Slutt å skylde på sluttbrukeren for sikkerhetsrisiko

Det er vanlig blant fagfolk innen cybersikkerhet å peke på sluttbrukeren som et hovedrisikoområde for å sikre organisasjonen. Dette er forståelig. Systemer og programvare er under vår kontroll, men brukere er uforutsigbare, den uregjerlige variabelen som utvider trusseloverflaten vår til hver enkelt geografisk spredt bruker, personlig enhet og altfor menneskelige svakheter og feil.

Visst, trusselaktører retter seg mot brukerne våre ganske vellykket - jeg er ikke her for å avvise denne åpenbare sannheten. Men det som er like sikkert er dette: WJeg kan ikke trene oss ut av dette problemet. Bedrifter investerer betydelig i opplæring i brukersikkerhetsbevissthet, og fortsatt lider de av pinlige, kostbare brudd. Så å fokusere først og fremst på å sikre sluttbrukeren er ikke en god strategi.

Sikre systemer med ny strategi i tankene

Fakta: brukerne dine er en stor risikofaktor. I følge Verizons "2022 Data Breach and Investigations Report,” 35 % av løsepengevareinfeksjonene begynte med en phishing-e-post. Fakta: Dette til tross for eskalerende investeringer i sikkerhetsopplæring gjennom mange år. Markedet for opplæring for cybersikkerhetsbevissthet er anslått å vokse fra $1,854.9 2022 millioner i 12,140 til $2027 XNUMX millioner innen XNUMX. Fakta: Selv med alle disse investeringene, løsepengevare (akkurat som én angrepstype) forventes også å vokse aggressivt, til tross for mange organisatoriske anstrengelser, inkludert opplæring.

Trist, uunngåelig faktum: Brukerne våre kommer fortsatt til å gjøre feil – vi er tross alt alle mennesker. En undersøkelse gjennomført å bevise behovet for mer sikkerhetsopplæring, etter mitt syn, beviste det manglende evne til å stoppe cyberkrisen: Fire av fem spurte hadde fått opplæring i sikkerhetsbevissthet; mellom 26 % og 44 % (basert på aldersdemografi) fortsatte uansett å klikke på lenker og vedlegg fra ukjente avsendere.

Ikke bare regn med å sikre brukeren

Vi bør konkludere med at organisasjonssikkerhet ikke må stole tungt på å sikre brukeren, at de vil bli kompromittert, og deretter begynne å sikre systemer med denne forutsetningen i tankene. Selv om en sluttbruker blir brutt, bør mengden systemisk skade som er gjort av det kompromisset ikke være stor hvis riktige sikkerhetstiltak er iverksatt og orkestrert riktig.

Bør vi lære opp sluttbrukerne våre? Absolutt, ettertrykkelig, ja. Sterk sikkerhet krever en lagdelt tilnærming, og det betyr å styrke sikkerheten din ved å sikre alle døråpninger til systemene dine. Men vi må begynne å fjerne sluttbrukerrisiko fra ligningen. Dette krever noen vanskelige valg og betydelig lederskaps innkjøp til disse valgene.

Hvordan kan vi avvæpne brukere som en topprisiko?

Organisasjoner må bedre blokkere tilgang og organisere sikkerhetskontroller. Systemene er for åpne som standard; vi må gjøre dem lukket som standard, vurdere hver for risiko, og deretter åpne tilgang ved unntak og med full intensjonalitet. Brukere kan ikke klikke eller åpne det de ikke får tilgang til, og i organisasjonene vi vurderer eller utbedrer etter brudd ser vi ansatte og systemer som har langt større tilgang enn nødvendig i løpet av arbeidet. Bedrifter bør legge på sterkere sikkerhetsorkestrering på tvers av sine ansatte, prosesser og teknologi, slik at hvis en trusselaktør uansett får tilgang gjennom et feil klikk, er det kontroller designet for å stoppe deres sideveis bevegelse og innhenting/eskalering av legitimasjon.

Organisasjoner kan ta proaktive tiltak for å redusere brukerrisiko, inkludert: blokkering av tilgang til personlige e-postkontoer; filtrering av HTTPS-trafikk med dyppakkeinspeksjon; blokkering av Internett-tilgang til ikke-brukerundernett/VLAN som standard; krever at all brukertrafikk inspiseres og filtreres hele tiden - uansett endepunkt; ikke tillate alle unntatt IT-godkjente fildelingssystemer og passordhvelv; og aktiverer sikkerhetsfunksjoner i verktøy som brannmurer og endepunktdeteksjon og -respons (EDR).

Hvorfor er ikke dette gjort allerede? Barrierene

Blokkering av tilgang til personlige nettsteder og plattformer og langsommere systemtilgang som følge av filtrering/inspeksjon kan forårsake en viss grad av bruker- og ledermisnøye. Noen av verktøyene som trengs er også kostbare.

IT trenger en sterkere stemme som uttrykker problemer, løsninger, risikoer og resultater av feil i termer som ledere både kan høre og forstå, slik at riktig kontroll og tilhørende kostnader kan fordeles. Brukere kan deretter bli utdannet ovenfra og ned om hvorfor disse kontrollene er nødvendige; dermed kan opplæring i sikkerhetsbevissthet skifte fra "ikke klikk og her er hvorfor" til å inkludere "Vi blokkerer de fleste ting som standard, og her er hvorfor." Ledere som fortsatt velger å ikke foreta mer aggressive investeringer har hud i spillet på nivået av risiko de velger å akseptere for organisasjonen.

Ofte mangler IT-team også ansatte eller ekspertise: de kan ikke redusere risikoer de ikke kan se; utdanne om trusler de ikke kjenner; eller aktivere verktøy som de er utrente på. Team uten denne synligheten bør vurdere grundige vurderinger av kontroller, konfigurasjoner og orkestrering fra kvalifiserte eksperter.

En ting er sikkert: Uansett hvor mye opplæring vi gir, vil brukerne alltid være feilbare. Det er viktig å minimere brukernes muligheter for å klikke i utgangspunktet, og deretter sørge for at når de gjør det, det er kontroller på plass å forstyrre progresjonen av angrepet.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://www.darkreading.com/risk/stop-blaming-the-end-user-for-security-risk