FBI/DHS黑客攻击显示需要基于角色的安全意识计划

FBI/DHS黑客攻击显示需要基于角色的安全意识计划

当一名黑客发布了9000名国土安全部员工的联系信息时,这是由于几次意识失误造成的。现实是,这些都是失败的意识程序,是典型的行业作为一个整体。

总结这次攻击,显然是一个罪犯泄露了一个随机的司法部雇员的用户id和密码,据报道是通过网络钓鱼攻击。然而,这些凭证并没有给攻击者提供所需的连接,因此攻击者很可能拨打了司法部的服务台号码。帮助台向攻击者提供了某些门户和/或VPN连接的凭据。从那时起,攻击者显然能够访问非机密的司法部网络,这导致了联邦调查局和国土安全部的电话目录和200GB的未指明的数据泄露。

有两个明显的意识缺陷。第一个很可能是第一个点击网络钓鱼信息的员工。第二个失败是帮助台向攻击者提供远程访问网络的凭据。我敢肯定,一些网络钓鱼供应商会声称,如果有更多的模拟网络钓鱼消息,这不会发生。那些说法是愚蠢的。司法部已经在进行网络钓鱼模拟。他们所能做的就是减少事故,而不是不可避免的。

然而,网络钓鱼模拟并不能阻止社会工程呼叫服务台。这可能是最重要的方面;如果此人没有获得访问网络的凭据,那么对网络钓鱼的易感性就无关紧要了。

[更多:成功的安全意识计划的7个要素]

当你有一个像司法部那么大的组织时,不可避免地会通过网络钓鱼或社会工程来损害你的资历。唯一相信你能阻止所有类似攻击的人是傻瓜或骗子。坦率地说,多因素身份验证应该已经到位,这将防止这种攻击。然而,由于攻击者需要额外的凭据才能远程访问网络,因此几乎存在一种形式的多因素身份验证。

同样,该层失败的原因是帮助台可能部分的流程和意识较差。仿冒模拟不会减轻攻击向量。一年一次为大众设计的视频对于服务台人员的职责来说不够具体。即使你有一个月一次的视频,通常组织一年中每个月都会运行一个不同的主题,而一年一次的社会工程视频(平均不到3分钟)也不会对帮助台员工可能遇到的所有可能的诡计产生重大影响。

然而,当你看看什么似乎是行业标准的意识计划,他们依靠网络钓鱼模拟和每月的计算机培训(CBT)模块设计的一般人群。必须做更多的工作。

如果选中复选框,则标准模型有效。当您想防止实际事件发生时,它不起作用。

为了改善这种情况,你需要明白,就像人们有不同的工作职能一样,他们可能需要基于角色的意识计划。你不能期望向服务台员工提供与工厂员工相同的意识材料,并且期望结果能被两个群体接受。

虽然您不必为每个可能的角色提供不同的培训和意识计划,但很明显,某些角色(如服务台人员、工程师、it、客户服务代表等)有特定的意识问题。

[安全意识:培训妈妈和终端用户发现骗局]

为了支持基于角色的意识,必须制定适当的政策和程序。例如,当刑事司法部打电话给服务台请求协助访问时,应该有明确的程序对呼叫者进行身份验证。

正如我之前所写的,意识计划应该代表“如何”的部门,而不是“不”的部门。当你告诉人们不该做什么,或者更糟糕的是,试图吓唬人时,你不是在灌输良好的行为,而是试图吓唬人们不要做错事。意识是关于创造正确的安全相关行为。

灌输正确的行为需要持续的教育和所有相关主题的强化。虽然钓鱼是恶意角色的主要攻击向量,但是你不能忽视所有其他的关注点,这显然是许多组织正在做的。此外,你不能依赖一个主题的3分钟视频,最多一年一次,并假设人们会显著改善与该主题相关的员工行为。

提高认识的目标是经济有效地降低风险。这意味着,通过预防或更有效地缓解事故,您比您在计划中投资的成本节省了更多的钱。它还意味着您必须解决由用户行为造成的所有漏洞。

当然,有一个适当的网络钓鱼模拟和CBT的需要。然而,就其本身而言,它们并不比说防火墙和防病毒软件的存在满足了网络安全程序的要求更有效。

如上所述,关注与个人角色相关的行为将提高意识工作的有效性。我完全理解CBT和网络钓鱼模拟似乎是一个简单易行的解决方案。不幸的是,问题并不简单,解决办法也不会简单。

Ira Winkler,CISSP可通过其公司网站www.securementem.com