Älä sabotoi omaa turvallisuutta, kouluta käyttäjiä

Luulen, että ensimmäistä kertaa huomasin tietojenkalastelusähköpostin olleen vuonna 2000, kun työskentelin testausprojektin kanssa Oliver Ristin kanssa, joka on nyt PCMag: n Business Editor. Eräänä aamuna saimme molemmat sähköpostiviestit otsikkorivillä "Rakastan sinua", joka oli myös sähköpostin runko ja siellä oli liite. Me molemmat tiesimme heti, että sähköpostin on oltava vääriä, koska lehden toimittajana tiesimme, että kukaan ei rakastanut meitä. Emme napsauttaneet liitettä. Toimimme käytännössä ihmisen palomuureina. Tunnistimme näkemättömän sähköpostiosoitteen ja poistimme sen sen sijaan, että annimme sen sisällön levittää tietokoneillemme ja muuhun verkkoon.

Heti tuolloin hakkerojoukko kutsui näitä kaltaisia ​​hyökkäyksiä "sosiaalisiksi tekniikoiksi". Nykyään phishing-sähköpostit ovat todennäköisesti tunnetuin versio tällaisesta hyväksikäytöstä. Ne on suunnattu pääasiassa tietoturvatodistusten sieppaamiseen, mutta ne kykenevät myös toimittamaan muunlaisia ​​haittaohjelmia, erityisesti lunastusohjelmia. Mutta on syytä huomata, että tietojenkalastelun lisäksi on olemassa muun tyyppisiä sosiaalisen insinöörin hyökkäyksiä, mukaan lukien sellaisia, joissa hyökkäys on fyysistä eikä tiukasti digitaalista.

Ihmiset: edelleen johtava hyökkäysvektori

Tietokalastelusähköpostit ovat niin yleisesti tunnettuja, koska ne ovat niin yleisiä. Tähän mennessä on kohtuullista sanoa, että kuka tahansa sähköpostitilillä on jossain vaiheessa saanut tietojenkalastelusähköpostin. Sähköposti teeskentelee usein olevan pankkisi, luottokorttiyhtiösi tai muun yrityksen, jota usein käytät. Tietokalasteluviestit voivat myös olla uhka organisaatiollesi, kun hyökkääjät yrittävät käyttää työntekijöitäsi sinua vastaan. Toinen varhainen versio tästä hyökkäyksestä tuli faksauksen kultakaudella, jolloin hyökkääjät vain faksasivat laskun palveluista, joita ei koskaan suoritettu suurille yrityksille, toivoen, että kiireiset johtajat lähettäisivät ne vain maksettavaksi.

Tietokalastelu on yllättävän tehokasta. Asianajotoimisto BakerHostetlerin tutkimuksen mukaan, jossa tutkittiin 560 tietorikkomusta viime vuonna, tietojenkalastelu on johtava tietoturvaongelmien aihe.

Valitettavasti tekniikka ei ole kiinni phishing-hyökkäyksistä. Vaikka on olemassa useita tietoturvalaitteita ja ohjelmistopaketteja, jotka on suunniteltu suodattamaan haitallisia sähköpostiviestejä, huijausviestejä käsittävät pahat pojat työskentelevät ahkerasti varmistaakseen, että hyökkäykset liukuvat halkeamien läpi. Cyrenin tutkimus osoittaa, että sähköpostien skannauksen epäonnistumisaste on 10, 5 prosenttia haitallisten sähköpostien löytämisessä. Jopa pienessä, keskisuuressa yrityksessä (SMB), joka voi lisätä paljon sähköposteja, ja mikä tahansa niistä, jotka sisältävät sosiaalisen suunnittelun hyökkäyksen, voi olla uhka organisaatiollesi. Eikä yleinen uhka, kuten olisi useimpien haittaohjelmien kohdalla, jotka onnistuivat hiipimaan päätepisteiden suojaustoimenpiteiden avulla, mutta pahaenteisempiä, jotka on erityisesti kohdistettu arvokkaimpiin tietoihisi ja digitaalisiin resursseihisi.

Minua varoitti Cyren-raportti keskusteluissa Stu Sjouwermanin kanssa, joka on KnowBe4: n perustaja ja toimitusjohtaja. Yritys on yritys, joka voi auttaa henkilöstöhallinnon ammattilaisia ​​opettamaan turvallisuustietoisuutta. Sjouwerman toi esiin termin "ihmisen palomuuri" ja keskusteli myös "ihmisten hakkeroinnista". Hänen ehdotuksensa on, että organisaatiot voivat estää tai vähentää sosiaalisen insinöörin hyökkäyksiä johdonmukaisella koulutuksella, joka tehdään tavalla, joka myös osallistuu henkilöstösi ongelman ratkaisemiseen.

Tietysti monilla organisaatioilla on tietoturvatietoisuutta edistäviä koulutustilaisuuksia. Olet luultavasti ollut useissa niistä kokouksista, joissa vanha kahvi yhdistetään vanhentuneisiin munkkeihin, kun taas HR: n palkkaama urakoitsija viettää 15 minuuttia sanottuaan, että et pidä kalastaakseen tietojenkalastelusähköposteja - sanomatta itse, mitä ne ovat, tai selittämättä mitä tehdä, jos luulet löytäneesi sellaisen. Kyllä, nuo kokoukset.

Sjouwerman ehdotti, että se toimii paremmin: luodaan vuorovaikutteinen koulutusympäristö, jossa sinulla on pääsy todellisiin tietokalastelusähköposteihin, joissa voit tutkia niitä. Ehkä sinulla on ryhmätyö, jossa kaikki yrittävät nähdä tekijät, jotka viittaavat tietojenkalastelusähköposteihin, kuten huono oikeinkirjoitus, osoitteet, jotka melkein näyttävät todellisilta, tai pyynnöt, jotka tutkimuksen aikana eivät ole järkeviä (kuten esimerkiksi pyytävät välitöntä yrityksen varat tuntemattomalle vastaanottajalle).

Puolustaminen sosiaalista tekniikkaa vastaan

Mutta Sjouwerman huomautti myös, että sosiaalista tekniikkaa on enemmän kuin yksi. Hän tarjoaa KnowBe4-verkkosivustolla joukon ilmaisia ​​työkaluja, joita yritykset voivat käyttää työntekijöidensä oppimiseen. Hän ehdotti myös seuraavia yhdeksää vaihetta, jotka yritykset voivat toteuttaa torjuakseen sosiaalisen suunnittelun hyökkäyksiä.

• Luo ihmisen palomuuri kouluttamalla henkilöstöä tunnistamaan sosiaalisen insinöörin hyökkäykset heidän näkeessään.
• Suorita säännöllisiä, simuloituja sosiaalisen insinöörin testejä pitämään työntekijäsi varpaissa.
• Suorita tietojenkalastelun suojaustesti; Knowbe4: llä on ilmainen palvelu.
• Ole etsimässä toimitusjohtajan petoksia. Nämä ovat hyökkäykset, joissa hyökkääjät luovat väärennetyn sähköpostin, joka näyttää olevan toimitusjohtajalta tai muulta korkealta virkamieheltä ja ohjaa toimiin, kuten rahansiirtoon kiireellisesti. Voit tarkistaa, voidaanko verkkotunnuksesi huijata, käyttämällä ilmaista KnowBe4: n työkalua.
• Lähetä simuloitujen tietojenkalasteluviestit työntekijöillesi ja sisällytä linkki, joka ilmoittaa sinulle, jos linkkiä napsautetaan. Pidä kirjaa siitä, mitkä työntekijät kuuluvat sen piiriin, ja keskity koulutukseen niihin, jotka kuuluvat siihen useammin kuin kerran.
• Ole valmis "näkemykseen", joka on eräänlainen vastaajaviestinnän sosiaalinen tekniikka, jossa jätetään viestejä, jotka yrittävät saada työntekijöiltäsi toimenpiteitä. Ne saattavat näyttää lainvalvonnan, Internal Revenue Service (IRS): n tai jopa Microsoftin teknisen tuen puheluilta. Varmista, että työntekijät tietävät, etteivät ne palauta näitä puheluita.
• Varoita työntekijöitäsi "tietojenkalastelusta" tai "SMiShingistä (SMS-kalastelusta)", joka on kuin sähköinen tietojenkalastelu, mutta tekstiviesteillä. Tässä tapauksessa linkki voidaan suunnitella hankkimaan arkaluontoisia tietoja, kuten yhteystietoluetteloita, matkapuhelimistaan. Heidät on koulutettava olemaan koskematta tekstiviestien linkkejä, vaikka ne näyttäisivätkin olevan ystäviä.
• Universal Serial Bus (USB) -hyökkäykset ovat yllättävän tehokkaita ja ne ovat luotettava tapa tunkeutua ilmavälitteisiin verkkoihin. Toimintatapa on, että joku jättää USB-muistitikut makaamaan tupakointialueilla, pysäköintialueilla tai muissa työntekijöiden suosimissa paikoissa; Ehkä tikussa on houkuttelevia logoja tai tarroja. Kun työntekijät löytävät ja asetavat ne kätevään tietokoneeseen - ja he tekevät, jos heille ei toisin opeteta, heidän haittaohjelmansa joutuvat verkkoosi. Näin Stuxnet-haittaohjelma tunkeutui Iranin ydinohjelmaan. Knowbe4: llä on ilmainen työkalu myös tämän testaamiseen.
• Pakettihyökkäys on myös yllättävän tehokas. Täällä joku ilmestyy käsivarusteella laatikoita (tai joskus pizzoja) ja pyytää päästämään sisään, jotta ne voidaan toimittaa. Kun et katso, he liukuvat USB-laitteen lähellä olevaan tietokoneeseen. Työntekijäsi täytyy kouluttaa suorittamalla simuloituja hyökkäyksiä. Voit kannustaa heitä kouluttamalla tätä ja jakamalla sitten pizzat, jos he saavat sen oikein.

Kuten näette, sosiaalinen tekniikka voi olla todellinen haaste ja se voi olla paljon tehokkaampi kuin haluat. Ainoa tapa torjua sitä on saada työntekijät aktiivisesti mukaan tällaisten hyökkäysten havaitsemiseen ja kutsumiseen. Tehty oikein, työntekijäsi nauttivat prosessista - ja ehkä he myös saavat siitä ilmaisia ​​pizzoja.