为了打击网络钓鱼,你必须改变你的方法

为了打击网络钓鱼,你必须改变你的方法

为我们的同事提供的培训,通常被称为“打鼹鼠”,真的有什么不同吗?

也许一个更好的问题是,为什么我们仍然依赖于在一个复杂的话题上训练疲惫和有压力的人,而不是寻找一个技术解决方案?

我最近和凯文·奥布莱恩(LinkedIn,Twitter)谈过 在波士顿网络安全领域有超过20年的经验。他是@stake团队(现为Symantec)、Cloudlock(被Cisco以3亿美元收购)和Conjur(被CyberArk收购)的早期成员,O'Brien现在是GreatHorn的联合创始人和首席执行官,GreatHorn为财富500强公司提供下一代反钓鱼和电子邮件安全解决方案。

在过去的一年里,我们分享了很多对话。他的经验和对挑战的把握给我留下了深刻的印象。我们讨论了如何做得更好。我们的谈话要点如下:

为员工提供安全培训只能做到这么多。在过去的几个月里,我们看到了一些大规模的数据泄露事件,这些事件都是从一个简单的电子邮件故障开始的。

例如,今年早些时候的DocuSign漏洞:来自dse@docus.com“开始收到收件箱,声称要么是一份已经完成的文件,要么是一份正在等待最后签字的文件。这些邮件看起来与真正的DocuSign电子邮件惊人地接近——它们如此令人信服,以至于数百万用户被诱骗点击电子邮件中的钓鱼链接。很可能很多点击的人都接受过某种安全意识培训,但尽管他们尽了最大努力,培训还是失败了,他们成了受害者。

除了DocuSign漏洞外,犯罪黑客最近还成功地用冒充攻击愚弄了一些白宫高级官员和其他政府工作人员。鉴于他们的工作性质,所有受害者此前都接受过网络安全意识培训。攻击者能够欺骗美国一些知名度最高的目标,这进一步证明人们极易受到基于欺骗的高针对性攻击。

先发制人地用模拟攻击邮件“钓鱼”你自己的员工,并用培训视频教育那些点击链接的员工,这是一种过时的方法,并不能有效地提高网络弹性。相反,它将it安全团队定位为鼓动者和羞辱某些员工的来源。

我是这样看的:电子邮件仍然是联系商界人士最有效、最常见的方式。如今复杂的电子邮件端点生态系统——跨越公司和员工拥有的平板电脑、电话、工作笔记本电脑、家用电脑和电话——意味着电子邮件访问无处不在,人们沉迷于每周7天、每天24小时不断刷新和检查更新。

员工们很可能每天醒着的时候都会查看电子邮件- 如果不是更多- 而这给他们带来的强烈的认知负荷会妨碍他们在采取行动和/或回复邮件之前进行深入的思考。当压力很大时,满地都是邮件的不知所措的人会不断地做出复杂的决定,难免会出错。毕竟,我们只是人类。

这就是典型的员工。你的安全小组呢?安全专业人员已经受到打击。你不可能雇人来监控和分析所有的公司邮件,这是不可持续的。我们最近做了一项研究,对问题的范围进行了细分:平均而言,所有入站电子邮件中有0.02%包含网络钓鱼的威胁特征。如果你是一个拥有50000名员工的企业组织,那么每周会有将近4000个潜在威胁。假设每封邮件的审阅时间估计为5分钟,您将需要8名infosec员工全天24小时全职工作来处理这些信息。或者你可以雇16个人,每人12.5万美元- 这使得处理电子邮件成为一个数百万美元的问题。

目前,网络安全和法规遵从性并不完全一致。在网络安全领域,最大的合规问题通常集中在“不要坐牢”上。如果你的公司曾经被违反,你必须向调查人员展示你为保护客户数据而采取的保护措施。如果你能证明你意识到电子邮件是一个问题,并且你为员工的安全培训进行了投资,那么调查人员可以勾选这些复选框。满足法规遵从性并不能解决我们的网络安全问题- 但对于专注于降低风险的CSO来说,这减轻了董事会的指责。

我们需要去掉所有的流行语,问这个问题才能得到更好的结果:我们如何在网络安全中创造力量倍增?答案是自动化。威胁面越来越大,网络罪犯也越来越老练。他们正在利用威胁战术,这使得组织越来越难以大规模地保护自己。网络犯罪分子通过增加这类有针对性的攻击的数量给企业施加压力,甚至大大超过了世界上最大的安全团队跟上的能力。

可悲的是,在当今的大多数组织中都缺乏可见性,对于安全团队来说,保护他们看不到的东西是不现实的。没有任何工具或小部件可以完全解决这个问题,使一切安全。但我们可以达到这样一个程度,即我们有能力构建一个安全程序,以一种明显的方式降低风险。我们可以为您目前的风险状况建立指标。

通过使用自动化工具,安全主管可以帮助他们的团队更有效地管理每天面临的大量警报和潜在漏洞。有计划地补救低级威胁使工作人员能够优先调查需要人类判断的关键威胁。

在这方面,最重要的第一步是承认:良好的员工出于良好的意愿会做出错误的安全决策。不管他们受过多好的训练,这都是事实。社会地位、时间限制和紧迫性增加了对看似合法的要求作出反应的心理压力,而对这些要求的培训用户是不够的。

通常,安全的挑战是时间。给定无限的资源,所有攻击都是可寻址的。对大多数企业来说,入境威胁的现实超过了产能。因此,安全主管需要使用技术来减轻IT团队的负担,同时还要寻找进一步降低员工风险的方法。安全主管应仔细检查其网络安全政策,以确定是否存在过度手动(即审查所有具有威胁特征的电子邮件)或占用大量时间而对整体业务价值不大的领域。

阅读更多: