В большинстве учебных программ приоритет отдается важным основам осведомленности о безопасности, таким как обучение сотрудников фишингу, но многие, к сожалению, преподают свои уроки в неинтересных и неэффективных форматах. Семинары и лекции главы отдела кибербезопасности вряд ли окажут влияние на сотрудников, ориентированных на бизнес, вот почему сегодняшние успешные программы способствуют геймификации и стратегиям микрообучения.
Новости о взломе не попали в заголовки газет, поскольку у Kaiser не было доказательств того, что злоумышленники разглашали конфиденциальные данные пациентов, такие как номера кредитных карт, информацию социального страхования и медицинские записи. Компании повезло, что это нарушение не привело к закрытию ее бизнеса. Аналогичное нарушение вынудило стартап myNurse закрыть свои двери ранее в этом году. Хотя Kaiser не ответил на запросы о более подробной информации, эксперты по безопасности пришли к выводу, что это нарушение было результатом фишинговой кампании, которая также, вероятно, включала вброс учетных данных. В этих атаках злоумышленники выдают себя за надежные источники и убеждают сотрудников вводить конфиденциальную информацию. Компрометация деловой электронной почты остается одной из крупнейших угроз кибербезопасности в настоящее время. Это также основополагающий элемент обучения безопасности. Тот факт, что сотрудник Kaiser попался на фиш, несмотря на прохождение обучения, указывает на то, что программы компании имеют много возможностей для улучшения.
Злоумышленник получил доступ с помощью комбинации социальной инженерии и фишинга. По данным компании, злоумышленник получил пароль подрядчика Uber (вероятно, на темном веб-форуме) после бомбардировки их запросами многофакторной аутентификации (MFA). MFA требует, чтобы пользователи вводили свой пароль и подтверждали ключ, доставленный на другое устройство, например телефон. Подрядчик раскрыл свой ключ, чтобы остановить волну запросов МИД. Злоумышленник выдавал себя за внутреннего технологического работника и в конечном итоге получил доступ к системам Uber, предоставив им полный доступ к данным. Этот эпизод показывает, насколько сложные и, казалось бы, надежные методы обеспечения безопасности, такие как MFA, неадекватны без надлежащего обучения сотрудников. В дополнение к обучению сотрудников методам обеспечения безопасности, компании также должны сообщать о многих возможных последовательностях нарушений, чтобы у сотрудников был шанс их распознать.
Однако эксперты по безопасности и журналисты получили такие данные, как номера гостевых комнат, номера корпоративных кредитных карт и имена членов летного экипажа авиакомпании. В этом последнем инциденте злоумышленник использовал социальную инженерию, чтобы обманом заставить сотрудника предоставить им доступ к базам данных Marriott. Хотя скомпрометированный пользователь не имел доступа к высокочувствительным системам в сети Marriott, потеря конфиденциальной информации 400 человек является значительной. Хотя подробностей мало, злоумышленник, вероятно, использовал методы, аналогичные взлому Uber, обманув сотрудника, выдавая себя за кого-то выше по корпоративной лестнице. Хотя программы обучения безопасности часто предупреждают сотрудников об этом типе атаки, тот факт, что сотрудник Marriott не отреагировал должным образом, указывает на недостаточную эффективность обучения.
В заявлении Spirit Super говорится, что широкая фишинговая кампания отправляла сотрудникам по электронной почте подделанные версии официальной страницы компании, заставляя их переходить по вредоносной ссылке. После нажатия сотрудник вводил конфиденциальную информацию, предоставляя злоумышленникам доступ к своему почтовому ящику и связанным с ним данным. Как и в случае с Uber, злоумышленники обошли протоколы MFA, заставив сотрудника раскрыть ключ аутентификации, иллюстрируя, как некоторые программы обучения безопасности значительно недооценивают атаки социальной инженерии. Хотя нарушение не было значительным с точки зрения полученных записей, были раскрыты данные клиентов, такие как номера банковских счетов и идентификационная информация.
В рамках этой кампании злоумышленники отправляли электронные письма с призывом на работу в почтовые ящики сотрудников банка, предлагая лучшие должности и оплату. Чтобы электронные письма выглядели подлинными, злоумышленники использовали другие подлинные адреса электронной почты в других банках. Электронные письма побуждали жертв загружать вредоносное ПО на свои компьютеры, потенциально предоставляя злоумышленникам доступ к системным файлам и другим конфиденциальным данным. HP Wolf Security, фирма, которая раскрыла эти атаки, отметила, что, хотя фишинг не является изощренным методом атаки, сотрудники продолжают попадаться на них. Очевидно, что обучение фишингу нуждается в обновлении.
Обучение кибербезопасности должно идти в ногу с этими методами, и организации должны переосмыслить, как они проводят учебные программы. | |
| |
Просмотров: 147 | |