Huwag sabotahe ang iyong sariling seguridad, sanayin ang iyong mga gumagamit

Sa palagay ko ang unang pagkakataon na nakakita ako ng isang phishing email ay bumalik noong 2000 habang nagtatrabaho ako sa isang proyekto sa pagsubok kasama si Oliver Rist, na ngayon ay ang Negosyo ng PCMag. Isang umaga pareho kaming nakatanggap ng mga email na may linya ng paksa, "Mahal kita, " na kung saan ay din ang katawan ng email at mayroong isang kalakip. Agad naming nalaman agad na ang email ay kailangang maging mali dahil, bilang mga editor ng magazine, alam namin na walang nagmamahal sa amin. Hindi kami nag-click sa attachment. Kami ay, sa katunayan, kumikilos bilang mga firewall ng tao. Nakilala namin ang isang maling email na nakikita, at tinanggal namin ito sa halip na ipaalam sa kumalat ang mga nilalaman nito sa aming mga computer at ang natitirang bahagi ng network.

Kahit na noon, ang mga pag-atake tulad nito ay tinawag na "social engineering" ng set ng hacker. Ngayon, ang mga phishing emails ay marahil ang pinakamahusay na kilalang bersyon ng ganitong uri ng pagsasamantala. Ang mga ito ay naglalayong pangunahin sa pag-snagging mga kredensyal sa seguridad ngunit may kakayahan din silang maghatid ng iba pang mga uri ng malware, lalo na ang ransomware. Ngunit nararapat na tandaan na mayroong iba pang mga uri ng pag-atake sa panlipunan engineering bukod sa phishing, kasama ang ilan kung saan ang pag-atake ay pisikal kaysa sa mahigpit na digital.

Mga Tao: Pa rin ng isang nangungunang Vektor ng Atake

Ang dahilan ng mga email sa phishing ay napakalawak na kilala dahil ang mga ito ay pangkaraniwan. Sa ngayon, makatarungan na sabihin na ang sinumang may isang email account ay makakatanggap ng isang phishing email sa ilang mga punto. Ang email ay madalas na nagpapanggap na mula sa iyong bangko, kumpanya ng iyong credit card, o ilang iba pang negosyo na madalas mo. Ngunit ang mga email sa phishing ay maaari ring maging isang banta sa iyong samahan habang sinusubukan ng mga umaatake na gamitin ang iyong mga empleyado laban sa iyo. Ang isa pang maagang bersyon ng pag-atake na ito ay dumating sa panahon ng ginintuang edad ng pag-fax kapag ang mga umaatake ay mag-fax ng isang invoice para sa mga serbisyo na hindi kailanman naibigay sa mga malalaking kumpanya, sa pag-asang ang mga abalang ehekutibo ay isusumite lamang sila para sa pagbabayad.

Ang phishing ay nakakagulat na epektibo. Ayon sa isang pag-aaral ng law firm na BakerHostetler, na tiningnan ang 560 na mga paglabag sa data noong nakaraang taon, ang phishing ang nangungunang sanhi ng mga insidente ng seguridad ng data ngayon.

Sa kasamaang palad, ang teknolohiya ay hindi pa nahuli sa mga pag-atake sa phishing. Habang mayroong isang bilang ng mga aparatong pangseguridad at mga pakete ng software na idinisenyo upang salain ang mga nakakahamong mga email, ang masasamang tao na gumagawa ng mga email sa phishing ay nagsusumikap upang matiyak na ang kanilang pag-atake ay dumulas sa mga bitak. Ang isang pag-aaral ni Cyren ay nagpapakita na ang pag-scan ng email ay may rate ng pagkabigo na 10.5 porsyento sa paghahanap ng mga nakakahamak na email. Kahit na sa isang maliit na upang midsize negosyo (SMB), na maaaring magdagdag ng hanggang sa maraming mga email, at alinman sa mga na naglalaman ng isang sosyal na pag-atake sa engineering ay maaaring maging isang banta sa iyong samahan. At hindi isang pangkalahatang banta tulad ng magiging kaso sa karamihan ng mga malware na pinamamahalaang upang mapanlinlang ng iyong mga hakbang sa proteksyon ng endpoint, ngunit ang mas makasalanang uri na partikular na na-target sa iyong pinakamahalagang data at digital na mga mapagkukunan.

Naalerto ako sa ulat ng Cyren sa panahon ng isang pag-uusap kay Stu Sjouwerman, tagapagtatag at CEO ng KnowBe4, isang kumpanya na makakatulong sa mga propesyonal sa mapagkukunan ng tao (HR) na magturo sa kamalayan sa seguridad. Ito ay si Sjouwerman na nagdala ng term na "human firewall" at tumalakay din sa "pag-hack ng tao." Ang kanyang mungkahi ay ang mga organisasyon ay maaaring maiwasan o mabawasan ang pagiging epektibo ng mga pag-atake sa panlipunan sa engineering na may ilang pare-pareho na pagsasanay na ginagawa sa isang paraan na nasasangkot din ang iyong kawani sa paglutas ng problema.

Siyempre, maraming mga organisasyon ang may mga sesyon sa pagsasanay sa kamalayan sa seguridad. Marahil ay napunta ka sa ilang mga pagpupulong na kung saan ang lumang kape ay ipinares sa mga bastos na kambiyo habang ang isang kontratista na inupahan ng HR ay gumugol ng 15 minuto na nagsasabi sa iyo na huwag mahulog para sa mga phishing emails - nang hindi talaga sinasabi sa iyo kung ano sila o nagpapaliwanag kung ano ang gagawin kung sa tingin mo nakatagpo ka. Oo, ang mga pulong na iyon.

Ang iminumungkahi ni Sjouwerman na mas mahusay na gumagana ay upang lumikha ng isang interactive na kapaligiran sa pagsasanay kung saan mayroon kang pag-access sa aktwal na mga phishing email kung saan maaari mong suriin ang mga ito. Marahil ay may isang pagsisikap ng grupo kung saan sinubukan ng bawat isa na makita ang mga kadahilanan na tumuturo sa mga email sa phishing, tulad ng mahinang pagbaybay, mga adres na halos mukhang tunay, o humiling na, sa pagsusuri, ay hindi makatuwiran (tulad ng paghingi ng agarang paglipat ng mga pondo ng korporasyon sa isang hindi kilalang tatanggap).

Pagtatanggol Laban sa Social Engineering

Ngunit binanggit din ni Sjouwerman na mayroong higit sa isang uri ng social engineering. Nag-aalok siya ng isang hanay ng mga libreng tool sa KnowBe4 website na maaaring magamit ng mga kumpanya upang matulungan ang kanilang mga empleyado na matuto. Iminungkahi rin niya ang sumusunod na siyam na mga hakbang na maaaring gawin ng mga kumpanya upang labanan ang mga pag-atake sa social engineering.

• Lumikha ng isang tao na firewall sa pamamagitan ng pagsasanay sa iyong mga kawani upang kilalanin ang mga pag-atake ng panlipunang pang-engineering kapag nakita nila ang mga ito.
• Magsagawa ng madalas, kunwa ng mga pagsubok sa panlipunang pang-agham upang mapanatili ang iyong mga empleyado sa kanilang mga daliri sa paa.
• Magsagawa ng isang pagsubok sa seguridad sa phishing; Ang Knowbe4 ay may isang libre.
• Maging maingat para sa pandaraya ng CEO. Ang mga ito ay mga pag-atake kung saan ang mga umaatake ay lumikha ng isang nasamsam na email na tila nagmula sa CEO o iba pang mataas na ranggo ng opisyal, na nagdidirekta ng mga aksyon tulad ng paglilipat ng pera sa isang kagyat na batayan. Maaari mong suriin upang makita kung ang iyong domain ay maaaring mai-spoof sa pamamagitan ng paggamit ng isang libreng tool mula sa KnowBe4.
• Magpadala ng simulate na mga email sa phishing sa iyong mga empleyado at isama ang isang link na mag-aalerto sa iyo kung mai-click ang link na iyon. Subaybayan kung aling mga kawani ang mahuhulog para dito at magtuon ng pagsasanay sa mga nahuhulog dito nang higit sa isang beses.
• Maging handa para sa "pagnanasa, " na kung saan ay isang uri ng voicemail social engineering kung saan ang mga mensahe ay naiwan na subukan upang makakuha ng aksyon mula sa iyong mga empleyado. Ang mga iyon ay maaaring lumilitaw na mga tawag mula sa pagpapatupad ng batas, ang Internal Revenue Service (IRS), o kahit na ang suporta sa tech sa Microsoft. Tiyaking alam ng iyong mga empleyado na huwag ibalik ang mga tawag na iyon.
• Alerto ang iyong mga empleyado sa "text phishing" o "SMiShing (SMS phishing), " na tulad ng email phishing ngunit may mga text message. Sa kasong ito, ang link ay maaaring idinisenyo upang makakuha ng sensitibong impormasyon, tulad ng mga listahan ng contact, mula sa kanilang mga mobile phone. Dapat silang sanayin na huwag hawakan ang mga link sa mga text message, kahit na mukhang nagmula ito sa mga kaibigan.
• Ang pag-atake ng Universal Serial Bus (USB) ay nakakagulat na epektibo at sila ay isang maaasahang paraan upang maarok ang mga network na naka-air na naka-air. Ang paraan na ito ay gumagana ay ang isang tao ay nag-iwan ng USB sticks sticks na nakahiga sa paligid ng mga banyo, paradahan, o iba pang mga lugar na madalas na ginagawa ng iyong mga empleyado; marahil ang stick ay nakakaakit ng mga logo o label sa kanila. Kapag nahanap at ipasok ng mga empleyado ang isang madaling-gamiting computer - at gagawin nila kung hindi sila tinuruan kung hindi - pagkatapos ang malware sa kanila ay papasok sa iyong network. Ito ay kung paano ang Stuxnet malware ay tumagos sa programang nuklear ng Iran. Ang Knowbe4 ay may isang libreng tool upang subukan ito.
• Ang pag-atake sa package ay nakakagulat din na epektibo. Ito ay kung saan ang isang tao ay nagpapakita ng isang sandata ng mga kahon (o kung minsan ay mga pizza) at hinihiling na mapagbigay upang maihatid sila. Habang hindi ka naghahanap, dumulas sila ng isang USB aparato sa isang malapit na computer. Kailangang sanayin ang iyong mga empleyado sa pamamagitan ng pagsasagawa ng simulate na pag-atake. Maaari mong hikayatin ang mga ito sa pamamagitan ng pagsasanay para sa ito at pagkatapos ay ibahagi ang mga pizza kung nakuha nila ito ng tama.

Tulad ng nakikita mo, ang panlipunang engineering ay maaaring maging isang tunay na hamon at maaari itong maging mas epektibo kaysa sa gusto mo. Ang tanging paraan upang labanan ito ay ang aktibong pakikisalamuha ang iyong mga empleyado sa paghanap ng mga pag-atake at pagtawag sa kanila. Tapos na, ang iyong mga empleyado ay talagang masisiyahan sa proseso - at marahil makakakuha din sila ng ilang mga libreng pizza dito.