הגיע הזמן לשנות את הגישה הפגומה שלנו למודעות לאבטחה PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

הגיע הזמן לשנות את הגישה הפגומה שלנו למודעות לאבטחה

חותמת זמן: 28 בספטמבר 2022 10:00

הגישה שלנו למודעות אבטחה לוקה בחסר. ואנחנו חייבים לשנות את זה.

כשהטנקים הרוסים חרקו לאוקראינה, התחילו מנכ"לים ומנהלי IT ברחבי ארצות הברית וחלק גדול מהעולם החופשי שליחת מיילים המזהירים את העובדים שלהם על התקפות דיוג חניתות.

זה היה הגיוני: דיוג בחנית היה מה שהרוסים השתמשו על אוקראינים פעמים רבות בחצי העשור האחרון, למשל כאשר הם לסגור את רשת החשמל במדינה באחד מלילות החורף הקרים ביותר שלה. זה היה גם מה שהרוסים השתמשו נגד הוועדה הלאומית הדמוקרטית ומטרות ברחבי ארה"ב.

בקצה האחד, הודעות האימייל מהמנכ"לים היו מרעננות. אנשים היו רציניים לגבי האיום של דיוג, מה שלא היה המקרה ב-2014 כשהתחלתי להזהיר על הסכנות שלו ב-CNN.

בקצה השני, זה היה מפוכח. לא היה הרבה אחר שארגונים חשבו לעשות.

שליחת הודעות כדי להזהיר אנשים זה מה מנכ"ל AOL פנה אליו בשנת 1997, כאשר ספייר-phishing הופיע לראשונה וקיבל את שמו. האקרים מתחילים של אותה תקופה התחזו למנהלי AOL ודיגו מידע אישי של מנויים. זה היה לפני כמעט שלושה עשורים, תקופות חיים רבות בשנות אינטרנט.

בינתיים, ארגונים הוציאו מיליארדים על טכנולוגיות אבטחה ואינספור שעות בהדרכות אבטחה. להקשר, לפני עשור, בנק אוף אמריקה (BoA) הוציא 400 מיליון דולר על אבטחת סייבר. זה עכשיו מוציא מיליארד דולר בשנה על זה. עם זאת, אלפי חשבונות הלקוחות שלה בקליפורניה נפרצו בשנה שעברה.

ו-BoA לא לבד. השנה, מיקרוסופט, Nvidia, Samsung, LG ו-T-Mobile - אשר לאחרונה שילם הסדר של 350 מיליון דולר ללקוחות בגלל הפרה בשנת 2021 - נפרצו. כולם נפלו קורבן להתקפות דיוג בחנית. אין ספק שהעובדים בחברות הללו מנוסים ומאומנים היטב באיתור התקפות כאלה.

גישה פגומה

ברור שמשהו פגום מיסודו בגישה שלנו, כאשר לוקחים בחשבון שאחרי כל זה, פשרות מבוססות דוא"ל גדלו ב-35% בשנת 2021, וכן עסקים אמריקאים הפסידו מעל 2.4 מיליארד דולר בשל כך.

חלק גדול מהבעיה הוא הזרם פרדיגמה של הדרכת משתמשים. זה בעיקר סובב סביב צורה כלשהי של הוראה בנושא בטיחות סייבר, בדרך כלל בעקבות בדיקת דוא"ל מדומה של פישינג. הבדיקות נשלחות מעת לעת, ומעקב אחר כשלי משתמשים - משמשים כאינדיקטור לפגיעות המשתמש ומהווים את עמוד השדרה של חישובי סיכוני סייבר המשמשים מבטחים וקובעי מדיניות.

קיימת תמיכה מדעית מוגבלת לצורת הכשרה זו. הרוב מצביעים על ערך לטווח קצר, כשההשפעות שלו מתפוגגות תוך שעות, על פי מחקר משנת 2013. מזה התעלמו מאז תחילתה של המודעות כפתרון.

יש עוד בעיה. מודעות לאבטחה אינה פתרון; זה מוצר עם מערכת אקולוגית של ספקים עם כיסים עמוקים שדוחפים אליו. יש חקיקה ומדיניות פדרלית המחייבות את זה, חלקן נובעות מלובינג של ארגוני הכשרה, מה שמחייב כל ארגון ליישם את זה ולמשתמשים לסבול את זה.

לבסוף, אין תוקף מדידת מודעות לאבטחה. מי צריך את זה? איזה סוג? וכמה זה מספיק? אין תשובות לשאלות הללו.

במקום זאת, ההתמקדות היא האם משתמשים נכשלים במבחן דיוג ללא אבחנה של הסיבה - הסיבה מאחורי הכשלים. בגלל זה, התקפות דיוג נמשכות, ולארגונים אין מושג למה. וזו הסיבה שההגנה הטובה ביותר שלנו הייתה לשלוח אזהרות דוא"ל למשתמשים.

הגן עם יסודות

הדרך היחידה להתגונן מפני פישינג היא להתחיל מהיסודות. התחל עם שאלת המפתח: מה הופך משתמשים לפגיעים להתחזות?

מדע האבטחה כבר מספק את התשובות. זה זיהה ספציפי גורמים ברמת התודעה או קוגניטיבית והרגלי התנהגות הגורמים לפגיעות משתמשים. גורמים קוגניטיביים כוללים אמונות בסיכון סייבר - רעיונות שאנו מחזיקים במוחנו לגבי סיכון מקוון, כגון כמה בטוח זה עשוי להיות לפתוח מסמך PDF לעומת מסמך Word, או כיצד מערכת הפעלה מסוימת לנייד עשויה להציע הגנה טובה יותר לפתיחת הודעות דוא"ל. אמונות רבות כאלה, חלקן פגומות ואחרות מדויקות, קובעות כמה תשומת לב נפשית אנו מקדישים לפרטים באינטרנט.

רבים מאיתנו גם רוכשים הרגלי תקשורת, מפתיחת כל הודעה נכנסת ועד לטקסים כמו בדיקת מיילים ופידים ברגע שאנחנו מתעוררים. חלק מאלה הם מותנה באפליקציות; אחרים לפי מדיניות IT ארגונית. הם מובילים לתגובות חסרות דעת למיילים שמגבירות את פגיעות הדיוג.

יש גורם נוסף, שהתעלם ממנו במידה רבה: חשד. זה אי-הנוחות כאשר נתקלים במשהו; התחושה שמשהו כבוי. זה כמעט תמיד מוביל לחיפוש מידע, וחמוש בסוגי הידע או הניסיון הנכונים, מוביל להטעיה-זיהוי ותיקון.

זה קרה לראש ה-FBI לשעבר. רוברט מולר, לאחר שהזין את פרטי הבנק שלו בתגובה לבקשת דואר אלקטרוני, עצר לפני שהקיש על שלח. משהו נראה לא תקין. בחזרה הרגעית להיגיון שנגרמה מחשד, הוא הבין הוא התחזה, ושינה את הסיסמאות הבנקאיות שלו.

על ידי מדידת חשדנות יחד עם הגורמים הקוגניטיביים וההתנהגותיים המובילים לפגיעות דיוג, ארגונים יכולים לאבחן מה הופך את המשתמשים לפגיעים. ניתן לכמת מידע זה ולהמיר אותו למדד סיכון, שבאמצעותו הם יכולים לזהות את מי שנמצאים בסיכון הגבוה ביותר, החוליות החלשות ביותר, ולהגן עליהם טוב יותר.

פעולה זו תעזור לנו להגן על המשתמשים בהתבסס על אבחנה של מה שהם צריכים, במקום גישת הדרכה שנמכרת כפתרון - פרדיגמה שאנו יודעים שאינה עובדת.

לאחר הוצאת מיליארדים, הגישה הטובה ביותר שלנו נשארת לשלוח אזהרות באימייל לגבי התקפות נכנסות. אין ספק, אנחנו יכולים לעשות יותר טוב. על ידי יישום מדע הביטחון, אנו יכולים. ואנחנו חייבים - כי דיוג בחנית מהווה סכנה ברורה ונוכחת לאינטרנט.

בול זמן:

עוד מ קריאה אפלה