微软研究人员本月引起了轰动,一份新报告显示,在过去的一年中,钓鱼尝试的次数增加了一倍,从2018年9月标记为钓鱼尝试的电子邮件总数的0.31增加到2019年9月的0.62。矛或激光网络钓鱼攻击具有很高的针对性,并使用黑客收集的个人信息欺骗高价值员工点击恶意链接或打开恶意附件。
该报告显示,黑客行为变得如此巧妙,以至于即使是精通技术的高管也被欺骗了。然而,尽管今年医疗保健组织、领先的零售商店、金融服务,甚至是初创企业遭到前所未有的网络钓鱼攻击,但大多数企业仍然将整个生态系统数据安全的负担放在他们最薄弱的环节: 他们的员工。
这让我问 -- 一个手无寸铁的银行出纳员会被期望单枪匹马阻止抢劫吗?可能不会。然而,在大多数现代企业中,员工仍然处于预防的中心。根据IBM的一项研究,人为错误是造成95% 网络安全漏洞的原因。换句话说,如果以某种方式完全消除了人为错误,则20个网络漏洞中有19个根本不会发生。而且只需要一次黑客就可以构成整个生态系统,并有可能破坏品牌的声誉。
因此,让我们来分析一下黑客用来针对组织各个层面的不同策略,为什么当前的防御策略不起作用,并就科技公司如何更好地保护自己提出建议:
哪些组织风险最大?
很容易假设黑客只针对 “大票” 较大的组织,但事实并非如此。较小的企业可能拥有价值较低的数据,但它们的安全预算也较低。最近的研究表明,43% 网络攻击都是针对小企业的,创始人平均需要六个月的时间才能意识到他们已经受到了威胁。
SMBsand初创公司更容易妥协,并且通常用于获得更高价值目标的后门访问权限。因为黑客经常攻击早期的初创企业,作为访问银行、风险投资公司或与这些组织沟通的服务提供商 (如律师或公关公司) 的门户。
哪些员工风险最大?
微软报告中最令人震惊的收获之一是,拥有多年经验的高层管理人员正被越来越巧妙的攻击所愚弄。
网络钓鱼攻击变得比以往任何时候都更有针对性。黑客将对高管进行研究-他们将跟踪社交媒体帐户,以查看他们正在参加哪些活动,查看他们在照片中标记的人以及他们在Linkedin上的查找照片。然后,他们使用该个人信息使他们的目标首先单击,然后再考虑,并带有完美的定时上下文消息,例如: “嘿,在X会议上认识您真是太棒了,根据我们的聊天,您可能会发现这很有用”
但一个普遍的误解是,这些 “高价值” 目标总是风险最大的。虽然高级管理人员、人力资源或财务专业人员可能会提供对高度敏感的客户和企业数据的访问,这些数据可以在黑暗的网络上以相当可观的价格出售,但这些专业人员也最有可能精通网络安全防范技术。
根据我的经验,由于黑客只需要一个切入点就可以破坏整个组织,因此他们倾向于玩长游戏,并从公司层次结构的最底层开始。他们首先使用社会工程瞄准较低级别、经验不足的员工,然后使用 “横向网络钓鱼” 技术来获得多名员工的通信,一个接一个。
然后,他们所需要做的就是玩等待游戏,直到其中一名员工通过电子邮件与 “高价值” 目标进行交流,从而为黑客提供了罢工的机会。他们将选择正确的电子邮件 (例如,请求报告的电子邮件),然后滑入恶意文件或链接。
为什么教育解决方案不足?
KnowBe4今年又筹集了3亿美元的资金,而Wombat 2018年以2.25亿美元的价格被收购,这一事实表明,公司内部对安全意识工具的需求很大。有关网络钓鱼检测,密码卫生和新风险的培训非常重要。需要明确的是,公司应该使用这些工具来培训员工。
但是,如果未向用户提供个性化的,可操作的反馈,则存在训练乏力设置的风险。大多数领先的模拟工具会通知经理员工以不安全的方式行事,但实际上并没有实时纠正用户。此外,在社会工程时代,当攻击变得高度个性化时,几乎不可能创建标准化的 “警告标志” 供员工注意。
Vade Secure首席解决方案架构师Adrien Gendre在最近接受TNW采访时说: “对员工进行点击内容培训是有用的,但仅靠当前的培训形式是不够的。当攻击者每隔几个月不断更改其技术时,这几乎没有用。它需要被情境化,这样员工就可以在看到恶意内容时识别出来。“
由于仍有多达80% 的安全漏洞归咎于人为错误,因此人们不得不质疑安全培训工具的有效性。领先的提供商承诺,在一年的培训后,将对潜在有害内容的点击次数从平均30% 减少到2。但是,在拥有数百或数千名员工的大型组织中,这一小部分仍然可能构成巨大的风险。毕竟,损害整个系统只需要一个错误。
如何真正消除人为错误的风险
我认为,真正捍卫企业的唯一方法是减轻员工的负担。
雇用ciso是一个好的开始。Ciso在说服领导风险的严重性以及确保为培训和购买安全解决方案分配足够的预算方面发挥着重要作用。他们还有资格推出个性化的员工培训,重点是针对特定工作角色的小而可行的措施。
Ciso可以每月发送一次提醒以更改密码,并教团队如何实施多因素身份验证 (MFA) 或单点登录 (SSO) 等措施,使员工能够专注于其主要职责而又不损害安全性。对于预算较大的企业来说,生物识别登录-允许员工用手指触摸或扫描眼睛登录设备-也被证明是有效的。
然而,企业最终需要加入自动关闭攻击的新兴技术,即使分心的员工试图点击链接查看最近一次会议的照片。使用NLp,机器学习和机器视觉AI的新解决方案可以自动检测,标记和阻止恶意软件或网络钓鱼 (最常见的攻击策略) 的潜在漏洞。
高价值目标 (例如医疗保健提供商) 越来越多地推出AI解决方案,以使用云解决方案和端点防御工具来消除本已忙碌的员工的网络安全负担。毕竟,如果数百个端点不安全,那么保持网络安全是没有意义的。
对于网络钓鱼攻击来说,2019年是可怕的一年,但现在多亏了微软等组织的报告,网络钓鱼和恶意软件攻击的威胁比以往任何时候都更加清晰。现在,企业有责任创造网络安全文化,让员工了解风险,并教会他们领先黑客一步的策略,但有意识地避免将员工置于预防的中心。
因为真的,如果您不在汤姆·克兰西 (Tom Clancy) 的小说中,那么对价值数百万美元的关键数据的辩护是否应该完全落在一个人身上?