เป็นเรื่องปกติในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่จะชี้ว่าผู้ใช้ปลายทางคือกลุ่มเสี่ยงอันดับต้น ๆ ในการรักษาความปลอดภัยขององค์กร นี่เป็นสิ่งที่เข้าใจได้ ระบบและซอฟต์แวร์อยู่ภายใต้การควบคุมของเรา แต่ผู้ใช้ไม่สามารถคาดเดาได้ ซึ่งเป็นตัวแปรที่คาดเดาไม่ได้ซึ่งขยายพื้นผิวภัยคุกคามของเราไปยังผู้ใช้แต่ละรายที่กระจายตัวตามพื้นที่ อุปกรณ์ส่วนตัว และจุดอ่อนและข้อบกพร่องทั้งหมดของมนุษย์
แน่นอนว่าผู้ก่อภัยคุกคามกำหนดเป้าหมายผู้ใช้ของเราค่อนข้างประสบความสำเร็จ — ฉันไม่ได้มาที่นี่เพื่อเพิกเฉยต่อความจริงที่ชัดเจนนี้ แต่ที่แน่นอนไม่แพ้กันคือ Wเราไม่สามารถฝึกหาทางออกจากปัญหานี้ได้ องค์กรต่างๆ ลงทุนจำนวนมากในการฝึกอบรมความตระหนักด้านความปลอดภัยของผู้ใช้ แต่ถึงกระนั้น พวกเขาก็ประสบกับการละเมิดที่น่าอับอายและมีค่าใช้จ่ายสูง ดังนั้น การมุ่งเน้นที่การรักษาความปลอดภัยของผู้ใช้ปลายทางเป็นหลักจึงไม่ใช่กลยุทธ์ที่ดี
รักษาความปลอดภัยของระบบด้วยกลยุทธ์ใหม่ในใจ
ข้อเท็จจริง: ผู้ใช้ของคุณเป็นปัจจัยเสี่ยงที่สำคัญ ตาม “รายงานการละเมิดข้อมูลและการสืบสวนประจำปี 2022 ของ Verizon35% ของการติดแรนซัมแวร์เริ่มต้นจากอีเมลฟิชชิง ข้อเท็จจริง: แม้จะมีการเพิ่มการลงทุนในการฝึกอบรมความตระหนักด้านความปลอดภัยในช่วงหลายปี ตลาดการฝึกอบรมการรับรู้ความปลอดภัยในโลกไซเบอร์ คาดว่าจะเติบโต จาก 1,854.9 ล้านดอลลาร์ในปี 2022 เป็น 12,140 ล้านดอลลาร์ในปี 2027 ข้อเท็จจริง: แม้ว่าจะมีการลงทุนทั้งหมดเหล่านี้ แรนซัมแวร์ (เช่นเดียวกับประเภทการโจมตีประเภทหนึ่ง) คาดว่าจะเติบโตในเชิงรุกเช่นกันแม้จะมีความพยายามขององค์กรมากมาย รวมถึงการฝึกอบรม
ความจริงที่น่าเศร้าและหลีกเลี่ยงไม่ได้: ผู้ใช้ของเรายังคงทำผิดพลาดอยู่ ท้ายที่สุดแล้วเราทุกคนก็เป็นมนุษย์ มีการสำรวจ เพื่อพิสูจน์ความจำเป็นในการฝึกอบรมด้านความปลอดภัยเพิ่มเติม ในมุมมองของฉัน ได้รับการพิสูจน์แล้ว ไม่สามารถหยุดวิกฤตไซเบอร์ได้: สี่ในห้าของผู้ตอบแบบสำรวจได้รับการฝึกอบรมเรื่องความปลอดภัย ระหว่าง 26% ถึง 44% (ตามกลุ่มอายุ) ยังคงคลิกลิงก์และไฟล์แนบจากผู้ส่งที่ไม่รู้จักอยู่ดี
อย่าเพิ่งวางใจในการรักษาความปลอดภัยของผู้ใช้
เราควรสรุปได้ว่าการรักษาความปลอดภัยขององค์กรต้องไม่พึ่งพาการรักษาความปลอดภัยของผู้ใช้มากนัก ซึ่งผู้ใช้จะถูกบุกรุก จากนั้นจึงเริ่มการรักษาความปลอดภัยระบบโดยคำนึงถึงสมมติฐานนี้ ดังนั้น แม้ว่าผู้ใช้จะถูกละเมิด จำนวนความเสียหายของระบบที่เกิดขึ้นจากการประนีประนอมนั้นไม่ควรมาก หากมีการใช้มาตรการรักษาความปลอดภัยที่เหมาะสมและจัดการอย่างถูกต้อง
เราควรฝึกอบรมผู้ใช้ปลายทางของเราหรือไม่? แน่นอน ชัดถ้อยชัดคำ ใช่ การรักษาความปลอดภัยที่แข็งแกร่งต้องใช้วิธีการหลายชั้นและนั่นหมายถึงการรักษาความปลอดภัยของคุณด้วยการรักษาความปลอดภัยทุกประตูสู่ระบบของคุณ แต่เราต้องเริ่มกำจัดความเสี่ยงของผู้ใช้ปลายทางออกจากสมการ สิ่งนี้ต้องการตัวเลือกที่ยากและการยอมรับจากผู้นำที่สำคัญสำหรับตัวเลือกเหล่านี้
เราจะปลดอาวุธผู้ใช้ที่เป็นความเสี่ยงสูงสุดได้อย่างไร
องค์กรต้องปิดกั้นการเข้าถึงและควบคุมความปลอดภัยให้ดียิ่งขึ้น. ระบบเปิดเกินไปตามค่าเริ่มต้น เราต้องปิดโดยค่าเริ่มต้น ประเมินความเสี่ยงแต่ละรายการ จากนั้นเปิดการเข้าถึงโดยข้อยกเว้นและด้วยความตั้งใจอย่างเต็มที่ ผู้ใช้ไม่สามารถคลิกหรือเปิดสิ่งที่พวกเขาไม่สามารถเข้าถึงได้ และในองค์กรที่เราประเมินหรือแก้ไขหลังการละเมิด เราพบว่าพนักงานและระบบมีการเข้าถึงที่มากเกินความจำเป็นในการปฏิบัติงาน บริษัทต่างๆ ควรวางแนวทางการรักษาความปลอดภัยที่รัดกุมยิ่งขึ้นทั่วทั้งบุคลากร กระบวนการ และเทคโนโลยี เพื่อที่ว่าหากผู้คุกคามเข้าถึงผ่านการคลิกที่ไม่เหมาะสม ก็ยังมีการควบคุมที่ออกแบบมาเพื่อหยุดการเคลื่อนไหวด้านข้างและการเก็บเกี่ยว/การเพิ่มข้อมูลรับรอง
องค์กรสามารถใช้มาตรการเชิงรุกเพื่อลดความเสี่ยงของผู้ใช้ รวมถึงการบล็อกการเข้าถึงบัญชีอีเมลส่วนตัว กรองทราฟฟิก HTTPS ด้วยการตรวจสอบแพ็กเก็ตเชิงลึก บล็อกการเข้าถึงอินเทอร์เน็ตไปยังซับเน็ต/VLAN ที่ไม่ใช่ผู้ใช้ตามค่าเริ่มต้น กำหนดให้มีการตรวจสอบและกรองการรับส่งข้อมูลของผู้ใช้ทั้งหมด ตลอดเวลา — ไม่ว่าจุดสิ้นสุดจะเป็นเช่นไร ไม่อนุญาตระบบแบ่งปันไฟล์และห้องเก็บรหัสผ่านที่ได้รับการรับรองจาก IT ทั้งหมด และการเปิดใช้งานคุณลักษณะด้านความปลอดภัยในเครื่องมือต่างๆ เช่น ไฟร์วอลล์ และการตรวจจับและตอบสนองปลายทาง (EDR)
ทำไมสิ่งนี้ถึงยังไม่เสร็จสิ้น? อุปสรรค
การบล็อกการเข้าถึงไซต์และแพลตฟอร์มส่วนบุคคลและการเข้าถึงระบบที่ช้าลงซึ่งเกิดจากการกรอง/ตรวจสอบอาจทำให้ผู้ใช้และผู้นำไม่พอใจในระดับหนึ่ง เครื่องมือบางอย่างที่จำเป็นก็มีราคาแพงเช่นกัน
ฝ่ายไอทีต้องการเสียงที่ชัดเจนกว่า โดยแสดงปัญหา วิธีแก้ไข ความเสี่ยง และผลลัพธ์ของความล้มเหลวในแง่ที่ผู้นำสามารถได้ยินและเข้าใจ เพื่อให้สามารถจัดสรรการควบคุมและค่าใช้จ่ายที่เกี่ยวข้องได้อย่างเหมาะสม จากนั้นผู้ใช้จะได้รับความรู้จากระดับบนลงล่างว่าเหตุใดการควบคุมเหล่านี้จึงจำเป็น ดังนั้น การศึกษาเกี่ยวกับความตระหนักด้านความปลอดภัยสามารถเปลี่ยนจาก "อย่าคลิกและนี่คือเหตุผล" เป็น "เราบล็อกสิ่งต่างๆ เกือบทั้งหมดตามค่าเริ่มต้น และนี่คือเหตุผล" ผู้นำที่ยังคงเลือกที่จะไม่ทำการลงทุนเชิงรุกมากกว่านี้จะมีระดับความเสี่ยงที่พวกเขาเลือกที่จะยอมรับสำหรับองค์กร
บ่อยครั้งที่ทีมไอทีขาดบุคลากรหรือความเชี่ยวชาญ พวกเขาไม่สามารถลดความเสี่ยงที่พวกเขามองไม่เห็นได้ ให้ความรู้เกี่ยวกับภัยคุกคามที่พวกเขาไม่รู้ หรือเปิดใช้งานเครื่องมือที่ไม่ได้รับการฝึกฝน ทีมที่ไม่มีทัศนวิสัยนี้ควรพิจารณาการประเมินเชิงลึกของการควบคุม การกำหนดค่า และการประสานจากผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสม
สิ่งหนึ่งที่แน่นอนคือ ไม่ว่าเราจะให้การฝึกอบรมมากเพียงใด ผู้ใช้ก็จะผิดพลาดได้เสมอ สิ่งสำคัญคือต้องลดตัวเลือกของผู้ใช้ในการคลิกให้เหลือน้อยที่สุด จากนั้นตรวจสอบให้แน่ใจว่าเมื่อทำเช่นนั้น มีการควบคุมในสถานที่ เพื่อขัดขวางความก้าวหน้าของการโจมตี
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/risk/stop-blaming-the-end-user-for-security-risk
- :เป็น
- 2022
- 26%
- 35%
- 7
- 9
- a
- อย่างแน่นอน
- ยอมรับ
- เข้า
- ตาม
- บัญชี
- ข้าม
- นักแสดง
- หลังจาก
- ก้าวร้าว
- ทั้งหมด
- จัดสรร
- แล้ว
- เสมอ
- ในหมู่
- จำนวน
- และ
- เป็น
- AREA
- AS
- การประเมินผล
- ที่เกี่ยวข้อง
- ข้อสมมติ
- โจมตี
- ความตระหนัก
- ตาม
- BE
- เริ่ม
- เริ่ม
- กำลัง
- ดีกว่า
- ระหว่าง
- โทษ
- ปิดกั้น
- การปิดกั้น
- ช่องโหว่
- การละเมิด
- by
- CAN
- ไม่ได้
- ก่อให้เกิด
- บาง
- ทางเลือก
- Choose
- เลือก
- คลิก
- ปิด
- ร่วมกัน
- บริษัท
- การประนีประนอม
- ที่ถูกบุกรุก
- สรุป
- พิจารณา
- อย่างต่อเนื่อง
- ควบคุม
- การควบคุม
- ค่าใช้จ่าย
- คอร์ส
- หนังสือรับรอง
- ไซเบอร์
- cybersecurity
- ข้อมูล
- การละเมิดข้อมูล
- ค่าเริ่มต้น
- องศา
- ประชากรศาสตร์
- ได้รับการออกแบบ
- แม้จะมี
- การตรวจพบ
- เครื่อง
- ยาก
- ยกเลิก
- แยกย้ายกันไป
- ทำลาย
- ลง
- แต่ละ
- สอน
- การศึกษา
- ความพยายาม
- อีเมล
- พนักงาน
- ทำให้สามารถ
- การเปิดใช้งาน
- ปลายทาง
- ทำให้มั่นใจ
- พอ ๆ กัน
- จำเป็น
- ประเมินค่า
- แม้
- ทุกๆ
- ข้อยกเว้น
- ขยาย
- ที่คาดหวัง
- ความชำนาญ
- ผู้เชี่ยวชาญ
- ความล้มเหลว
- คุณสมบัติ
- กรอง
- ไฟร์วอลล์
- ชื่อจริง
- ข้อบกพร่อง
- โดยมุ่งเน้น
- สำหรับ
- ราคาเริ่มต้นที่
- เต็ม
- ได้รับ
- เกม
- ไป
- มากขึ้น
- ขึ้น
- มี
- มี
- ได้ยิน
- หนัก
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- เป็นมนุษย์
- i
- in
- ลึกซึ้ง
- ประกอบด้วย
- รวมทั้ง
- การติดเชื้อ
- อินเทอร์เน็ต
- อินเทอร์เน็ต
- การสืบสวน
- เงินลงทุน
- IT
- ITS
- ทราบ
- ใหญ่
- ชั้น
- ชั้น
- ผู้นำ
- ผู้นำ
- ความเป็นผู้นำ
- ชั้น
- การเชื่อมโยง
- สำคัญ
- ทำ
- หลาย
- ตลาด
- เรื่อง
- วิธี
- มาตรการ
- ล้าน
- ใจ
- ความผิดพลาด
- บรรเทา
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การเคลื่อนไหว
- จำเป็น
- จำเป็นต้อง
- ความต้องการ
- ใหม่
- ชัดเจน
- of
- on
- ONE
- เปิด
- Options
- บงการ
- ประสาน
- organizacja
- องค์กร
- องค์กร
- รหัสผ่าน
- คน
- ส่วนบุคคล
- ฟิชชิ่ง
- สถานที่
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ส่วนใหญ่
- เชิงรุก
- ปัญหา
- ปัญหาที่เกิดขึ้น
- กระบวนการ
- มืออาชีพ
- ในอาชีพ
- ที่คาดการณ์
- เหมาะสม
- พิสูจน์
- พิสูจน์แล้วว่า
- ให้
- มีคุณสมบัติ
- ransomware
- RE
- ที่ได้รับ
- ลด
- ลบ
- ต้อง
- คำตอบ
- ผลสอบ
- ความเสี่ยง
- ปัจจัยเสี่ยง
- ความเสี่ยง
- s
- การรักษา
- ความปลอดภัย
- ตระหนักถึงความปลอดภัย
- เปลี่ยน
- สั้น
- น่า
- สำคัญ
- สถานที่ทำวิจัย
- ผิว
- So
- ซอฟต์แวร์
- โซลูชัน
- บาง
- เสียง
- ทักษะ
- เริ่มต้น
- ยังคง
- หยุด
- กลยุทธ์
- แข็งแกร่ง
- ประสบความสำเร็จ
- อย่างเช่น
- พื้นผิว
- การสำรวจ
- สำรวจ
- เกี่ยวกับระบบ
- ระบบ
- เอา
- เป้า
- ทีม
- เทคโนโลยี
- เงื่อนไขการใช้บริการ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- สิ่ง
- สิ่ง
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคาม
- ตลอด
- เวลา
- ไปยัง
- เกินไป
- เครื่องมือ
- ด้านบน
- การจราจร
- รถไฟ
- การฝึกอบรม
- ความจริง
- ภายใต้
- เข้าใจ
- เข้าใจได้
- ทายไม่ถูก
- ผู้ใช้งาน
- ผู้ใช้
- ห้องใต้ดิน
- Verizon
- รายละเอียด
- ความชัดเจน
- เสียงพูด
- ทาง..
- อะไร
- ความหมายของ
- ที่
- จะ
- กับ
- ไม่มี
- งาน
- ปี
- ของคุณ
- ลมทะเล