4 совета, как защитить ИТ-сотрудников от фишинговых атак

Никто не идеален, в том числе и ваши ИТ-специалисты. Вот что, по мнению экспертов по безопасности, может помочь смягчить человеческий фактор.

Цифровые кодовые номера данных и значки безопасного замка в руках хакера, работающего с клавиатурой компьютера на темно-синем фоне..

Ошибки совершают все, но ошибки одних могут обойтись дороже, чем другим.

Фишинговые атаки нацелены на ИТ-специалистов в большей степени, чем на любых других сотрудников организации, даже больше, чем на руководящий персонал. На самом деле, 47% ИТ-специалистов говорят, что стали жертвами фишинговой атаки, согласно отчету Ivanti, в ходе которого было опрошено 1005 технических работников по всему миру.

Неудивительно, что злоумышленники нацеливаются на ИТ-отделы, считает Эд Аморозо, основатель и генеральный директор TAG Cyber ​​и выдающийся профессор-исследователь Инженерной школы Тандон при Нью-Йоркском университете.

«ИТ профессионалы имеют все привилегии и доступ к важным вещам», — сказал Аморозо. «Поэтому я не могу придумать никого, на кого можно было бы лучше ориентироваться, чем на людей, которые управляют ИТ».

В духе Месяца осведомленности о кибербезопасности эксперты по безопасности предложили четыре совета, как защитить ИТ-сотрудников от фишинговых атак:

  • Добавьте такие факторы безопасности, как многофакторная аутентификация или внешние предупреждения по электронной почте.
  • Сделайте безопасность частью процесса, а не задним числом.
  • Поощряйте сотрудники должны работать с командами безопасности, чтобы найти безопасные альтернативы теневым ИТ.
  • Сделайте безопасность лично для сотрудников.

Один из способов, которым компании могут отпраздновать этот месяц, – это кибербезопасность в отношении сотрудников.

Если организации делают упор на кибербезопасность только на работе, она превращается в то, что сотрудники могут «включать, когда входят в дверь, и выключать, когда уходят», — говорит Крис Новак, управляющий директор Verizon Threat Research. Консультативный центр, сказал.

Иногда сотрудники просто забывают нажать на выключатель. Чтобы изменить это, Новак предлагает компаниям связать идею защиты данных компании с защитой личных данных, таких как номера социального страхования или банковская информация.

«Они не считают это безопасностью, но именно так вы защитить свои личные данные», — сказал Новак. «Если вы можете заставить людей иметь такой уровень осведомленности… теперь, когда они входят в офис, и кто-то просит их о чем-то, что вызывает у них подозрение или беспокойство, это будет потому, что это то, о чем они думают естественным образом. ”

Угроза

Ошибки в киберпространстве могут дорого обойтись. По данным IBM, в этом году средняя стоимость утечки данных в США превысила 4,4 миллиона долларов.

Неудачи в области ИТ-безопасности часто сводятся к одному общему знаменателю: человеческая ошибка. (И в некоторых случаях злоумышленники особенно хорошо справляются со своей работой, как видно из компрометации SolarWind).

Даже те, кто хорошо обучен безопасности, могут быть введены в заблуждение целевой фишинговой атакой из-за объема знаний, которыми обладает хакер, – сказал Дэвид Штраус, соучредитель и технический директор Pantheon.

Целенаправленный фишинг, когда злоумышленник нацелен на определенную аудиторию, широко распространен. Штраус был свидетелем множества покушений на его компанию.

В Pantheon сотрудники довольно часто получают сообщение от человека, который утверждает, что является генеральным директором. Человек может знать все, от имени генерального директора до имени и должности сотрудника. Сообщения обычно включают в себя какой-либо запрос, чтобы субъект угрозы мог получить доступ.

Уменьшение человеческого фактора

Более 4 из 5 нарушений Человеческий фактор, в том числе социальные атаки, ошибки и неправомерное использование, согласно отчету Verizon, в котором проанализировано более 23 000 инцидентов.

ИТ-специалисты, как и другие сотрудники бизнеса, заняты в течение дня, переходя от одного задание к следующему.

Независимо от того, просматривают ли они накопившиеся непрочитанные электронные письма или пытаются собрать излишки вкладок, сотрудники, совершающие действия, предоставляют возможности для использования злоумышленниками.

Один из способов борьбы это путем добавления лежачих полицейских, чтобы замедлить сотрудников. Хотя на первый взгляд это может показаться нелогичным, важно помнить, что безопасность не всегда удобна. Выполнение задачи на несколько секунд дольше, чем обычно, может защитить компанию от потери данных, клиентов и денег.

«Большинство людей, если они вынуждены остановиться и подумать о действии, которое может быть рискованным, обычно понимают, что это рискованно, и останавливаются», — сказал Новак.

Примеры «лежачих полицейских» варьируются от многофакторной аутентификации до предупреждений по электронной почте.

В частности, для фишинговых писем во многих организациях есть система, в которой при нажатии на ссылку требуется, чтобы вы чтобы пройти через всплывающее окно внутреннего портала компании, где пользователь должен подтвердить, что он хочет перейти на сайт, прежде чем отправить пользователя по ссылке, по словам Новака.

«Таким образом, вы можете получить электронное письмо , и он может сказать: «Эй, посмотрите эту новостную статью», и там будет ссылка», — сказал Новак. «Если вы нажмете на эту ссылку, вы не перейдете прямо на этот новостной сайт, вы сначала попадете на внутренний сайт, который скажет: «Эй, мы просто хотим убедиться, что вы понимаете, что это будет внешний сайт».

Создание культуры безопасности в ИТ

Компании могут внедрять стратегии, обучение и приемы для оптимизации безопасности своей организации, но если сотрудники компании не считают, что безопасность является приоритетом, это не очень полезно.

Одна из самых больших областей улучшения для организаций — изменить свое отношение к безопасности с запоздалого на предусмотрительное, — сказал Новак. .

Это означает, что вместо того, чтобы создавать приложение или платформу, а затем просить службу безопасности проверить их и модифицировать, с самого начала включите команду безопасности в процесс.

Изменение мышления также может помочь ограничить использование теневых ИТ. По словам Аморосо, вместо того, чтобы сотрудники тайно использовали несанкционированные системы, приложения или устройства для работы, они просили команду безопасности помочь им защитить их или найти более безопасную альтернативу.