดการทางสังคมช่วยเปิดโอกาสมากกว่าแฮกกิ้ง"
วิธีจัดการกับภัยคุกคามด้านความปลอดภัยอย่างมีประสิทธิภาพ
หากการโจมตีด้วยการจัดการทางสังคมถูกออกแบบมาเพื่อต convince เรายังมีความเปิดเผยแล้ว คุณในฐานะบริษัทจะสอนพนักงานให้ต่อสู้กับแรงจูงใจตามธรรมชาติในการตื่นตระหนกได้อย่างไร? ที่นี่ เวสพูดชัดเจน:
"คุณต้องเปลี่ยนวัฒนธรรม"
"ที่ Guru เรามักจะแชร์อีเมลฟิชชิงที่ตลกที่สุดที่เราเห็น — และพวกเขามักจะ ‘มาจาก’ ริก [ซีอีโอของ Guru] ที่ดูเหมือนจะต้องการหมายเลขโทรศัพท์มือถือของเราอยู่เสมอ มันตลก แต่มันก็ไม่ใช่เช่นกัน จะเกิดอะไรขึ้นถ้าหนึ่งใน CSM ของเราตกหลุมพรางและให้หมายเลขโทรศัพท์มือถือหรือที่อยู่อีเมลที่ถูกใช้เพื่อเข้าถึงลูกค้าของเรา? นั่นจะเป็นเรื่อง ใหญ่. โชคดีที่เราสามารถปรับปรุงภัยคุกคามเหล่านี้อย่างสม่ำเสมอ ทำให้เราสามารถพูดคุยเกี่ยวกับพวกเขาและสอนกันเพื่อสร้างกลยุทธ์ใหม่ๆ ทำให้เรามีแนวโน้มที่จะสามารถระบุพวกเขาได้มากขึ้น"
บริษัทต่างๆ สามารถลองใช้การโจมตีฟิชชิงที่อนุญาตให้ทีมงานความเสี่ยงและการปฏิบัติตามของตนส่งอีเมลฟิชชิงปลอมออกไปเพื่อตรวจสอบว่าใครในบริษัทมีแนวโน้มที่จะตกหลุมพรางการโจมตีจริง แต่สิ่งนี้มีความเสี่ยงที่จะทำลายความไว้วางใจในทีม แทนที่นี่ที่ Guru เวสทำให้แน่ใจว่าทุกคนในบริษัทผ่าน Google Jigsaw Phishing Quiz เพื่อวัตถุประสงค์ในการฝึกอบรม
วิธีที่ไม่ควรรับมือกับภัยคุกคามด้านความปลอดภัย
"ด้วยเหตุผลบางประการ ในหลายกรณี มาตรฐานทองคำในอุตสาหกรรมคือการ ‘ฝึกอบรม’ พนักงานในลักษณะที่ไม่สร้างสรรค์ ทำให้พวกเขาอยู่ในสถานะที่พ passive ทุกคนดูวิดีโอหรือได้รับอีเมลให้ความรู้เกี่ยวกับความเสี่ยงของการตอบสนองต่อการฟิชชิง จากนั้นทีมรักษาความปลอดภัยสามารถพูดได้ว่า ‘ดูสิ ทุกคนได้ดูหรืออ่านสิ่งนี้แล้ว ทุกคนก็เลยผ่านไป’"
การฝึกอบรมแบบพ passive นั้นไม่จำเป็นต้องสอนใครว่าควรตอบสนองต่อการโจมตีอย่างไร หรือระบุภัยคุกคามเหล่านั้นได้อย่างไร โดยเฉพาะเมื่อกลยุทธ์ต่างๆ เปลี่ยนแปลงตลอดทั้งปี ทีมความเสี่ยงและการปฏิบัติตามของคุณควรรักษาช่องทางการพูดคุยนี้กับพนักงานในวงกว้างและให้แน่ใจว่ามันเป็นการสนทนาต่อเนื่อง
การป้องกันที่แข็งแกร่งที่สุดต่อการฟิชชิง
"ท้ายที่สุดแล้ว การป้องกันที่แข็งแกร่งที่สุดต่อการฟิชชิงคือความไม่ไว้วางใจที่มีสุขภาพดี" เวสอธิบาย ในโลกที่สมบูรณ์แบบ ข้อคุกคามเหล่านี้จะไม่มีอยู่จริง แต่เมื่อมันมีอยู่จริง การรักษาปริมาณความสงสัยในเครื่องมือที่เราพึ่งพาจึงเป็นวิธีเดียวที่จะรักษาความระมัดระวังจริงๆ
ได้สัมผัสพลังของแพลตฟอร์ม Guru โดยตรง - เข้าร่วมทัวร์ผลิตภัณฑ์ของเราอย่างแบบอินเทอร์แอคทีฟ
ไปทัวร์
