最新的安全威脅來了——它在我們的日曆上。 垃圾郵件發送者一直在發送 包含鏈接的 Google 日曆邀請，繞過收件箱，利用默認的日曆設置，無論是否已經接受，都允許邀請自動顯示。 我們與風險和合規經理 Wes Andrues 談了談如何最好地教育您的公司有關新興社會工程安全威脅（例如網絡釣魚或日曆垃圾郵件），以及廣泛的知識如何有助於維護您的內部技術安全。

首先，讓我們先了解一下 Wes，在我們深入探討他的建議之前：他的背景包括在五角大樓的國防部和陸軍網絡指揮部服務，隨後領導 Dell SecureWorks 的風險和合規部門。 不用說，他知道自己在說什麼。

網絡釣魚並不是黑客行為——這更糟。

儘管好萊塢希望我們相信 "黑客" 涉及一個人狂熱地在終端上輸入命令，但這種漏洞主要（雖然不是完全）受到 "漏洞懸賞" 計劃的影響而被抑制。 Wes 是這樣解釋的："漏洞懸賞計劃讓公司說，‘如果您發現我們的應用有什麼問題，我們會付錢給您。 不要試圖黑客攻擊我們；只需告訴我們，我們會付錢給您。"

"社會工程繞過了傳統的黑客攻擊，直達有權訪問數據的人類——這已被證明更有效。"

一些電子郵件質量差，但許多電子郵件相當令人信服，利用我們對曝光的現有恐懼來……揭露我們！ 您只需要一個人驚慌失措，社會工程就能影響整個公司。

被社會工程愚弄的聰明人的經典案例？ 約翰·波德斯塔。 兩年前。 DNC。 "他點擊了全球都在談論的更改密碼鏈接，" Wes 說。 "他是喬治城大學的律師，受到了誘惑，所以你可以看到為什麼社會工程比黑客行為提供了更多的機會。"

如何有效地應對安全威脅

如果社會工程攻擊旨在讓我們相信我們已經暴露，那麼作為公司，您如何教育員工對抗驚慌的自然衝動？ 在這裡，Wes 是明確的：

"你必須改變文化。"

"在Guru，我們通常分享看到的有趣的釣魚郵件實驗——它們通常來自 Rick [Guru 的首席執行官]，他似乎經常需要我們的手機號碼。 這很有趣，但同時也不有趣。 如果我們的一位客戶成功經理上當，給出了手機號碼或電子郵件地址，然後被用來接觸我們的客戶呢？ 那將是一個大問題。 幸運的是，由於我們定期發現這些威脅，我們能夠討論並互相教育新的戰術，大大提高了我們識別它們的可能性。"

公司甚至可以嘗試釣魚演習，讓自己的風險和合規團隊能夠發送虛假的釣魚郵件，看看公司內誰可能會上當，但這會冒著損害團隊信任的風險。 相反，Guru 這裡，Wes 確保公司的每個人都參加了Google Jigsaw 釣魚測驗以供培訓。

如何不應對安全威脅

"出於某種原因，在許多情況下，行業的黃金標準是以被動的方式每年對員工進行一次安全培訓。 每個人都觀看一段視頻或收到關於應對釣魚風險的電子郵件，然後安全團隊就可以說，‘看看，所有人都觀看或閱讀了這個，因此所有人都可以繼續。'"

這種被動培訓不一定教會任何人如何應對攻擊或如何主動識別這些威脅，特別是當戰術在全年內變化時。 您的風險和合規團隊應該與更大範圍的員工保持對話，並確保這是一個持續的對話。

對抗釣魚的最強防禦

"最後，對抗釣魚的最強防禦是健康的不信任，" Wes 解釋說。 在一個理想的世界裡，這些威脅不會存在，但既然它們存在，保持對我們所依賴的工具保持合理的懷疑是唯一真正保持警惕的方法。

有關網絡安全的更多信息，請查看 Wes Andrues 的最新書籍，"追逐煙霧：探索網絡犯罪的陰暗惡意，現在可用。