Mối đe dọa bảo mật mới nhất đã xuất hiện — và nó nằm trong lịch của chúng ta. Các kẻ gửi thư rác đã gửi lời mời Google Calendar chứa các liên kết, vượt qua hộp thư đến và tận dụng các cài đặt lịch mặc định cho phép lời mời tự động hiển thị, bất kể nó có được chấp nhận hay không. Chúng tôi đã trò chuyện với người quản lý rủi ro và tuân thủ của chúng tôi, Wes Andrues, về cách tốt nhất để giáo dục công ty của bạn về các mối đe dọa bảo mật kỹ thuật xã hội đang nổi lên (như lừa đảo hoặc thư rác trên lịch), và cách kiến thức rộng rãi có thể giúp duy trì sự an toàn công nghệ nội bộ của bạn.
Trước tiên, một chút về Wes trước khi chúng ta đi vào các mẹo của anh ấy: nền tảng của anh bao gồm phục vụ tại Bộ Quốc phòng và các Lực lượng mạng của Quân đội tại Lầu Năm Góc, sau đó là lãnh đạo bộ phận rủi ro và tuân thủ tại Dell SecureWorks. Không cần phải nói, anh ấy biết mình đang nói về điều gì.
Lừa đảo không phải là hacking — tệ hơn nhiều
Trong khi Hollywood muốn chúng ta tin rằng "hacking" liên quan đến một người gõ lệnh một cách điên cuồng vào terminal, loại lỗ hổng đó đã phần lớn (mặc dù không hoàn toàn) bị ngăn chặn nhờ vào các chương trình "bug bounty". Wes giải thích điều này: "Các chương trình bug bounty cho phép các công ty nói rằng, ‘Chúng tôi sẽ trả tiền cho bạn nếu bạn tìm thấy điều gì đó sai với ứng dụng của chúng tôi. Đừng cố gắng hack chúng tôi; chỉ cần nói cho chúng tôi biết và chúng tôi sẽ trả tiền cho bạn.'"
"Kỹ thuật xã hội vượt qua nỗ lực hacking truyền thống và đi thẳng đến con người có quyền truy cập vào dữ liệu — và điều đó đã chứng tỏ là hiệu quả hơn nhiều."
Một số email kém chất lượng, nhưng nhiều cái khá thuyết phục, lợi dụng nỗi sợ hãi hiện có của chúng ta về sự phơi bày để… phơi bày chúng ta! Bạn chỉ cần một người hoảng sợ để kỹ thuật xã hội ảnh hưởng đến toàn bộ công ty.
Trường hợp điển hình của một người thông minh bị đánh lừa bởi kỹ thuật xã hội? John Podesta. Hai năm trước. DNC. "Anh ấy đã nhấp vào liên kết đổi mật khẩu nổi tiếng khắp thế giới," Wes nói. "Anh ấy là một luật sư tốt nghiệp Georgetown đã bị mắc phải, vì vậy bạn có thể thấy tại sao kỹ thuật xã hội lại có nhiều cơ hội hơn hacking."
Cách để chống lại các mối đe dọa bảo mật một cách hiệu quả
Nếu các cuộc tấn công kỹ thuật xã hội được thiết kế để thuyết phục chúng ta rằng chúng ta đã bị phơi bày, làm thế nào bạn, với tư cách một công ty, có thể giáo dục nhân viên của mình chống lại sự thôi thúc hoảng sợ tự nhiên? Ở đây, Wes rất rõ ràng:
"Bạn phải thay đổi văn hóa."
"Tại Guru, chúng tôi thường chia sẻ những nỗ lực email lừa đảo hài hước hơn mà chúng tôi thấy — và chúng thường ‘đến’ từ Rick [Giám đốc điều hành của Guru], người dường như luôn cần số điện thoại của chúng tôi. Thật hài hước, nhưng cũng không phải. Nếu một trong những nhân viên dịch vụ khách hàng của chúng tôi bị mắc bẫy và cung cấp số điện thoại hoặc địa chỉ email mà sau đó được sử dụng để tiếp cận khách hàng của chúng tôi thì sao? Điều đó sẽ là một vấn đề lớn. May mắn thay, vì chúng tôi thường xuyên nêu bật những mối đe dọa này, chúng tôi có thể nói về chúng và giáo dục lẫn nhau về các chiến thuật mới, giúp chúng tôi có khả năng phát hiện chúng cao hơn nhiều."
Các công ty thậm chí có thể thử các bài tập lừa đảo cho phép đội ngũ rủi ro và tuân thủ của họ gửi email lừa đảo giả để xem ai trong công ty có khả năng dễ bị tấn công thực sự, nhưng điều đó có thể làm suy yếu niềm tin vào đội ngũ. Thay vào đó, ở đây tại Guru, Wes đã đảm bảo rằng mọi người trong công ty đều trải qua Bài kiểm tra lừa đảo của Google Jigsaw cho mục đích đào tạo.
Cách không nên chống lại các mối đe dọa bảo mật
"Vì một lý do nào đó, trong nhiều trường hợp, tiêu chuẩn vàng trong ngành là 'đào tạo' lực lượng lao động hàng năm về bảo mật theo cách thụ động. Mọi người xem một video hoặc nhận được một email về những rủi ro của việc phản hồi với các email lừa đảo, và sau đó đội ngũ bảo mật có thể nói, ‘Nhìn xem, mọi người đã xem hoặc đọc cái này, vì vậy mọi người đã qua nó.'"
Loại đào tạo thụ động đó không nhất thiết dạy ai đó cách phản ứng với một cuộc tấn công hoặc cách xác định các mối đe dọa đó một cách chủ động, đặc biệt khi các chiến thuật thay đổi trong suốt năm. Đội ngũ rủi ro và tuân thủ của bạn nên giữ cho dòng đối thoại đó mở với cơ sở nhân viên lớn hơn và đảm bảo rằng đó là một cuộc trò chuyện liên tục.
Phòng thủ mạnh nhất chống lại lừa đảo
"Cuối cùng, phòng thủ mạnh nhất chống lại lừa đảo là một sự nghi ngờ lành mạnh," Wes giải thích. Trong một thế giới lý tưởng, những loại mối đe dọa này sẽ không tồn tại, nhưng vì chúng tồn tại nên việc duy trì một mức độ hoài nghi hợp lý về các công cụ mà chúng ta phụ thuộc là cách duy nhất để thực sự duy trì sự cảnh giác.
Mối đe dọa bảo mật mới nhất đã xuất hiện — và nó nằm trong lịch của chúng ta. Các kẻ gửi thư rác đã gửi lời mời Google Calendar chứa các liên kết, vượt qua hộp thư đến và tận dụng các cài đặt lịch mặc định cho phép lời mời tự động hiển thị, bất kể nó có được chấp nhận hay không. Chúng tôi đã trò chuyện với người quản lý rủi ro và tuân thủ của chúng tôi, Wes Andrues, về cách tốt nhất để giáo dục công ty của bạn về các mối đe dọa bảo mật kỹ thuật xã hội đang nổi lên (như lừa đảo hoặc thư rác trên lịch), và cách kiến thức rộng rãi có thể giúp duy trì sự an toàn công nghệ nội bộ của bạn.
Trước tiên, một chút về Wes trước khi chúng ta đi vào các mẹo của anh ấy: nền tảng của anh bao gồm phục vụ tại Bộ Quốc phòng và các Lực lượng mạng của Quân đội tại Lầu Năm Góc, sau đó là lãnh đạo bộ phận rủi ro và tuân thủ tại Dell SecureWorks. Không cần phải nói, anh ấy biết mình đang nói về điều gì.
Lừa đảo không phải là hacking — tệ hơn nhiều
Trong khi Hollywood muốn chúng ta tin rằng "hacking" liên quan đến một người gõ lệnh một cách điên cuồng vào terminal, loại lỗ hổng đó đã phần lớn (mặc dù không hoàn toàn) bị ngăn chặn nhờ vào các chương trình "bug bounty". Wes giải thích điều này: "Các chương trình bug bounty cho phép các công ty nói rằng, ‘Chúng tôi sẽ trả tiền cho bạn nếu bạn tìm thấy điều gì đó sai với ứng dụng của chúng tôi. Đừng cố gắng hack chúng tôi; chỉ cần nói cho chúng tôi biết và chúng tôi sẽ trả tiền cho bạn.'"
"Kỹ thuật xã hội vượt qua nỗ lực hacking truyền thống và đi thẳng đến con người có quyền truy cập vào dữ liệu — và điều đó đã chứng tỏ là hiệu quả hơn nhiều."
Một số email kém chất lượng, nhưng nhiều cái khá thuyết phục, lợi dụng nỗi sợ hãi hiện có của chúng ta về sự phơi bày để… phơi bày chúng ta! Bạn chỉ cần một người hoảng sợ để kỹ thuật xã hội ảnh hưởng đến toàn bộ công ty.
Trường hợp điển hình của một người thông minh bị đánh lừa bởi kỹ thuật xã hội? John Podesta. Hai năm trước. DNC. "Anh ấy đã nhấp vào liên kết đổi mật khẩu nổi tiếng khắp thế giới," Wes nói. "Anh ấy là một luật sư tốt nghiệp Georgetown đã bị mắc phải, vì vậy bạn có thể thấy tại sao kỹ thuật xã hội lại có nhiều cơ hội hơn hacking."
Cách để chống lại các mối đe dọa bảo mật một cách hiệu quả
Nếu các cuộc tấn công kỹ thuật xã hội được thiết kế để thuyết phục chúng ta rằng chúng ta đã bị phơi bày, làm thế nào bạn, với tư cách một công ty, có thể giáo dục nhân viên của mình chống lại sự thôi thúc hoảng sợ tự nhiên? Ở đây, Wes rất rõ ràng:
"Bạn phải thay đổi văn hóa."
"Tại Guru, chúng tôi thường chia sẻ những nỗ lực email lừa đảo hài hước hơn mà chúng tôi thấy — và chúng thường ‘đến’ từ Rick [Giám đốc điều hành của Guru], người dường như luôn cần số điện thoại của chúng tôi. Thật hài hước, nhưng cũng không phải. Nếu một trong những nhân viên dịch vụ khách hàng của chúng tôi bị mắc bẫy và cung cấp số điện thoại hoặc địa chỉ email mà sau đó được sử dụng để tiếp cận khách hàng của chúng tôi thì sao? Điều đó sẽ là một vấn đề lớn. May mắn thay, vì chúng tôi thường xuyên nêu bật những mối đe dọa này, chúng tôi có thể nói về chúng và giáo dục lẫn nhau về các chiến thuật mới, giúp chúng tôi có khả năng phát hiện chúng cao hơn nhiều."
Các công ty thậm chí có thể thử các bài tập lừa đảo cho phép đội ngũ rủi ro và tuân thủ của họ gửi email lừa đảo giả để xem ai trong công ty có khả năng dễ bị tấn công thực sự, nhưng điều đó có thể làm suy yếu niềm tin vào đội ngũ. Thay vào đó, ở đây tại Guru, Wes đã đảm bảo rằng mọi người trong công ty đều trải qua Bài kiểm tra lừa đảo của Google Jigsaw cho mục đích đào tạo.
Cách không nên chống lại các mối đe dọa bảo mật
"Vì một lý do nào đó, trong nhiều trường hợp, tiêu chuẩn vàng trong ngành là 'đào tạo' lực lượng lao động hàng năm về bảo mật theo cách thụ động. Mọi người xem một video hoặc nhận được một email về những rủi ro của việc phản hồi với các email lừa đảo, và sau đó đội ngũ bảo mật có thể nói, ‘Nhìn xem, mọi người đã xem hoặc đọc cái này, vì vậy mọi người đã qua nó.'"
Loại đào tạo thụ động đó không nhất thiết dạy ai đó cách phản ứng với một cuộc tấn công hoặc cách xác định các mối đe dọa đó một cách chủ động, đặc biệt khi các chiến thuật thay đổi trong suốt năm. Đội ngũ rủi ro và tuân thủ của bạn nên giữ cho dòng đối thoại đó mở với cơ sở nhân viên lớn hơn và đảm bảo rằng đó là một cuộc trò chuyện liên tục.
Phòng thủ mạnh nhất chống lại lừa đảo
"Cuối cùng, phòng thủ mạnh nhất chống lại lừa đảo là một sự nghi ngờ lành mạnh," Wes giải thích. Trong một thế giới lý tưởng, những loại mối đe dọa này sẽ không tồn tại, nhưng vì chúng tồn tại nên việc duy trì một mức độ hoài nghi hợp lý về các công cụ mà chúng ta phụ thuộc là cách duy nhất để thực sự duy trì sự cảnh giác.
