Il est courant chez les professionnels de la cybersécurité de désigner l'utilisateur final comme le principal domaine de risque dans la sécurisation de l'organisation. C'est compréhensible. Les systèmes et les logiciels sont sous notre contrôle, mais les utilisateurs sont imprévisibles, cette variable indisciplinée qui étend notre surface de menace à chaque utilisateur géographiquement dispersé, appareil personnel et faiblesses et défauts trop humains.
Certes, les acteurs de la menace ciblent nos utilisateurs avec succès - je ne suis pas ici pour écarter cette vérité évidente. Mais ce qui est tout aussi certain, c'est ceci : WNous ne pouvons pas nous entraîner à sortir de ce problème. Les entreprises investissent considérablement dans la formation des utilisateurs à la sensibilisation à la sécurité, et pourtant, elles subissent des violations embarrassantes et coûteuses. Ainsi, se concentrer principalement sur la sécurisation de l'utilisateur final n'est pas une bonne stratégie.
Systèmes sécurisés avec une nouvelle stratégie en tête
Fait : vos utilisateurs sont un facteur de risque majeur. Selon Rapport d'enquête et de violation de données 2022 de Verizon», 35 % des infections par ransomware ont commencé par un e-mail de phishing. Réalité : Ceci malgré l'augmentation des investissements dans la formation de sensibilisation à la sécurité depuis de nombreuses années. Le marché des formations de sensibilisation à la cybersécurité devrait croître de 1,854.9 2022 millions de dollars en 12,140 à 2027 XNUMX millions de dollars d'ici XNUMX. Réalité : Même avec tous ces investissements, les rançongiciels (tout comme un type d'attaque) devrait également croître agressivement, malgré de nombreux efforts d'organisation, notamment de formation.
Fait triste et inévitable : nos utilisateurs vont encore faire des erreurs - nous sommes tous humains, après tout. Une enquête menée prouver le besoin de plus de formation en matière de sécurité, à mon avis, a prouvé son incapacité à enrayer la cyber crise: Quatre personnes interrogées sur cinq avaient reçu une formation de sensibilisation à la sécurité ; entre 26 % et 44 % (en fonction de l'âge démographique) ont continué à cliquer sur des liens et des pièces jointes d'expéditeurs inconnus.
Ne comptez pas seulement sur la sécurisation de l'utilisateur
Nous devons conclure que la sécurité organisationnelle ne doit pas dépendre fortement de la sécurisation de l'utilisateur, qu'il sera compromis, puis commencer à sécuriser les systèmes en gardant cette hypothèse à l'esprit. Ainsi, même si un utilisateur final est victime d'une violation, la quantité de dommages systémiques causés par cette compromission ne devrait pas être importante si des mesures de sécurité appropriées sont utilisées et orchestrées correctement.
Devrions-nous former nos utilisateurs finaux ? Absolument, catégoriquement, oui. Une sécurité renforcée nécessite une approche en couches, et cela signifie renforcer votre sécurité en sécurisant toutes les portes de vos systèmes. Mais nous devons commencer à éliminer le risque pour l'utilisateur final de l'équation. Cela nécessite des choix difficiles et une adhésion importante des dirigeants à ces choix.
Comment pouvons-nous désarmer les utilisateurs en tant que risque majeur ?
Les organisations doivent mieux bloquer l'accès et orchestrer les contrôles de sécurité. Les systèmes sont trop ouverts par défaut ; nous devons les rendre fermés par défaut, évaluer chacun pour le risque, puis ouvrir l'accès par exception et avec une pleine intentionnalité. Les utilisateurs ne peuvent pas cliquer ou ouvrir ce qu'ils ne peuvent pas accéder, et dans les organisations que nous évaluons ou corrigeons après une violation, nous constatons que les employés et les systèmes ont un accès bien plus large que nécessaire dans le cadre de leur travail. Les entreprises doivent renforcer l'orchestration de la sécurité de leurs employés, de leurs processus et de leur technologie afin que, si un acteur de la menace accède de toute façon par un clic inapproprié, il existe des contrôles conçus pour arrêter leur mouvement latéral et la collecte/l'escalade des informations d'identification.
Les organisations peuvent prendre des mesures proactives pour réduire les risques pour les utilisateurs, notamment : bloquer l'accès aux comptes de messagerie personnels ; filtrage du trafic HTTPS avec inspection approfondie des paquets ; blocage de l'accès Internet aux sous-réseaux/VLAN non utilisateurs par défaut ; exigeant que tout le trafic des utilisateurs soit inspecté et filtré tout le temps - quel que soit le point final ; interdire tous les systèmes de partage de fichiers et les coffres-forts de mots de passe approuvés par le service informatique ; et l'activation des fonctionnalités de sécurité dans des outils tels que les pare-feux et la détection et la réponse aux terminaux (EDR).
Pourquoi n'est-ce pas déjà fait ? Les barrières
Le blocage de l'accès aux sites et plates-formes personnels et le ralentissement de l'accès aux systèmes dû au filtrage/à l'inspection peuvent provoquer un certain mécontentement des utilisateurs et des dirigeants. Certains des outils nécessaires sont également coûteux.
L'informatique a besoin d'une voix plus forte, exprimant les problèmes, les solutions, les risques et les résultats des échecs dans des termes que les dirigeants peuvent à la fois entendre et comprendre, afin que les contrôles appropriés et les coûts associés puissent être alloués. Les utilisateurs peuvent alors être informés de haut en bas des raisons pour lesquelles ces contrôles sont nécessaires ; ainsi, l'éducation à la sécurité peut passer de "ne cliquez pas et voici pourquoi" à "nous bloquons la plupart des choses par défaut, et voici pourquoi". Les dirigeants qui choisissent toujours de ne pas faire d'investissements plus agressifs ont la peau dans le jeu quant au niveau de risque qu'ils choisissent d'accepter pour l'organisation.
Souvent, les équipes informatiques manquent également de personnel ou d'expertise : elles ne peuvent pas atténuer les risques qu'elles ne voient pas ; éduquer sur les menaces qu'ils ne connaissent pas ; ou activer des outils sur lesquels ils ne sont pas formés. Les équipes sans cette visibilité doivent envisager des évaluations approfondies des contrôles, des configurations et de l'orchestration par des experts qualifiés.
Une chose est certaine : quelle que soit la quantité de formation que nous dispensons, les utilisateurs seront toujours faillibles. Il est essentiel de minimiser les options des utilisateurs pour cliquer en premier lieu, puis de s'assurer que, lorsqu'ils le font, il y a des contrôles en place pour perturber la progression de l'attaque.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/risk/stop-blaming-the-end-user-for-security-risk
- :est
- 2022
- 26%
- 35%
- 7
- 9
- a
- absolument
- Accepter
- accès
- Selon
- hybrides
- à travers
- acteurs
- Après
- agressif
- Tous
- consacrée
- déjà
- toujours
- parmi
- montant
- et les
- SONT
- Réservé
- AS
- évaluations
- associé
- hypothèse
- attaquer
- basé
- BE
- a commencé
- commencer
- va
- Améliorée
- jusqu'à XNUMX fois
- Blâmer
- Block
- blocage
- violation
- infractions
- by
- CAN
- ne peut pas
- Causes
- certaines
- choix
- Selectionnez
- choose
- cliquez
- fonds à capital fermé
- Commun
- Sociétés
- compromis
- Compromise
- conclut
- Considérer
- a continué
- des bactéries
- contrôles
- Costs
- Cours
- Lettres de créance
- cyber
- Cybersécurité
- données
- violation de données
- Réglage par défaut
- Degré
- démographique
- un
- Malgré
- Détection
- dispositif
- difficile
- Fermer
- Dispersé
- Perturber
- down
- chacun
- éduquer
- Éducation
- efforts
- employés
- permettre
- permettant
- Endpoint
- assurer
- également
- essential
- évaluer
- Pourtant, la
- Chaque
- exception
- se développe
- attendu
- nous a permis de concevoir
- de santé
- Échec
- Fonctionnalités:
- filtration
- pare-feu
- Prénom
- défauts
- mettant l'accent
- Pour
- De
- plein
- Gain
- jeu
- aller
- plus grand
- Croître
- Vous avez
- ayant
- entendre
- fortement
- ici
- Comment
- HTTPS
- humain
- i
- in
- en profondeur
- comprendre
- Y compris
- infections
- Internet
- accès Internet
- Enquêtes
- Investissements
- IT
- SES
- Savoir
- gros
- couche
- couches
- leader
- dirigeants
- Leadership
- Niveau
- Gauche
- majeur
- a prendre une
- de nombreuses
- Marché
- Matière
- veux dire
- les mesures
- million
- l'esprit
- erreurs
- Réduire les
- PLUS
- (en fait, presque toutes)
- mouvement
- nécessaire
- Besoin
- Besoins
- Nouveauté
- évident
- of
- on
- ONE
- ouvert
- Options
- orchestrée
- orchestration
- organisation
- organisationnel
- organisations
- Mot de Passe
- Personnes
- personnel
- phishing
- Place
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- qui se déroulent
- Cybersécurité
- Problème
- d'ouvrabilité
- processus
- ,une équipe de professionnels qualifiés
- progression
- projetée
- correct
- Prouver
- prouvé
- fournir
- qualifié
- ransomware
- RE
- reçu
- réduire
- enlever
- a besoin
- réponse
- Résultats
- Analyse
- Facteur de risque
- risques
- s
- sécurisation
- sécurité
- Sensibilisation à la sécurité
- décalage
- Shorts
- devrait
- significative
- Sites
- Peau
- So
- Logiciels
- Solutions
- quelques
- Son
- L'équipe
- Commencer
- Encore
- Arrêter
- de Marketing
- plus efficacement
- Avec succès
- tel
- Surface
- Sondage
- interrogées
- systémique
- Système
- Prenez
- Target
- équipes
- Technologie
- conditions
- qui
- La
- leur
- Les
- Ces
- chose
- des choses
- menace
- acteurs de la menace
- des menaces
- Avec
- fiable
- à
- trop
- les outils
- top
- circulation
- Train
- Formation
- Vérité
- sous
- comprendre
- compréhensible
- imprévisible
- Utilisateur
- utilisateurs
- coffres
- Verizon
- Voir
- définition
- Voix
- Façon..
- Quoi
- Qu’est ce qu'
- qui
- sera
- comprenant
- sans
- activités principales
- années
- Votre
- zéphyrnet
