Найновіша загроза безпеці вже тут — і вона в наших календарях. Спамери надсилають запрошення в Google Календар, що містять посилання, обминаючи вхідні повідомлення та скориставшись стандартними налаштуваннями календаря, які дозволяють запрошенням автоматично відображатися, незалежно від того, чи прийняті вони. Ми спілкувалися з нашим менеджером з ризиків та дотримання вимог, Весом Андрюсом, про те, як найкраще навчити вашу компанію щодо нових загроз соціальної інженерії (як фішингу, так і спаму в календарі) та як загальні знання можуть допомогти підтримувати вашу внутрішню технологічну безпеку.
Спочатку кілька слів про Весa перед тим, як ми перейдемо до його порад: його досвід включає службу в Міністерстві оборони та Кібервійськах Армії в Пентагоні, після чого він очолив відділ ризиків та дотримання вимог у Dell SecureWorks. Словом, він знає, про що говорить.
Фішинг — це не злом, це гірше.
Хоча Голлівуд хотів би, щоб ми вірили, що «злам» передбачає, що один хлопець запалено друкує команди в терміналі, ця уразливість в значній мірі була (хоча й не повністю) нівельована завдяки програмам «баг-баунті». Вес пояснює це так: «Програми баг-баунті дозволяють компаніям говорити: 'Ми заплатимо вам, якщо ви знайдете щось неправильно з нашим додатком. Не намагайтеся зламати нас; просто скажіть нам, і ми заплатимо вам.'"
«Соціальна інженерія обминає цю традиційну спробу злому і йде прямо через людей з доступом до даних — і це виявилось набагато більш ефективним».
Деякі електронні листи низької якості, але багато з них досить переконливі, експлуатуючи наші існуючі страхи щодо оголення, щоб… оголити нас! Для того, щоб соціальна інженерія мала вплив на всю компанію, потрібна всього одна людина, яка сполошиться.
Класичний випадок, коли розумна людина була обманута соціальною інженерією? Джон Подеста. Два роки тому. DNC. «Він натиснув на посилання зміни пароля, чутливе у всьому світі», каже Вес. «Він юрист, який закінчив Джорджтаун, який попався, тому ви можете зрозуміти, чому соціальна інженерія пропонує багато можливостей у порівнянні зі злому.»
Як ефективно боротися із загрозами безпеці
Якщо атаки соціальної інженерії мають на меті переконати нас у тому, що ми вже під загрозою, як ви, як компанія, можете навчити своїх співробітників боротися з природнім бажанням панікувати? Тут Вес беззаперечний:
«Вам потрібно змінити культуру».
«У Guru ми зазвичай ділимося найсмішнішими спробами фішингу, які ми бачимо — і зазвичай вони 'надіслані' від Ріка [Генерального директора Guru], який постійно потребує наших номерів стільникових телефонів. Це смішно, але це також не смішно. Що якщо один з наших менеджерів з обслуговування клієнтів потрапляє в це і віддасть номер стільникового телефону або адресу електронної пошти, які потім використовуються для доступу до наших клієнтів? Це б був великий чотирикутник. На щастя, оскільки ми регулярно розкриваємо ці загрози, ми можемо говорити про них та навчатися один від одного новим тактикам, що робить нас набагато більш ймовірними до їх виявлення».
Компанії навіть можуть проводити спеціальні спроби фішингу, які дозволяють їхній команді з управління ризиками та дотримання вимог надсилати фейкові фішингові електронні листи, щоб перевірити, хто в компанії може потрапити на справжню атаку, але це ризик eroding довіру до команди. Замість цього, тут в Guru, Вес забезпечив, щоб усі в компанії пройшли тест на фішинг від Google Jigsaw в цілях навчання.
Як не боротися з загрозами безпеки
«З якоїсь причини, у багатьох випадках, золотий стандарт в індустрії — це 'навчати' робочу силу щорічно в пасивному режимі. Всі дивляться відео або отримують електронне повідомлення про риски реагування на фішинг, а потім команда безпеки може сказати: 'Дивіться, всі подивилися чи прочитали це, тому всі вирушили далі.'"
Такий рід пасивного навчання не обов’язково навчає когось, як реагувати на атаку чи як активно ідентифікувати ці загрози, особливо враховуючи, як тактики змінюються протягом року. Ваша команда з управління ризиками та дотримання вимог повинна підтримувати цей діалог відкритим з більшою базою співробітників і забезпечити, щоб це була постійна розмова.
Найсильніша оборона проти фішингу
«Врешті-решт, найсильніша оборона проти фішингу — це здоровий недовіра», — пояснює Вес. В ідеальному світі такі загрози не існували б, але оскільки вони є, підтримувати адекватну кількість скептицизму до інструментів, від яких ми залежимо, є єдиним способом бути по-справжньому пильними.
Найновіша загроза безпеці вже тут — і вона в наших календарях. Спамери надсилають запрошення в Google Календар, що містять посилання, обминаючи вхідні повідомлення та скориставшись стандартними налаштуваннями календаря, які дозволяють запрошенням автоматично відображатися, незалежно від того, чи прийняті вони. Ми спілкувалися з нашим менеджером з ризиків та дотримання вимог, Весом Андрюсом, про те, як найкраще навчити вашу компанію щодо нових загроз соціальної інженерії (як фішингу, так і спаму в календарі) та як загальні знання можуть допомогти підтримувати вашу внутрішню технологічну безпеку.
Спочатку кілька слів про Весa перед тим, як ми перейдемо до його порад: його досвід включає службу в Міністерстві оборони та Кібервійськах Армії в Пентагоні, після чого він очолив відділ ризиків та дотримання вимог у Dell SecureWorks. Словом, він знає, про що говорить.
Фішинг — це не злом, це гірше.
Хоча Голлівуд хотів би, щоб ми вірили, що «злам» передбачає, що один хлопець запалено друкує команди в терміналі, ця уразливість в значній мірі була (хоча й не повністю) нівельована завдяки програмам «баг-баунті». Вес пояснює це так: «Програми баг-баунті дозволяють компаніям говорити: 'Ми заплатимо вам, якщо ви знайдете щось неправильно з нашим додатком. Не намагайтеся зламати нас; просто скажіть нам, і ми заплатимо вам.'"
«Соціальна інженерія обминає цю традиційну спробу злому і йде прямо через людей з доступом до даних — і це виявилось набагато більш ефективним».
Деякі електронні листи низької якості, але багато з них досить переконливі, експлуатуючи наші існуючі страхи щодо оголення, щоб… оголити нас! Для того, щоб соціальна інженерія мала вплив на всю компанію, потрібна всього одна людина, яка сполошиться.
Класичний випадок, коли розумна людина була обманута соціальною інженерією? Джон Подеста. Два роки тому. DNC. «Він натиснув на посилання зміни пароля, чутливе у всьому світі», каже Вес. «Він юрист, який закінчив Джорджтаун, який попався, тому ви можете зрозуміти, чому соціальна інженерія пропонує багато можливостей у порівнянні зі злому.»
Як ефективно боротися із загрозами безпеці
Якщо атаки соціальної інженерії мають на меті переконати нас у тому, що ми вже під загрозою, як ви, як компанія, можете навчити своїх співробітників боротися з природнім бажанням панікувати? Тут Вес беззаперечний:
«Вам потрібно змінити культуру».
«У Guru ми зазвичай ділимося найсмішнішими спробами фішингу, які ми бачимо — і зазвичай вони 'надіслані' від Ріка [Генерального директора Guru], який постійно потребує наших номерів стільникових телефонів. Це смішно, але це також не смішно. Що якщо один з наших менеджерів з обслуговування клієнтів потрапляє в це і віддасть номер стільникового телефону або адресу електронної пошти, які потім використовуються для доступу до наших клієнтів? Це б був великий чотирикутник. На щастя, оскільки ми регулярно розкриваємо ці загрози, ми можемо говорити про них та навчатися один від одного новим тактикам, що робить нас набагато більш ймовірними до їх виявлення».
Компанії навіть можуть проводити спеціальні спроби фішингу, які дозволяють їхній команді з управління ризиками та дотримання вимог надсилати фейкові фішингові електронні листи, щоб перевірити, хто в компанії може потрапити на справжню атаку, але це ризик eroding довіру до команди. Замість цього, тут в Guru, Вес забезпечив, щоб усі в компанії пройшли тест на фішинг від Google Jigsaw в цілях навчання.
Як не боротися з загрозами безпеки
«З якоїсь причини, у багатьох випадках, золотий стандарт в індустрії — це 'навчати' робочу силу щорічно в пасивному режимі. Всі дивляться відео або отримують електронне повідомлення про риски реагування на фішинг, а потім команда безпеки може сказати: 'Дивіться, всі подивилися чи прочитали це, тому всі вирушили далі.'"
Такий рід пасивного навчання не обов’язково навчає когось, як реагувати на атаку чи як активно ідентифікувати ці загрози, особливо враховуючи, як тактики змінюються протягом року. Ваша команда з управління ризиками та дотримання вимог повинна підтримувати цей діалог відкритим з більшою базою співробітників і забезпечити, щоб це була постійна розмова.
Найсильніша оборона проти фішингу
«Врешті-решт, найсильніша оборона проти фішингу — це здоровий недовіра», — пояснює Вес. В ідеальному світі такі загрози не існували б, але оскільки вони є, підтримувати адекватну кількість скептицизму до інструментів, від яких ми залежимо, є єдиним способом бути по-справжньому пильними.
