Büyük bir çekiciliği olan büyük bir vaat. Tüm siber güvenlik ihtiyaçlarınızı karşılayacak, güvenlik sorunlarınızı tek seferde çözecek hızlı ve basit bir düzeltme sözü verilen siber güvenlik dünyasında bunu çok duyuyorsunuz.
Yapay zeka tabanlı bir araç, yeni bir üstün yönetim aracı veya başka bir şey olabilir ve muhtemelen vaat ettiği şeyde oldukça etkili olacaktır.
Ama tüm siber güvenlik sorunlarınız için gümüş bir kurşun mu? Hayır. Siber güvenliğin gerçekten en büyük zorluğu olan insanın eylemleri için kolay, teknoloji odaklı bir çözüm yok.
En iyi savunmalarınızın ne kadar modern olduğunun bir önemi yok. Çevre güvenlik duvarları, çok katmanlı oturumlar, çok faktörlü kimlik doğrulama, AI araçları – bunların tümü, sıradan olmayan bir departmandan Bob bir e-postadaki bir kimlik avı bağlantısını tıkladığında kolayca etkisiz hale gelir.
Bu kimseye haber değil
Hepimiz bunu daha önce duyduk. İnsanların siber güvenlik stratejisinde önemli bir kusur olduğu gerçeği pek haber değil – ya da en azından haber olmamalı. Ancak Uber’e veya Rockstar Games’e sistemlerinin sosyal mühendislik açısından güvenli olup olmadığını sorun.
Her iki şirket de çok yakın zamanda ihlal edildi, çünkü bir bilgisayar korsanı bir çalışanı her en iyi güvenlik uygulamasına karşı bir şeyler yapması için kandırdı ki, kandırılan kişinin BT güvenliği hakkında herhangi bir haber duyup duymadığını merak ediyorsunuz.
Bu çalışanın herhangi bir siber güvenlik eğitimi alıp almadığını bile merak edebilirsiniz.
Her iki durumda da başarılı saldırı, son teknoloji araçları kullanan ve henüz açıklanmayan güvenlik açıklarından yararlanan çok karmaşık bir saldırgan içermedi.
Tek gereken basit bir sosyal mühendislik mesajıydı – “Hey Bob, ben BT ekibindenim ve PC’nizde bir şeyi kontrol etmemiz gerekiyor, bu yüzden size çalıştırmanız için bir araç gönderiyorum. aşağıdaki bağlantı.”
Yine de öğrenmiyoruz
Sosyal mühendislik, 20 yıldan fazla bir süre önce bilgisayar korsanlığı için bir itici güçtü ve görünüşe göre hala ondan uzaklaşmadık.
Yaralanmalara hakareti de ekleyen başarılı sosyal mühendislik, teknik olmayan organizasyonlarla sınırlı değildir.
Örneğin, durgun bir hükümet departmanındaki bilgisiz bir kullanıcının sosyal mühendisliğe düşmesi çok makul, ancak önde gelen bir teknoloji firmasında çalışan biri çok daha az – ve hem Uber hem de Rockstar Games’in sosyal mühendislikten etkilendiğini görüyoruz.
Bir noktada, kullanıcılarınızı eğitme ve onların (ve dolayısıyla organizasyonun) maruz kaldıkları risklerin farkında olmalarını sağlama sorumluluğuna sahip bir siber güvenlik pratisyeni olarak, iş arkadaşlarınızın kelimenin tam anlamıyla gerçek olana kanmayı bırakacağını düşünürdünüz. hack oyun kitabındaki en eski numara.
Kullanıcıların eğitim sırasında dikkat etmemesi veya başka şeylerle çok meşgul olması, birisinin neye tıklayıp tıklayamayacakları hakkında söylediklerini hatırlayamayacak kadar olasıdır.
Bununla birlikte, sosyal mühendislik saldırıları, yalnızca siber güvenlik haberlerinde değil, kamuoyunda o kadar tutarlı bir şekilde yer aldı ki, “E-posta bağlantılarına tıklamamam gerektiğini bilmiyordum” bahanesini kabul etmek giderek zorlaşıyor.
Mesajı güçlü bir şekilde pekiştirin – tek seçeneğiniz bu
İnsan davranışının siber güvenlik etkileri için sihirli bir çözüm yoktur.
İnsanlar hata yapacak ve insanların tekrar tekrar hata yaptığı hayatın her alanında olduğu gibi, eğitimi güçlendirmek gerçekten tek seçeneğiniz.
Uber ve Rockstar Games gibi teknoloji meraklısı şirketler bunu yanlış anlayabilirse, başkalarının da başına gelebilir. Sahip olduğunuz tek seçenek, sıkı eğitim programları aracılığıyla her çalışana siber güvenlik en iyi uygulamalarını etkilemektir.
Eğitime ihtiyaç duyanlar sadece kullanıcılar değil – yama, izinler ve genel güvenlik konumlandırmasını ele alarak bu uygulamaları güvenlik ekibinizde de güçlendirmelisiniz.
Kötü bir gün geçiren bir kullanıcının, dünyanın uzak bir yerindeki birinin yalnızca o web sitesini ziyaret etmesi halinde onlara milyonlarca dolar vermeye çalıştığını vaat eden bir bağlantıya tıklama riski her zaman olacaktır.
Ancak, siber güvenliğe yönelik her yaklaşımda olduğu gibi, bu riski en aza indirmeye ve azaltmaya odaklanılmalıdır. Sürekli pekiştirmek ve eğitmek en iyi savunmanızdır.
Not: Bu makale tarafından yazılmıştır ve sponsorluğundadır. TuxCarekurumsal düzeyde endüstri lideri Linux otomasyonu. TuxCare, geliştiriciler, BT güvenlik yöneticileri ve Linux sunucu yöneticileri siber güvenlik operasyonlarını uygun maliyetli bir şekilde geliştirmeyi ve basitleştirmeyi hedefliyor. TuxCare’in Linux çekirdeği canlı güvenlik düzeltme eki ve standart ve gelişmiş destek hizmetleri bir milyondan fazla üretim iş yükünün güvence altına alınmasına ve desteklenmesine yardımcı olur.