Припиніть звинувачувати кінцевого користувача в загрозі безпеці

Фахівці з кібербезпеки зазвичай вказують на кінцевого користувача як на сферу найвищого ризику для забезпечення безпеки організації. Це зрозуміло. Системи та програмне забезпечення знаходяться під нашим контролем, але користувачі непередбачувані, ця неконтрольована змінна, яка розширює нашу поверхню загрози до кожного географічно розсіяного користувача, персонального пристрою та надто людських недоліків і недоліків.

Звичайно, загрози досить успішно атакують наших користувачів — я тут не для того, щоб відкинути цю очевидну істину. Але не менш впевненим є ось що: Wми не можемо знайти вихід із цієї проблеми. Підприємства вкладають значні інвестиції в навчання користувачів безпеки, і все одно вони страждають від ганебних і дорогих порушень. Отже, зосередження головним чином на захисті кінцевого користувача не є правильною стратегією.

Захистіть системи з новою стратегією

Факт: ваші користувачі є головним фактором ризику. Відповідно до «Звіт Verizon про порушення даних і розслідування за 2022 рік35% заражень програмами-вимагачами почалися з фішингового електронного листа. Факт: це незважаючи на збільшення інвестицій у навчання з питань безпеки протягом багатьох років. Ринок навчання з питань кібербезпеки прогнозується зростання з 1,854.9 2022 мільйонів доларів США у 12,140 році до 2027 XNUMX мільйонів доларів США до XNUMX року. Факт: навіть з усіма цими інвестиціями програми-вимагачі (як один тип атаки) також очікується агресивне зростання, незважаючи на численні організаційні зусилля, включно з навчанням.

Сумний і неминучий факт: наші користувачі все одно будуть робити помилки — зрештою, ми всі люди. Проведено опитування щоб довести необхідність додаткового навчання безпеки, на мій погляд, це доведено нездатність зупинити кіберкризу: Четверо з п'яти опитаних пройшли навчання з безпеки; від 26% до 44% (на основі вікової демографічної категорії) все одно продовжували натискати посилання та вкладення від невідомих відправників.

Не просто розраховуйте на безпеку користувача

Ми повинні зробити висновок, що організаційна безпека не повинна сильно покладатися на безпеку користувача, що вони будуть скомпрометовані, а потім почати захищати системи з урахуванням цього припущення. Таким чином, навіть якщо кінцевий користувач зламано, кількість системної шкоди, завданої цією компрометацією, не має бути великою якщо застосовано та правильно організовано належні заходи безпеки.

Чи повинні ми навчати наших кінцевих користувачів? Абсолютно, однозначно, так. Надійна безпека вимагає багаторівневого підходу, а це означає підкріпити вашу безпеку, захистивши кожен дверний отвір до ваших систем. Але ми повинні почати вилучати з рівняння ризик для кінцевого користувача. Це вимагає деяких складних виборів і значної підтримки лідерства цим вибором.

Як ми можемо роззброїти користувачів як найбільшу небезпеку?

Організації повинні краще блокувати доступ і організовувати контроль безпеки. Системи занадто відкриті за замовчуванням; ми повинні зробити їх закритими за замовчуванням, оцінити кожну з них на предмет ризику, а потім відкрити доступ за винятком і з повною цілеспрямованістю. Користувачі не можуть клацати або відкривати те, до чого вони не мають доступу, а в організаціях, які ми оцінюємо або усуваємо після порушення, ми бачимо, що під час роботи співробітники та системи мають набагато більший доступ, ніж це необхідно. Компанії повинні посилити систему безпеки для своїх співробітників, процесів і технологій, щоб у випадку, якщо зловмисник все одно отримає доступ через неправильне клацання, існували засоби керування, призначені для припинення їхнього бічного переміщення та збору/розширення облікових даних.

Організації можуть вживати профілактичних заходів для зменшення ризику для користувачів, зокрема: блокувати доступ до особистих облікових записів електронної пошти; фільтрація HTTPS-трафіку з глибокою перевіркою пакетів; блокування доступу до некористувацьких підмереж/VLAN за замовчуванням; вимагаючи перевірки та фільтрації всього трафіку користувачів весь час — незалежно від кінцевої точки; заборона всіх систем обміну файлами та сховищ паролів, крім схвалених ІТ; а також увімкнення функцій безпеки в таких інструментах, як брандмауери та виявлення та реагування на кінцеві точки (EDR).

Чому це ще не зроблено? Бар'єри

Блокування доступу до особистих сайтів і платформ, а також уповільнення доступу до систем через фільтрацію/перевірку можуть викликати певне невдоволення користувачів і лідерів. Деякі з необхідних інструментів також є дорогими.

ІТ-спеціалістам потрібен сильніший голос, який висловлює проблеми, рішення, ризики та результати невдач у термінах, які керівники можуть почути та зрозуміти, щоб можна було розподілити належні засоби контролю та відповідні витрати. Користувачі можуть бути навчені зверху вниз про те, чому ці елементи керування необхідні; таким чином навчання з питань безпеки може змінитися від «не натискайте, і ось чому» до включення «Ми блокуємо більшість речей за замовчуванням, і ось чому». Лідери, які все ж вирішують не робити більш агресивні інвестиції, мають негативний вплив на рівень ризику, який вони вирішують прийняти для організації.

Часто ІТ-командам також бракує персоналу чи досвіду: вони не можуть зменшити ризики, яких не бачать; навчати про загрози, яких вони не знають; або ввімкнути інструменти, яким вони не навчені. Команди, які не мають такої видимості, повинні розглянути питання про поглиблену оцінку елементів керування, конфігурацій і оркестровки від кваліфікованих експертів.

Одне можна сказати напевно: скільки б навчання ми не проводили, користувачі завжди будуть помилятися. Важливо звести до мінімуму можливості користувачів клацати спочатку, а потім переконатися, що, коли вони це зроблять, є засоби контролю порушити прогресування нападу.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/risk/stop-blaming-the-end-user-for-security-risk