آموزش کارمندان در مورد نحوه شناسایی حملات فیشینگ می تواند ضربه ای ضروری به مدافعان شبکه وارد کند.
امنیت بر اساس طراحی مدتهاست که برای متخصصان امنیت سایبری چیزی شبیه جام مقدس بوده است. این یک مفهوم ساده است: اطمینان حاصل کنید که محصولات به گونهای طراحی شدهاند که تا حد امکان ایمن باشند تا احتمال مصالحه در آینده به حداقل برسد. این مفهوم در سالهای اخیر بیشتر گسترش یافته است تا نشاندهنده تلاشی برای تعبیه امنیت در هر بخش از یک سازمان باشد - از خطوط لوله DevOps گرفته تا شیوههای کاری روزانه کارکنانش. با ایجاد یک فرهنگ امنیتی مانند این، سازمانها هم در برابر تهدیدات سایبری انعطافپذیرتر خواهند بود و هم مجهزتر میشوند تا در صورت بروز نقض، تأثیر آنها را به حداقل برسانند.
البته کنترلهای فناوری ابزار مهمی برای کمک به ایجاد این نوع فرهنگ امنیتی عمیق هستند. اما آموزش آگاهی از فیشینگ نیز همینطور است - که نقش بسیار مهمی در کاهش یکی از بزرگترین تهدیدات امنیت شرکت های امروزی ایفا می کند و به طور کلی باید جزء اصلی باشد. آموزش آگاهی از امنیت سایبری برنامه ها.
چرا فیشینگ اینقدر موثر است؟
با توجه به گزارش تهدید ESET T1 2022، تهدیدات ایمیل در چهار ماه اول سال 37 نسبت به چهار ماه آخر سال 2022 2021 درصد افزایش داشته است. تعداد URL های فیشینگ مسدود شده تقریباً با همان نرخ افزایش یافته است و بسیاری از کلاهبرداران از منافع عمومی سوء استفاده می کنند. جنگ روسیه و اوکراین.
کلاهبرداری های فیشینگ همچنان یکی از موفق ترین راه های مهاجمان برای نصب بدافزار، سرقت اطلاعات اعتباری و فریب کاربران برای انتقال پول شرکتی است. چرا؟ به دلیل ترکیبی از تاکتیکهای جعل که به کلاهبرداران کمک میکند جعل هویت فرستندههای قانونی را بسازند، و تکنیکهای مهندسی اجتماعی که برای تعجیل گیرنده طراحی شدهاند تا بدون فکر کردن به عواقب آن اقدام، اقدام کند.
این تاکتیک ها عبارتند از:
- شناسههای فرستنده/دامنه/شماره تلفن جعلی، گاهی اوقات استفاده میشود جعلی یا نام های دامنه بین المللی (IDN)
- حسابهای فرستنده ربوده شده، که اغلب بهعنوان تلاشهای فیشینگ تشخیص آنها بسیار دشوار است
- تحقیقات آنلاین (از طریق رسانههای اجتماعی) برای متقاعد کردن بیشتر تلاشهای spearphishing هدفمند
- استفاده از لوگوهای رسمی، سرصفحه ها، پاورقی ها
- ایجاد حس فوریت یا هیجان که کاربر را برای تصمیم گیری عجله می کند
- پیوندهای کوتاه شده که مقصد واقعی فرستنده را پنهان می کند
- ایجاد پورتال ها و وب سایت های ورود به ظاهر قانونی
بر اساس آخرین گزارش Verizon DBIR، چهار عامل بیشترین حوادث امنیتی را در سال گذشته به خود اختصاص دادند: اعتبارنامه های سرقت شده، فیشینگ، بهره برداری از آسیب پذیری ها و بات نت ها. از این میان، دو مورد اول حول محور خطای انسانی می چرخند. یک چهارم (25٪) از کل نقض های بررسی شده در این گزارش، نتیجه حملات مهندسی اجتماعی بوده است. هنگامی که با خطاهای انسانی و سوء استفاده از امتیازات ترکیب شد، عنصر انسانی 82 درصد از کل نقض ها را به خود اختصاص داد. این باید تبدیل این حلقه ضعیف به یک زنجیره امنیتی قوی را در اولویت هر CISO قرار دهد.
فیشینگ می تواند منجر به چه چیزی شود؟
حملات فیشینگ در دو سال گذشته به تهدید بزرگتری تبدیل شده است. کارگران خانه که حواسشان پرت شده است با دستگاههای بالقوه وصلهنشده و تحت محافظت بیرحمانه مورد هدف عوامل تهدید قرار گرفتهاند. در آوریل 2020، گوگل ادعا کرد هر روز 18 میلیون ایمیل مخرب و فیشینگ را در سراسر جهان مسدود می کند.
از آنجایی که بسیاری از این کارگران به دفتر بازمیگردند، این خطر نیز وجود دارد که در معرض حملات پیامک (smishing) و مبتنی بر تماس صوتی (vishing) قرار بگیرند. کاربرانی که در حال حرکت هستند ممکن است بیشتر روی پیوندها کلیک کنند و پیوستهایی را که نباید باز کنند. اینها می توانند منجر به:
پیامدهای مالی و اعتباری بسیار زیاد است. در حالی که میانگین هزینه نقض داده بیش از حد است امروز 4.2 میلیون دلار یک رکورد بالا، برخی از نقض های باج افزار هزینه داشته است چند بار که
چه تاکتیک های آموزشی کار می کند؟
اخیر مطالعه جهانی نشان داد که آموزش امنیتی و آگاهی برای کارکنان اولویت اصلی هزینههای سازمانها در سال آینده است. اما پس از تصمیم گیری در مورد این موضوع، چه تاکتیکی بهترین بازگشت سرمایه را فراهم می کند؟ دوره آموزشی و ابزارهایی را در نظر بگیرید که ارائه می دهند:
- پوشش جامع در تمامی کانال های فیشینگ (ایمیل، تلفن، رسانه های اجتماعی و غیره)
- درس های سرگرم کننده ای که از تقویت مثبت به جای پیام های مبتنی بر ترس استفاده می کنند
- تمرینهای شبیهسازی دنیای واقعی که میتوانند توسط کارکنان فناوری اطلاعات بهینهسازی شوند تا کمپینهای فیشینگ در حال تکامل را منعکس کنند.
- جلسات تمرینی مستمر در طول سال در درسهای کوتاه مدت که بیش از 15 دقیقه نباشد
- پوشش برای همه کارکنان از جمله موقت، پیمانکاران و مدیران ارشد. هر کسی که به شبکه دسترسی دارد و یک حساب شرکتی دارد، یک هدف احتمالی فیشینگ است
- تجزیه و تحلیل برای ارائه بازخورد دقیق در مورد افراد که می توان آن را به اشتراک گذاشت و برای بهبود جلسات آینده استفاده کرد
- دروس شخصی شده متناسب با نقش های خاص. به عنوان مثال، اعضای تیم مالی ممکن است در نحوه برخورد با حملات BEC به راهنمایی بیشتری نیاز داشته باشند
- گیمیفیکیشن، کارگاه ها و آزمون ها. اینها می توانند به انگیزه دادن به کاربران برای رقابت با همتایان خود کمک کنند، به جای اینکه احساس کنند توسط کارشناسان فناوری اطلاعات "آموزش" داده می شوند. برخی از محبوب ترین ابزار استفاده می شود تکنیک های گیمیفیکیشن تا آموزش «چسبتر»، کاربرپسندتر و جذابتر شود
- تمرینات فیشینگ DIY. با توجه به انگلستان مرکز ملی امنیت سایبری (NCSC)، برخی از شرکتها، کاربران را وادار میکنند تا ایمیلهای فیشینگ خود را بسازند و «مشاهده بسیار غنیتری از تکنیکهای مورد استفاده» را به آنها ارائه دهند.
گزارش را فراموش نکنید
پیدا کردن برنامه آموزشی که برای سازمان شما کار می کند گامی حیاتی در جهت تبدیل کارکنان به اولین خط دفاعی قوی در برابر حملات فیشینگ است. اما توجه نیز باید بر ایجاد یک فرهنگ باز متمرکز شود که در آن گزارش تلاشهای احتمالی فیشینگ تشویق میشود. سازمانها باید یک فرآیند ساده و واضح برای گزارشدهی ایجاد کنند و به کارکنان اطمینان دهند که هرگونه هشدار بررسی خواهد شد. کاربران باید در این زمینه احساس حمایت کنند، که ممکن است نیاز به خرید از سراسر سازمان داشته باشد - نه فقط فناوری اطلاعات، بلکه همچنین منابع انسانی و مدیران ارشد.
در نهایت، آموزش آگاهی از فیشینگ باید تنها بخشی از یک استراتژی چند لایه برای مقابله با تهدیدات مهندسی اجتماعی باشد. حتی بهترین کارکنان آموزش دیده ممکن است گهگاه توسط کلاهبرداری های پیچیده فریب بخورند. به همین دلیل است که کنترلهای امنیتی نیز ضروری هستند: به احراز هویت چند عاملی، برنامههای پاسخ به حادثه به طور منظم آزمایش شده و فناوریهای ضد جعل مانند DMARC فکر کنید.