אימון למודעות דיוג: עזור לעובדים שלך להימנע מה-PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

הכשרה למודעות דיוג: עזור לעובדים שלך להימנע מהקרס

חותמת זמן: 21 ביוני 2022 5:30

חינוך עובדים לגבי איך לזהות התקפות דיוג יכול להכות מכה נחוצה עבור מגיני הרשת

אבטחה לפי תכנון זה כבר זמן רב לגביע קדוש עבור אנשי אבטחת סייבר. זה רעיון פשוט: ודא שהמוצרים מתוכננים להיות בטוחים ככל האפשר כדי למזער את הסיכויים להתפשרות בהמשך הקו. הרעיון הורחב עוד בשנים האחרונות כדי להצביע על מאמץ להטמיע אבטחה בכל חלק בארגון - החל מצינורות ה-DevOps שלו ועד לנוהלי העבודה היומיומיים של עובדיו. על ידי יצירת תרבות אבטחה ראשונה כמו זו, ארגונים יהיו גם עמידים יותר בפני איומי סייבר וגם מצוידים יותר כדי למזער את השפעתם אם הם אכן יסבלו מהפרה.

בקרות טכנולוגיות הן, כמובן, כלי חשוב שיעזור ליצור סוג זה של תרבות אבטחה מוטבעת עמוק. אבל כך גם אימון למודעות דיוג - אשר ממלא תפקיד חשוב ביותר בהפחתת אחד האיומים הגדולים ביותר על אבטחת החברה כיום וחייב להיות מרכיב עיקרי באופן כללי אימון למודעות לאבטחת סייבר תוכניות.

למה דיוג כל כך יעיל?

על פי דוח איום של ESET T1 2022, איומי אימייל ראו עלייה של 37 אחוז בארבעת החודשים הראשונים של 2022 בהשוואה לארבעת החודשים האחרונים של 2021. מספר כתובות האתרים החסומות של דיוג עלה כמעט באותו קצב, כאשר רמאים רבים מנצלים את העניין הכללי ב- מלחמת רוסיה-אוקראינה.

הונאות דיוג ממשיכות להיות בין הדרכים המוצלחות ביותר לתוקפים להתקין תוכנות זדוניות, לגנוב אישורים ולהערים על משתמשים לבצע העברות כספים ארגוניות. למה? בגלל שילוב של טקטיקות זיוף שעוזרות לרמאים להתחזות לשולחים לגיטימיים, וטכניקות הנדסה חברתית שנועדו לזרז את הנמען לפעול מבלי לחשוב תחילה על ההשלכות של הפעולה הזו.

טקטיקות אלו כוללות:

  • מזהי שולח/דומיינים/מספרי טלפון מזויפים, לפעמים באמצעות קלקול הקלדה או שמות דומיין בינלאומיים (IDNs)
  • חשבונות שולחים שנחטפו, שלעתים קרובות קשה מאוד לזהות אותם כנסיונות דיוג
  • מחקר מקוון (באמצעות מדיה חברתית) כדי להפוך ניסיונות דיוג ממוקדים למשכנעים יותר
  • שימוש בלוגואים רשמיים, כותרות עליונות, כותרות תחתונות
  • יצירת תחושת דחיפות או התרגשות שמאיצה את המשתמש לקבל החלטה
  • קישורים מקוצרים שמסתירים את היעד האמיתי של השולח
  • יצירת פורטלי כניסה ואתרי אינטרנט בעלי מראה לגיטימי

דוגמה למייל דיוג

לדברי האחרונים דוח Verizon DBIR, ארבעה וקטורים היוו את רוב אירועי האבטחה בשנה שעברה: אישורים גנובים, פישינג, ניצול פגיעות ורשתות בוטים. מתוכם, השניים הראשונים סובבים סביב טעות אנוש. רבע (25%) מסך ההפרות שנבדקו בדוח היו תוצאה של התקפות הנדסה חברתית. בשילוב עם טעויות אנוש ושימוש לרעה בזכויות היתר, המרכיב האנושי היווה 82% מכלל ההפרות. זה אמור להפוך את הפיכת החוליה החלשה הזו לשרשרת אבטחה חזקה בראש סדר העדיפויות של כל CISO.

למה דיוג יכול להוביל?

התקפות פישינג הפכו, אם בכלל, לאיום גדול עוד יותר במהלך השנתיים האחרונות. עובדי בית שהוסחו דעתם עם מכשירים שעלולים להיות לא מתוקנים וחסרי הגנה היו מטרות חסרות רחמים על ידי גורמי איומים. באפריל 2020, גוגל טענה לחסום עד 18 מיליון הודעות דוא"ל זדוניות ודיוג בכל יום ברחבי העולם.

מכיוון שרבים מהעובדים הללו חוזרים למשרד, קיים גם סיכון שהם יהיו חשופים ליותר התקפות SMS (סמיסינג) ושיחות קוליות (ווישינג). סביר להניח שמשתמשים בתנועה ילחצו על קישורים ויפתחו קבצים מצורפים שהם לא צריכים לעשות. אלה עלולים להוביל ל:

ההשלכות הכספיות והמוניטין הן עצומות. בעוד שהעלות הממוצעת של פריצת מידע עומדת על גבול 4.2 מיליון דולר היום, שיא, כמה פרצות תוכנות כופר עלו הרבה פעמים את זה.

אילו טקטיקות אימון עובדות?

אחרון מחקר עולמי חשף כי הדרכת אבטחה ומודעות לעובדים היא בראש סדר העדיפויות בהוצאות עבור ארגונים במהלך השנה הקרובה. אבל לאחר שהוחלט על כך, אילו טקטיקות יספקו את ההחזר הטוב ביותר על ההשקעה? שקול קורס הדרכה וכלים המספקים:

  • סיקור מקיף בכל ערוצי הדיוג (אימייל, טלפון, מדיה חברתית וכו')
  • שיעורים משעשעים המשתמשים בחיזוק חיובי ולא במסרים מבוססי פחד
  • תרגילי סימולציה מהעולם האמיתי שניתן לכוונן על ידי צוות IT כדי לשקף קמפיינים דיוגים מתפתחים
  • אימונים רציפים לאורך כל השנה בשיעורים קצרים בגודל ביס של לא יותר מ-15 דקות
  • כיסוי לכל העובדים כולל זמניים, קבלנים ומנהלים בכירים. כל מי שיש לו גישה לרשת וחשבון ארגוני הוא יעד פוטנציאלי להתחזות
  • אנליטיקס כדי לספק משוב מפורט על אנשים שניתן לשתף ולהשתמש בהם כדי לשפר את הפעלות קדימה
  • שיעורים מותאמים אישית לתפקידים ספציפיים. לדוגמה, חברי צוות הכספים עשויים להזדקק להדרכה נוספת כיצד להתמודד עם התקפות BEC
  • Gamification, סדנאות וחידונים. אלה יכולים לעזור להניע משתמשים להתחרות מול עמיתיהם, במקום להרגיש שהם "מתלמדים" על ידי מומחי IT. כמה מהכלים הפופולריים ביותר משתמשים בהם טכניקות gamification להפוך את האימונים ל"דביקים" יותר, ידידותיים ומרתקים יותר
  • תרגילי דיוג בעצמך. לפי זה של בריטניה המרכז הלאומי לאבטחת סייבר (NCSC), חברות מסוימות גורמות למשתמשים לבנות אימייל דיוג משלהם, ומספקות להם "תצוגה הרבה יותר עשירה של הטכניקות בהן נעשה שימוש"

אל תשכח לדווח

מציאת תוכנית ההדרכה שמתאימה לארגון שלך היא צעד חיוני לקראת הפיכת העובדים לקו הגנה ראשון חזק מפני התקפות דיוג. אבל יש להתמקד גם ביצירת תרבות פתוחה שבה מעודדים דיווח על ניסיונות דיוג פוטנציאליים. ארגונים צריכים ליצור תהליך פשוט לשימוש וברור לדיווח ולהרגיע את הצוות שכל ההתראות ייבדקו. המשתמשים חייבים להרגיש נתמכים בכך, מה שעלול לדרוש רכישה מכל הארגון - לא רק IT אלא גם משאבי אנוש ומנהלים בכירים.

בסופו של דבר, אימון למודעות דיוג צריך להיות רק חלק אחד מאסטרטגיה רב-שכבתית להתמודדות עם איומי הנדסה חברתית. אפילו הצוות המאומן ביותר עלול להערים מדי פעם על ידי הונאות מתוחכמות. לכן גם בקרות האבטחה חיוניות: חשבו על אימות רב-גורמי, תוכניות תגובה לאירועים שנבדקו באופן קבוע וטכנולוגיות נגד זיוף כמו DMARC.

בול זמן:

עוד מ אנחנו חיים אבטחה