28 Ekim CISO Raporu: Siber Savunma Üzerine Dr Jay
Bloglarda, Videolarda
Mastercard’ın Kıdemli Başkan Yardımcısı ve CSO Yardımcısı, dur, bırak ve yuvarlan diyor
– David Brown
Melbourne, Avustralya – 28 Ekim 2022
CISO Raporu sponsorluğunda BilBe4.
Yıllar boyunca, birçok şirket siber güvenlik eğitimini yangın güvenliği veya CPR eğitimi gibi ele alırdı: yılda bir kez, çalışanların belirli bir müfredattan geçirildiği ve yılın geri kalanında kendi cihazlarına bırakıldığı bir egzersiz.
Siber güvenlik saldırılarının artması ve her gün yeni uzlaşma türlerinin ortaya çıkmasıyla birlikte, yılda bir kez verilen eğitimler uzun zaman önce yeterli olmaktan çıktı.
USENIX tarafından yapılan bir araştırma, çalışanların eğitim verildikten yaklaşık altı ay sonra kimlik avı e-postalarını yasal e-postalardan ayırt etme yeteneklerini kaybettiğini buldu. WR Hambrecht + Co’dan bir başkası, eğitim bittikten yarım saat kadar kısa bir süre sonra çalışanların kendilerine öğretilenlerin yalnızca yüzde 58’ini hatırladıkları sonucuna vardı; bir hafta sonra bu oran sadece yüzde 35’e düştü.
Yakın zamanda yapılan bir araştırmaya göre, çalışanların eğitimlerini hızla unutma riskine rağmen, şirketlerin yalnızca yüzde 23’ü çalışanlarına düzenli olarak siber farkındalık eğitimi veriyor. .
CISO yardımcısı ve Mastercard ile gelişen kurumsal güvenlik çözümlerinden sorumlu kıdemli başkan yardımcısı Alissa ‘Dr Jay’ Abdullah Cybercrime Magazine’e verdiği demeçte, eğitim sıklığının CISO’ların siber farkındalık stratejilerini planlarken dikkate alması gereken birkaç faktörden yalnızca biri olduğunu söyledi.
“Bir zamanlar, normal yıllık eğitimin yeterli olacağını düşündük,” diye açıkladı, “ama şimdi insanların veri tüketme ve bilgiyi tüketme şekli değişti.”
“Tik Tok çağındayız ve herkes her şeyin kısa ve hızlı olmasını istiyor – bu yüzden bu evrimle hareket etmeliyiz.”
Yine de Tik Tok’ta video çeken çocuklar sadece ayağa kalkıp bunun için gitmiyorlar: her seferinde biraz pratik yapıyorlar ve “siber güvenliği ve eğitimimizi aynı şekilde düşünmeliyiz: bir düşünün. , bunun hakkında konuş, küçük ipuçları, küçük numaralar, küçük oyunlar.”
“Tekrarlama, oturmak, bir saatlik antrenman yapmak ve ‘gelecek yıl görüşürüz’ demek yerine yapışmasını sağlayacak yapıştırıcıdır.”
Daha küçük, tüketilebilir eğitime geçiş – e-posta filtreleme sistemlerinin, bir kullanıcı tehlikeli bir bağlantıya veya eke tıkladıktan hemen sonra küçük bir eğitim içeriği sağladığı noktaya kadar – NINJIO ve Mimecast’in sahibi olduğu Ataata gibi şirketlerden yeni yaklaşımlar getirdi. 2027 yılına kadar yıllık 10 milyar dolar olması beklenen bir pazar payını takip ederken farkındalık eğitimini yeni bir seviyeye taşıdılar.
Okuma, “ritme”, “ritmetik” ve iyileştirme
Şirketler çalışanları siber güvenlik bilinci konusunda eğitmenin ve yeniden eğitmenin en iyi yolunu bulmaya çalışırken bile, Dr Jay çalışanlara siber güvenliğin temellerinin erken yaşta öğretilmesinin önemli olduğunu ve bunun sadece bir şey değil, kurumsal kültürün bir parçası haline geldiğini söyledi. BT güvenlik ekibi herkese empoze etmeye çalışıyor.
“Bu sadece siber güvenlik organizasyonunun sorumluluğunda olan bir şey değil” diye açıkladı.
“Çalışıyor olsanız da olmasanız da, kendi verilerinizi korumak için siber güvenlik hakkında biraz bilgi sahibi olmalısınız. Ve kendi kültürünüzü, neleri tüketebileceklerini ve aldığınız risk miktarını düşünmelisiniz.”
Bu riski yönetmek, aynı zamanda, onları tespit edip edemediklerini görmek için korumasız kimlik avı e-postaları gönderilen çalışanların düzenli kimlik avı testlerine de dayanır.
Abdullah’ın Mastercard’daki kendi yetki alanı dahilinde, güvenlik ekibinin “düşman bizi incelerken gelen mesajları tam olarak analiz ettiğini – ve biz de bu mesajları çoğaltıyoruz ve çalışan tabanımızda zıplama kampanyaları yapıyoruz” dedi.
Bu bile bir süreç, dedi ve gerçekçilik çok önemli – çalışanlara geçilmesi zor kimlik avı testleri vererek özür dilemeden sert olma ihtiyacı gibi.
“Çalışanlarınızı bir yolculuğa çıkarmak istiyorsunuz,” diye açıkladı, “kolaydan başlayıp giderek daha da zorlaşarak.”
“Rahatsız kalamazsınız çünkü düşman artık daha karmaşık hale geliyor – bu nedenle çalışanlarınızla birlikte spearphishing kampanyalarınızın daha sofistike olması gerekiyor.”
“Düşmanın size tam olarak ne vereceğini göstermeleri gerekiyor – ve size şunu söyleyeceğim: İster iş ortamınızda ister ev ortamınızda olun, düşman bunu size verecektir.”
Gerçekten de, saldırganlar, kurbanları pes edene ve oyuna gelene kadar tekrarlanan uyarılar göndererek hedeflerini giderek daha fazla yıpratmaya çalışıyorlar.
Abdullah, saldırganların birbiri ardına istem gönderdiği ve alıcıları çok faktörlü kimlik doğrulama tabanlı uzaktan erişim talebini onaylamaya zorladığı “MFA yorgunluğunda” görülmenin bir taktik olduğunu söyledi.
Dikkatli kullanıcılar muhtemelen talebi reddedeceklerdir, ancak tekrarlanan talepler, istemlerin kaybolması için genellikle onları yıpratmaktadır – ve Dr Jay, bunun, tehlikeye atılmak ve olmamak arasındaki fark olabileceğini söyledi.
“Yangın tatbikatı gibi” dedi. “Dur, bırak ve yuvarlan. Bir saniye duraklayın ve kendinize sorun: MFA kullanan bir yerde oturum açmayı denedim mi? Bu tür bir talebi gerektiren herhangi bir şeyle uğraştım mı?”
“Konuşmadan önce bir saniye duraklayın.”
– David Brown Melbourne, Avustralya merkezli ödüllü bir teknoloji yazarıdır.
David’s Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan dünyanın en büyük güvenlik bilinci eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Güvenlik konusunda farkındalık eğitimine yönelik yeni bir okul yaklaşımıyla fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.