应对新兴的网络安全威胁
Posted: Wed Dec 11, 2024 7:04 am
了解如何最好地教育您的公司并应对新兴的网络安全威胁,例如网络钓鱼电子邮件和日历垃圾邮件。
最新的安全威胁就在这里——而且已经在我们的日历中了。垃圾邮件发送者一直在发送包含链接的 Google 日历邀请,绕过收件箱,并利用允许自动显示邀请的默认日历设置,无论邀请是否被接受。我们与我们的风险与合规经理 Wes Andrues进行了交谈,讨论如何最好地向您的公司介绍新兴的社会工程安全威胁(例如网络钓鱼或日历垃圾邮件),以及广泛的知识如何帮助维护您的内部技术安全。
首先,在我们深入探讨韦斯的建议之前,先介绍一下韦斯:他的背景包括在国防部和五角大楼陆军网络司令部任职,随后领导戴尔 SecureWorks 的风险与合规部门。不用说,他知道他在说什么。
网络钓鱼不是黑客攻击——它更糟糕
虽然好莱坞希望我们相信“黑客攻击”涉及一个人在终端中疯狂地输入命令,但由于“错误赏金”计划,这种漏洞在很大程度上(尽管不是完全)被抑制了。 Wes 是这样解释的:“漏洞赏金计划允许公司说,‘如果您发现我们的应用程序有问题,我们将向您付款。不要试图攻击我们;只需告诉我们,我们就会向您付款。’”
mr-robot-hack.jpg
“社会工程绕过了传统的黑客尝试,直接通过人类访问数据——事实证明,这要有效得多。”
有些是质量很差的电子邮件,但许多都非常有说服力,利用我们现有的对暴露的恐惧来……暴露我们!你只需要一个人对社会工程影响整个公司感到恐慌。
聪明人被社会工程愚弄的经典案例?约翰·波德 澳洲华人海外数据库包 斯塔.两年前。民主党全国委员会。 “我点击了全世界都听到的更改密码链接,”韦斯说。 “他是一位在乔治敦大学接受过教育的律师,也因此上当,所以你可以明白为什么社会工程比黑客攻击提供了更多的机会。”
如何有效应对安全威胁
如果社会工程攻击的目的是让我们相信我们已经暴露了,那么作为一家公司,您如何教育您的员工抵制自然的恐慌冲动?在这里,韦斯明确表示:
“你必须改变文化。”
“在 Guru,我们通常会分享我们看到的更有趣的网络钓鱼电子邮件尝试 - 它们通常‘来自’来自 Rick [Guru 首席执行官],他似乎一直需要我们的手机号码。这很有趣,但也不是如果我们的一位 CSM 上当并提供了用于联系我们客户的手机号码或电子邮件地址,那会是一件大事吗?并互相学习新的战术,使我们更有可能发现他们。”
公司甚至可以尝试网络钓鱼练习,允许自己的风险和合规团队发送虚假的网络钓鱼电子邮件,以了解公司中的哪些人可能会因真正的攻击而失败,但这可能会削弱对团队的信任。相反,在 Guru,我们确保公司的每个人都参加了Google Jigsaw 网络钓鱼测验以进行培训。
如何不应对安全威胁
“出于某种原因,在很多情况下,行业的黄金标准是每年以被动的方式对员工进行安全‘培训’。每个人都会观看视频或收到有关应对网络钓鱼风险的电子邮件,并且然后安全团队可以说,‘看,每个人都观看或阅读了这个,所以每个人都继续前进。’”
这种被动训练并不一定能教会任何人如何应对攻击或如何主动识别这些威胁,尤其是随着策略全年发生变化。您的风险和合规团队应该与更大的员工群体保持开放的对话渠道,并确保这是一个持续的对话。
抵御网络钓鱼的最强防御
“最终,抵御网络钓鱼最有力的防御措施是健康的不信任,”韦斯解释道。在理想的世界中,此类威胁不会存在,但既然存在,对我们所依赖的工具保持一定程度的怀疑是真正保持警惕的唯一方法。
最新的安全威胁就在这里——而且已经在我们的日历中了。垃圾邮件发送者一直在发送包含链接的 Google 日历邀请,绕过收件箱,并利用允许自动显示邀请的默认日历设置,无论邀请是否被接受。我们与我们的风险与合规经理 Wes Andrues进行了交谈,讨论如何最好地向您的公司介绍新兴的社会工程安全威胁(例如网络钓鱼或日历垃圾邮件),以及广泛的知识如何帮助维护您的内部技术安全。
首先,在我们深入探讨韦斯的建议之前,先介绍一下韦斯:他的背景包括在国防部和五角大楼陆军网络司令部任职,随后领导戴尔 SecureWorks 的风险与合规部门。不用说,他知道他在说什么。
网络钓鱼不是黑客攻击——它更糟糕
虽然好莱坞希望我们相信“黑客攻击”涉及一个人在终端中疯狂地输入命令,但由于“错误赏金”计划,这种漏洞在很大程度上(尽管不是完全)被抑制了。 Wes 是这样解释的:“漏洞赏金计划允许公司说,‘如果您发现我们的应用程序有问题,我们将向您付款。不要试图攻击我们;只需告诉我们,我们就会向您付款。’”
mr-robot-hack.jpg
“社会工程绕过了传统的黑客尝试,直接通过人类访问数据——事实证明,这要有效得多。”
有些是质量很差的电子邮件,但许多都非常有说服力,利用我们现有的对暴露的恐惧来……暴露我们!你只需要一个人对社会工程影响整个公司感到恐慌。
聪明人被社会工程愚弄的经典案例?约翰·波德 澳洲华人海外数据库包 斯塔.两年前。民主党全国委员会。 “我点击了全世界都听到的更改密码链接,”韦斯说。 “他是一位在乔治敦大学接受过教育的律师,也因此上当,所以你可以明白为什么社会工程比黑客攻击提供了更多的机会。”
如何有效应对安全威胁
如果社会工程攻击的目的是让我们相信我们已经暴露了,那么作为一家公司,您如何教育您的员工抵制自然的恐慌冲动?在这里,韦斯明确表示:
“你必须改变文化。”
“在 Guru,我们通常会分享我们看到的更有趣的网络钓鱼电子邮件尝试 - 它们通常‘来自’来自 Rick [Guru 首席执行官],他似乎一直需要我们的手机号码。这很有趣,但也不是如果我们的一位 CSM 上当并提供了用于联系我们客户的手机号码或电子邮件地址,那会是一件大事吗?并互相学习新的战术,使我们更有可能发现他们。”
公司甚至可以尝试网络钓鱼练习,允许自己的风险和合规团队发送虚假的网络钓鱼电子邮件,以了解公司中的哪些人可能会因真正的攻击而失败,但这可能会削弱对团队的信任。相反,在 Guru,我们确保公司的每个人都参加了Google Jigsaw 网络钓鱼测验以进行培训。
如何不应对安全威胁
“出于某种原因,在很多情况下,行业的黄金标准是每年以被动的方式对员工进行安全‘培训’。每个人都会观看视频或收到有关应对网络钓鱼风险的电子邮件,并且然后安全团队可以说,‘看,每个人都观看或阅读了这个,所以每个人都继续前进。’”
这种被动训练并不一定能教会任何人如何应对攻击或如何主动识别这些威胁,尤其是随着策略全年发生变化。您的风险和合规团队应该与更大的员工群体保持开放的对话渠道,并确保这是一个持续的对话。
抵御网络钓鱼的最强防御
“最终,抵御网络钓鱼最有力的防御措施是健康的不信任,”韦斯解释道。在理想的世界中,此类威胁不会存在,但既然存在,对我们所依赖的工具保持一定程度的怀疑是真正保持警惕的唯一方法。