หยุดโทษผู้ใช้ปลายทางสำหรับความเสี่ยงด้านความปลอดภัย

เป็นเรื่องปกติในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่จะชี้ว่าผู้ใช้ปลายทางคือกลุ่มเสี่ยงอันดับต้น ๆ ในการรักษาความปลอดภัยขององค์กร นี่เป็นสิ่งที่เข้าใจได้ ระบบและซอฟต์แวร์อยู่ภายใต้การควบคุมของเรา แต่ผู้ใช้ไม่สามารถคาดเดาได้ ซึ่งเป็นตัวแปรที่คาดเดาไม่ได้ซึ่งขยายพื้นผิวภัยคุกคามของเราไปยังผู้ใช้แต่ละรายที่กระจายตัวตามพื้นที่ อุปกรณ์ส่วนตัว และจุดอ่อนและข้อบกพร่องทั้งหมดของมนุษย์

แน่นอนว่าผู้ก่อภัยคุกคามกำหนดเป้าหมายผู้ใช้ของเราค่อนข้างประสบความสำเร็จ — ฉันไม่ได้มาที่นี่เพื่อเพิกเฉยต่อความจริงที่ชัดเจนนี้ แต่ที่แน่นอนไม่แพ้กันคือ Wเราไม่สามารถฝึกหาทางออกจากปัญหานี้ได้ องค์กรต่างๆ ลงทุนจำนวนมากในการฝึกอบรมความตระหนักด้านความปลอดภัยของผู้ใช้ แต่ถึงกระนั้น พวกเขาก็ประสบกับการละเมิดที่น่าอับอายและมีค่าใช้จ่ายสูง ดังนั้น การมุ่งเน้นที่การรักษาความปลอดภัยของผู้ใช้ปลายทางเป็นหลักจึงไม่ใช่กลยุทธ์ที่ดี

รักษาความปลอดภัยของระบบด้วยกลยุทธ์ใหม่ในใจ

ข้อเท็จจริง: ผู้ใช้ของคุณเป็นปัจจัยเสี่ยงที่สำคัญ ตาม “รายงานการละเมิดข้อมูลและการสืบสวนประจำปี 2022 ของ Verizon35% ของการติดแรนซัมแวร์เริ่มต้นจากอีเมลฟิชชิง ข้อเท็จจริง: แม้จะมีการเพิ่มการลงทุนในการฝึกอบรมความตระหนักด้านความปลอดภัยในช่วงหลายปี ตลาดการฝึกอบรมการรับรู้ความปลอดภัยในโลกไซเบอร์ คาดว่าจะเติบโต จาก 1,854.9 ล้านดอลลาร์ในปี 2022 เป็น 12,140 ล้านดอลลาร์ในปี 2027 ข้อเท็จจริง: แม้ว่าจะมีการลงทุนทั้งหมดเหล่านี้ แรนซัมแวร์ (เช่นเดียวกับประเภทการโจมตีประเภทหนึ่ง) คาดว่าจะเติบโตในเชิงรุกเช่นกันแม้จะมีความพยายามขององค์กรมากมาย รวมถึงการฝึกอบรม

ความจริงที่น่าเศร้าและหลีกเลี่ยงไม่ได้: ผู้ใช้ของเรายังคงทำผิดพลาดอยู่ ท้ายที่สุดแล้วเราทุกคนก็เป็นมนุษย์ มีการสำรวจ เพื่อพิสูจน์ความจำเป็นในการฝึกอบรมด้านความปลอดภัยเพิ่มเติม ในมุมมองของฉัน ได้รับการพิสูจน์แล้ว ไม่สามารถหยุดวิกฤตไซเบอร์ได้: สี่ในห้าของผู้ตอบแบบสำรวจได้รับการฝึกอบรมเรื่องความปลอดภัย ระหว่าง 26% ถึง 44% (ตามกลุ่มอายุ) ยังคงคลิกลิงก์และไฟล์แนบจากผู้ส่งที่ไม่รู้จักอยู่ดี

อย่าเพิ่งวางใจในการรักษาความปลอดภัยของผู้ใช้

เราควรสรุปได้ว่าการรักษาความปลอดภัยขององค์กรต้องไม่พึ่งพาการรักษาความปลอดภัยของผู้ใช้มากนัก ซึ่งผู้ใช้จะถูกบุกรุก จากนั้นจึงเริ่มการรักษาความปลอดภัยระบบโดยคำนึงถึงสมมติฐานนี้ ดังนั้น แม้ว่าผู้ใช้จะถูกละเมิด จำนวนความเสียหายของระบบที่เกิดขึ้นจากการประนีประนอมนั้นไม่ควรมาก หากมีการใช้มาตรการรักษาความปลอดภัยที่เหมาะสมและจัดการอย่างถูกต้อง

เราควรฝึกอบรมผู้ใช้ปลายทางของเราหรือไม่? แน่นอน ชัดถ้อยชัดคำ ใช่ การรักษาความปลอดภัยที่แข็งแกร่งต้องใช้วิธีการหลายชั้นและนั่นหมายถึงการรักษาความปลอดภัยของคุณด้วยการรักษาความปลอดภัยทุกประตูสู่ระบบของคุณ แต่เราต้องเริ่มกำจัดความเสี่ยงของผู้ใช้ปลายทางออกจากสมการ สิ่งนี้ต้องการตัวเลือกที่ยากและการยอมรับจากผู้นำที่สำคัญสำหรับตัวเลือกเหล่านี้

เราจะปลดอาวุธผู้ใช้ที่เป็นความเสี่ยงสูงสุดได้อย่างไร

องค์กรต้องปิดกั้นการเข้าถึงและควบคุมความปลอดภัยให้ดียิ่งขึ้น. ระบบเปิดเกินไปตามค่าเริ่มต้น เราต้องปิดโดยค่าเริ่มต้น ประเมินความเสี่ยงแต่ละรายการ จากนั้นเปิดการเข้าถึงโดยข้อยกเว้นและด้วยความตั้งใจอย่างเต็มที่ ผู้ใช้ไม่สามารถคลิกหรือเปิดสิ่งที่พวกเขาไม่สามารถเข้าถึงได้ และในองค์กรที่เราประเมินหรือแก้ไขหลังการละเมิด เราพบว่าพนักงานและระบบมีการเข้าถึงที่มากเกินความจำเป็นในการปฏิบัติงาน บริษัทต่างๆ ควรวางแนวทางการรักษาความปลอดภัยที่รัดกุมยิ่งขึ้นทั่วทั้งบุคลากร กระบวนการ และเทคโนโลยี เพื่อที่ว่าหากผู้คุกคามเข้าถึงผ่านการคลิกที่ไม่เหมาะสม ก็ยังมีการควบคุมที่ออกแบบมาเพื่อหยุดการเคลื่อนไหวด้านข้างและการเก็บเกี่ยว/การเพิ่มข้อมูลรับรอง

องค์กรสามารถใช้มาตรการเชิงรุกเพื่อลดความเสี่ยงของผู้ใช้ รวมถึงการบล็อกการเข้าถึงบัญชีอีเมลส่วนตัว กรองทราฟฟิก HTTPS ด้วยการตรวจสอบแพ็กเก็ตเชิงลึก บล็อกการเข้าถึงอินเทอร์เน็ตไปยังซับเน็ต/VLAN ที่ไม่ใช่ผู้ใช้ตามค่าเริ่มต้น กำหนดให้มีการตรวจสอบและกรองการรับส่งข้อมูลของผู้ใช้ทั้งหมด ตลอดเวลา — ไม่ว่าจุดสิ้นสุดจะเป็นเช่นไร ไม่อนุญาตระบบแบ่งปันไฟล์และห้องเก็บรหัสผ่านที่ได้รับการรับรองจาก IT ทั้งหมด และการเปิดใช้งานคุณลักษณะด้านความปลอดภัยในเครื่องมือต่างๆ เช่น ไฟร์วอลล์ และการตรวจจับและตอบสนองปลายทาง (EDR)

ทำไมสิ่งนี้ถึงยังไม่เสร็จสิ้น? อุปสรรค

การบล็อกการเข้าถึงไซต์และแพลตฟอร์มส่วนบุคคลและการเข้าถึงระบบที่ช้าลงซึ่งเกิดจากการกรอง/ตรวจสอบอาจทำให้ผู้ใช้และผู้นำไม่พอใจในระดับหนึ่ง เครื่องมือบางอย่างที่จำเป็นก็มีราคาแพงเช่นกัน

ฝ่ายไอทีต้องการเสียงที่ชัดเจนกว่า โดยแสดงปัญหา วิธีแก้ไข ความเสี่ยง และผลลัพธ์ของความล้มเหลวในแง่ที่ผู้นำสามารถได้ยินและเข้าใจ เพื่อให้สามารถจัดสรรการควบคุมและค่าใช้จ่ายที่เกี่ยวข้องได้อย่างเหมาะสม จากนั้นผู้ใช้จะได้รับความรู้จากระดับบนลงล่างว่าเหตุใดการควบคุมเหล่านี้จึงจำเป็น ดังนั้น การศึกษาเกี่ยวกับความตระหนักด้านความปลอดภัยสามารถเปลี่ยนจาก "อย่าคลิกและนี่คือเหตุผล" เป็น "เราบล็อกสิ่งต่างๆ เกือบทั้งหมดตามค่าเริ่มต้น และนี่คือเหตุผล" ผู้นำที่ยังคงเลือกที่จะไม่ทำการลงทุนเชิงรุกมากกว่านี้จะมีระดับความเสี่ยงที่พวกเขาเลือกที่จะยอมรับสำหรับองค์กร

บ่อยครั้งที่ทีมไอทีขาดบุคลากรหรือความเชี่ยวชาญ พวกเขาไม่สามารถลดความเสี่ยงที่พวกเขามองไม่เห็นได้ ให้ความรู้เกี่ยวกับภัยคุกคามที่พวกเขาไม่รู้ หรือเปิดใช้งานเครื่องมือที่ไม่ได้รับการฝึกฝน ทีมที่ไม่มีทัศนวิสัยนี้ควรพิจารณาการประเมินเชิงลึกของการควบคุม การกำหนดค่า และการประสานจากผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสม

สิ่งหนึ่งที่แน่นอนคือ ไม่ว่าเราจะให้การฝึกอบรมมากเพียงใด ผู้ใช้ก็จะผิดพลาดได้เสมอ สิ่งสำคัญคือต้องลดตัวเลือกของผู้ใช้ในการคลิกให้เหลือน้อยที่สุด จากนั้นตรวจสอบให้แน่ใจว่าเมื่อทำเช่นนั้น มีการควบคุมในสถานที่ เพื่อขัดขวางความก้าวหน้าของการโจมตี

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/risk/stop-blaming-the-end-user-for-security-risk