Phishing e-postaları ve takvim spamı gibi yeni ortaya çıkan siber güvenlik tehditleri hakkında şirketinizi en iyi şekilde nasıl eğitebileceğinizi ve bunlarla nasıl mücadele edebileceğinizi öğrenin.
En yeni güvenlik tehdidi burada — ve takvimlerimizde. Spam gönderenler, bağlantılar içeren Google Takvim davetiyeleri gönderiyor, gelen kutularını atlıyor ve davetlerin otomatik olarak görüntülenmesine izin veren varsayılan takvim ayarlarından faydalanıyorlar, kabul edilip edilmediğine bakılmaksızın. En iyi sosyal mühendislik güvenlik tehditleri (phishing ya da takvim spamı gibi) hakkında şirketinizi eğitmek için risk ve uyum yöneticimiz Wes Andrues ile sohbet ettik ve geniş çapta bilgi sahibi olmanın içsel teknolojik güvenliğinizi korumaya nasıl yardımcı olabileceğine göz attık.
Öncelikle, ipuçlarına dalmadan önce Wes hakkında biraz bilgi: geçmişi, Pentagon'daki Savunma Bakanlığı ve Ordu Siber Komutları'nda görev yapmayı içeriyor ve Dell SecureWorks'teki risk ve uyum bölümüne liderlik etti. Söylemeye gerek yok, ne hakkında konuştuğunu biliyor.
Phishing HACKING DEĞİLDİR — daha kötüsüdür
Hollywood'un bize "hacking"in bir adamın terminalde komutları fırtına gibi yazmasıyla ilgili olduğu inancını vermek istese de, bu tür bir zayıflık büyük ölçüde (tamamen olmasa da) "hata ödülleri" programları sayesinde caydırılmıştır. Wes bunu şöyle açıklıyor: "Hata ödül programları şirketlerin, ‘Uygulamamızda bir şey yanlış bulursanız, size ödeme yaparız.' demesine olanak tanır. Bizi hacklemeye çalışmayın; sadece bize söyleyin ve size ödeme yaparız.'"
"Sosyal mühendislik, geleneksel hacking girişimini atlayarak veriye erişimi olan insanlara doğrudan ulaşıyor — ve bu çok daha etkili olduğu kanıtlandı."
Bazıları düşük kaliteli e-postalar, ancak birçokları oldukça ikna edici olup, mevcut açıklığa dair korkularımızın üzerine oynayarak bizi … teşhir ediyor! Bir kişinin panik yapması, sosyal mühendisliğin tüm bir şirketi etkilemesi için yeterlidir.
Sosyal mühendisliğin akıllı birini kandırdığı klasik örnek? John Podesta. İki yıl önce. DNC. "Dünyada yankılanan şifre değiştirme bağlantısına tıkladı," diyor Wes. "Bunun için düşen Georgetown mezunu bir avukat, sosyal mühendisliğin hackleme ile kıyasla daha fazla fırsat sunduğunu görebilirsiniz."
Güvenlik tehditleriyle etkili bir şekilde nasıl mücadele edilir
Eğer sosyal mühendislik saldırıları, bizi zaten açığa çıkarttıklarına ikna etmek üzere tasarlanmışsa, siz bir şirket olarak çalışanlarınızı panikleme dürtüsüne karşı nasıl eğitirsiniz? Burada Wes kesin:
"Kültürü değiştirmelisiniz."
"Guru'da, genelde gördüğümüz daha komik phishing e-postalarını paylaşıyoruz — ve genellikle ‘Rick [Guru'nun CEO'su]’dan ‘geliyorlar’, sürekli cep telefon numaralarımıza ihtiyaç duyuyor gibi görünüyor. Bu komik, ama aynı zamanda değil. Ya bir CSM'miz buna kapılıp bir cep telefonu numarası ya da müşterilerimize ulaşmak için kullanacakları bir e-posta adresi verirlerse? Bu büyük bir sorun olur. Neyse ki, bu tehditleri düzenli olarak gündeme getirdiğimiz için, bunlar hakkında konuşabiliyor ve yeni taktikler üzerinde birbirimizi eğitebiliyoruz, bu da onları tespit etme olasılığımızı artırıyor."
Şirketler, kendi risk ve uyum ekiplerinin sahte phishing e-postaları göndermesine olanak tanıyan phishing denemeleri gerçekleştirebilirler, böylece kimlerin gerçek bir saldırıya kapılmaya eğilimli olduğunu görebiliriz, ancak bunun ekibin güvenini erozyona uğratma riski vardır. Bunun yerine, burada Guru'da Wes, şirketin tüm çalışanlarının eğitim amacıyla Google Jigsaw Phishing Quiz'dan geçmesini sağladı.
Güvenlik tehditleriyle nasıl mücadele edilmemesi gerektiği
"Bilmiyorum neden, ama birçok durumda, endüstride altın standart, iş gücünü her yıl pasif bir şekilde güvenlik konusunda 'eğitmek'tir. Herkes bir video izliyor ya da phishing'e yanıt vermenin riskleri hakkında bir e-posta alıyor ve sonra güvenlik ekibi ‘Bakın, herkes bunu izledi ya da okudu, herkes devam etti.' diyebilir."
Bu tür pasif eğitim kimseye bir saldırıya nasıl yanıt vereceğini veya o tehditleri nasıl aktif olarak tanıyacağını öğretmez, özellikle taktikler yıl boyunca değiştikçe. Risk ve uyum ekibiniz, daha büyük çalışan kesimiyle bu diyalog hattını açık tutmalı ve bunun sürekli bir sohbet olduğundan emin olmalıdır.
Phishing'e karşı en güçlü savunma
"Sonuç olarak, phishing'e karşı en güçlü savunma sağlıklı bir güvensizliktir," diyor Wes. İdeal bir dünyada, bu tür tehditler var olmazdı, ama öyle olduğu için, bağımlı olduğumuz araçlarda makul bir şüphe sürdürmek, gerçekten tetikte kalmanın tek yoludur.
En yeni güvenlik tehdidi burada — ve takvimlerimizde. Spam gönderenler, bağlantılar içeren Google Takvim davetiyeleri gönderiyor, gelen kutularını atlıyor ve davetlerin otomatik olarak görüntülenmesine izin veren varsayılan takvim ayarlarından faydalanıyorlar, kabul edilip edilmediğine bakılmaksızın. En iyi sosyal mühendislik güvenlik tehditleri (phishing ya da takvim spamı gibi) hakkında şirketinizi eğitmek için risk ve uyum yöneticimiz Wes Andrues ile sohbet ettik ve geniş çapta bilgi sahibi olmanın içsel teknolojik güvenliğinizi korumaya nasıl yardımcı olabileceğine göz attık.
Öncelikle, ipuçlarına dalmadan önce Wes hakkında biraz bilgi: geçmişi, Pentagon'daki Savunma Bakanlığı ve Ordu Siber Komutları'nda görev yapmayı içeriyor ve Dell SecureWorks'teki risk ve uyum bölümüne liderlik etti. Söylemeye gerek yok, ne hakkında konuştuğunu biliyor.
Phishing HACKING DEĞİLDİR — daha kötüsüdür
Hollywood'un bize "hacking"in bir adamın terminalde komutları fırtına gibi yazmasıyla ilgili olduğu inancını vermek istese de, bu tür bir zayıflık büyük ölçüde (tamamen olmasa da) "hata ödülleri" programları sayesinde caydırılmıştır. Wes bunu şöyle açıklıyor: "Hata ödül programları şirketlerin, ‘Uygulamamızda bir şey yanlış bulursanız, size ödeme yaparız.' demesine olanak tanır. Bizi hacklemeye çalışmayın; sadece bize söyleyin ve size ödeme yaparız.'"
"Sosyal mühendislik, geleneksel hacking girişimini atlayarak veriye erişimi olan insanlara doğrudan ulaşıyor — ve bu çok daha etkili olduğu kanıtlandı."
Bazıları düşük kaliteli e-postalar, ancak birçokları oldukça ikna edici olup, mevcut açıklığa dair korkularımızın üzerine oynayarak bizi … teşhir ediyor! Bir kişinin panik yapması, sosyal mühendisliğin tüm bir şirketi etkilemesi için yeterlidir.
Sosyal mühendisliğin akıllı birini kandırdığı klasik örnek? John Podesta. İki yıl önce. DNC. "Dünyada yankılanan şifre değiştirme bağlantısına tıkladı," diyor Wes. "Bunun için düşen Georgetown mezunu bir avukat, sosyal mühendisliğin hackleme ile kıyasla daha fazla fırsat sunduğunu görebilirsiniz."
Güvenlik tehditleriyle etkili bir şekilde nasıl mücadele edilir
Eğer sosyal mühendislik saldırıları, bizi zaten açığa çıkarttıklarına ikna etmek üzere tasarlanmışsa, siz bir şirket olarak çalışanlarınızı panikleme dürtüsüne karşı nasıl eğitirsiniz? Burada Wes kesin:
"Kültürü değiştirmelisiniz."
"Guru'da, genelde gördüğümüz daha komik phishing e-postalarını paylaşıyoruz — ve genellikle ‘Rick [Guru'nun CEO'su]’dan ‘geliyorlar’, sürekli cep telefon numaralarımıza ihtiyaç duyuyor gibi görünüyor. Bu komik, ama aynı zamanda değil. Ya bir CSM'miz buna kapılıp bir cep telefonu numarası ya da müşterilerimize ulaşmak için kullanacakları bir e-posta adresi verirlerse? Bu büyük bir sorun olur. Neyse ki, bu tehditleri düzenli olarak gündeme getirdiğimiz için, bunlar hakkında konuşabiliyor ve yeni taktikler üzerinde birbirimizi eğitebiliyoruz, bu da onları tespit etme olasılığımızı artırıyor."
Şirketler, kendi risk ve uyum ekiplerinin sahte phishing e-postaları göndermesine olanak tanıyan phishing denemeleri gerçekleştirebilirler, böylece kimlerin gerçek bir saldırıya kapılmaya eğilimli olduğunu görebiliriz, ancak bunun ekibin güvenini erozyona uğratma riski vardır. Bunun yerine, burada Guru'da Wes, şirketin tüm çalışanlarının eğitim amacıyla Google Jigsaw Phishing Quiz'dan geçmesini sağladı.
Güvenlik tehditleriyle nasıl mücadele edilmemesi gerektiği
"Bilmiyorum neden, ama birçok durumda, endüstride altın standart, iş gücünü her yıl pasif bir şekilde güvenlik konusunda 'eğitmek'tir. Herkes bir video izliyor ya da phishing'e yanıt vermenin riskleri hakkında bir e-posta alıyor ve sonra güvenlik ekibi ‘Bakın, herkes bunu izledi ya da okudu, herkes devam etti.' diyebilir."
Bu tür pasif eğitim kimseye bir saldırıya nasıl yanıt vereceğini veya o tehditleri nasıl aktif olarak tanıyacağını öğretmez, özellikle taktikler yıl boyunca değiştikçe. Risk ve uyum ekibiniz, daha büyük çalışan kesimiyle bu diyalog hattını açık tutmalı ve bunun sürekli bir sohbet olduğundan emin olmalıdır.
Phishing'e karşı en güçlü savunma
"Sonuç olarak, phishing'e karşı en güçlü savunma sağlıklı bir güvensizliktir," diyor Wes. İdeal bir dünyada, bu tür tehditler var olmazdı, ama öyle olduğu için, bağımlı olduğumuz araçlarda makul bir şüphe sürdürmek, gerçekten tetikte kalmanın tek yoludur.
