Ikke saboter din egen sikkerhet, tren brukerne dine

Jeg tror første gang jeg så en phishing-e-post var tilbake i 2000 mens jeg jobbet med et testprosjekt med Oliver Rist, som nå er PCMags forretningsredaktør. En morgen fikk vi begge e-postmeldinger med emnelinjen, "I Love You, " som også var e-postens kropp, og det var et vedlegg. Vi visste begge øyeblikkelig at e-posten måtte være falsk fordi vi som magasinredaktører visste at ingen elsket oss. Vi klikket ikke på vedlegget. Vi fungerte faktisk som menneskelige brannmurer. Vi kjente igjen en falsk e-postmelding, og vi slettet den i stedet for å la innholdet spre seg til datamaskinene våre og resten av nettverket.

Til og med den gang ble angrep som disse kalt "sosialteknikk" av hackersettet. I dag er phishing-e-poster trolig den mest kjente versjonen av denne typen utnyttelse. De er hovedsakelig rettet mot å hevde sikkerhetsinformasjon, men de er også i stand til å levere andre typer skadelig programvare, spesielt ransomware. Men det er verdt å merke seg at det er andre typer sosialtekniske angrep foruten phishing, inkludert noen der angrepet er fysisk snarere enn strengt digitalt.

Mennesker: Fortsatt en ledende angrepsvektor

Årsaken til at nettfiskemail er så vidt kjent, er fordi de er så vanlige. Nå er det rimelig å si at alle som har en e-postkonto på et tidspunkt vil ha mottatt en phishing-e-post. E-posten later ofte til å være fra banken din, ditt kredittkortselskap eller annen virksomhet du ofte har. Men nettfiskemail kan også være en trussel for organisasjonen din da angripere prøver å bruke dine ansatte mot deg. En annen tidlig versjon av dette angrepet kom i gullalderen med faksing da angripere ganske enkelt ville fakse en faktura for tjenester som aldri ble gitt til store selskaper, i håp om at travle ledere ganske enkelt ville sende dem inn for betaling.

Phishing er overraskende effektivt. I følge en studie fra advokatfirmaet BakerHostetler, som så på 560 datainnbrudd i fjor, er phishing den ledende årsaken til hendelser i datasikkerhet i dag.

Dessverre har ikke teknologi fanget opp phishing-angrep. Selv om det finnes en rekke sikkerhetsenheter og programvarepakker som er designet for å filtrere ut ondsinnede e-poster, jobber de skurkene som lager phishing-e-poster hardt for å sikre at angrepene deres glir gjennom sprekkene. En studie av Cyren viser at e-skanning har en feilprosent på 10, 5 prosent når det gjelder å finne ondsinnede e-poster. Selv i en liten til mellomstor virksomhet (SMB), som kan legge til mange e-postmeldinger, og noen av dem som inneholder et sosialteknisk angrep, kan være en trussel for organisasjonen din. Og ikke en generell trussel, som vil være tilfelle med mest skadelig programvare som klarte å snike seg etter endepunktbeskyttelsestiltakene dine, men den mer uhyggelige typen som er spesielt rettet mot dine mest verdifulle data og digitale ressurser.

Jeg ble varslet om Cyren-rapporten under en samtale med Stu Sjouwerman, grunnlegger og administrerende direktør i KnowBe4, et selskap som kan hjelpe fagfolk i menneskelige ressurser (HR) til å lære sikkerhetsbevissthet. Det var Sjouwerman som tok opp uttrykket "menneskelig brannmur" og som også diskuterte "menneskelig hacking." Hans forslag er at organisasjoner kan forhindre eller redusere effektiviteten av sosialtekniske angrep med noen jevnlig opplæring som gjøres på en måte som også engasjerer de ansatte i å løse problemet.

Selvfølgelig er det mange organisasjoner som har opplæring om sikkerhetsbevissthet. Du har sannsynligvis vært på flere av disse møtene der gammel kaffe er sammenkoblet med uaktuelle smultringer mens en entreprenør ansatt av HR bruker 15 minutter på å fortelle deg at du ikke må gå for phishing-e-poster - uten å egentlig fortelle deg hva de er eller forklare hva du skal gjøre hvis du tror du har funnet en. Ja, de møtene.

Det Sjouwerman foreslo fungerer bedre er å lage et interaktivt treningsmiljø der du har tilgang til faktiske phishing-e-poster der du kan undersøke dem. Kanskje ha en gruppeinnsats der alle prøver å se faktorene som peker til phishing-e-postmeldinger, for eksempel dårlig stavemåte, adresser som nesten ser ekte ut, eller ber om at det ved undersøkelse ikke er fornuftige (for eksempel å be om en øyeblikkelig overføring av bedriftsmidler til en ukjent mottaker).

Forsvar mot samfunnsteknikk

Men Sjouwerman påpekte også at det er mer enn en type samfunnsingeniør. Han tilbyr et sett gratis verktøy på nettstedet KnowBe4 som bedriftene kan bruke for å hjelpe de ansatte til å lære. Han foreslo også de følgende ni trinnene som selskaper kan ta for å bekjempe angrep på sosialteknikk.

• Lag en menneskelig brannmur ved å trene de ansatte til å gjenkjenne angrep på sosialt teknisk arbeid når de ser dem.
• Gjennomfør hyppige, simulerte sosialtekniske tester for å holde de ansatte på tå.
• Gjennomføre en phishing-sikkerhetstest; Knowbe4 har en gratis.
• Vær på utkikk etter CEO-svindel. Dette er angrep der angriperne oppretter en forfalsket e-post som ser ut til å være fra administrerende direktør eller annen høyt rangert offiser, og styrer handlinger som overføringer av penger på en hasterbasis. Du kan sjekke om domenet ditt kan bli forfalsket ved å bruke et gratis verktøy fra KnowBe4.
• Send simulerte phishing-e-poster til dine ansatte, og ta med en lenke som vil varsle deg hvis du klikker på den koblingen. Hold oversikt over hvilke ansatte som faller for det, og fokuser trening på de som faller for det mer enn en gang.
• Vær forberedt på "vishing", som er en type sosialteknikk for telefonsvarer der meldinger er igjen som prøver å få handling fra dine ansatte. Dette kan se ut til å være anrop fra rettshåndhevelse, Internal Revenue Service (IRS) eller til og med Microsoft teknisk support. Forsikre deg om at de ansatte vet at de ikke vil returnere samtalen.
• Varsle dine ansatte til "tekst phishing" eller "SMiShing (SMS phishing)", som er som phishing via e-post, men med tekstmeldinger. I dette tilfellet kan koblingen være designet for å få sensitiv informasjon, for eksempel kontaktlister, fra mobiltelefonen. De må trenes til ikke å berøre lenker i tekstmeldinger, selv om de ser ut til å være fra venner.
• USB-angrep (Universal Serial Bus) er overraskende effektive, og de er en pålitelig måte å trenge gjennom luftavkjente nettverk. Måten det fungerer på er at noen lar USB-minnepinner ligge rundt i toaletter, parkeringsplasser eller andre steder besøkte dine ansatte; kanskje pinnen har lokkende logoer eller etiketter på seg. Når ansatte finner og setter dem inn i en hendig datamaskin - og de vil gjøre det hvis de ikke blir lært noe annet - så kommer malware på dem inn i nettverket ditt. Slik penetrerte Stuxnet-skadeprogrammet det iranske atomprogrammet. Knowbe4 har et gratis verktøy for å teste for dette også.
• Pakkeangrepet er også overraskende effektivt. Det er her noen dukker opp med en armlast med bokser (eller noen ganger pizza) og ber om å bli sluppet inn slik at de kan leveres. Mens du ikke ser, sklir de en USB-enhet inn i en datamaskin i nærheten. Dine ansatte må få opplæring ved å utføre simulerte angrep. Du kan oppmuntre dem ved å trene for dette og deretter dele pizzaene hvis de får det til.

Som du kan se, kan sosialteknikk være en virkelig utfordring, og det kan være mye mer effektivt enn du ønsker. Den eneste måten å bekjempe det på er å engasjere dine ansatte aktivt i å oppdage slike angrep og kalle dem ut. Gjort riktig, de ansatte vil faktisk glede seg over prosessen - og kanskje vil de få noen gratis pizza ut av den også.