微软研究人员在本月发布了一份新报告,引起轰动,该报告显示,在过去一年中,鱼叉式网络钓鱼尝试已翻了一番,从占举报的网络钓鱼邮件总数的0.31%增至2019年9月的0.62%。网络钓鱼攻击具有很高的针对性,并利用黑客收集的个人信息来欺骗高价值员工,使其单击恶意链接或打开恶意附件。
该报告显示,黑客变得如此精巧,以至于精通技术的高管也被欺骗了。尽管今年对医疗保健组织,领先的零售商店,金融服务乃至初创企业的网络钓鱼攻击达到了空前的水平,但大多数企业仍然将整个生态系统数据安全的重担放在他们最薄弱的环节上:员工。
这使我提出一个问题-可以期望一个没有武装的银行柜员单手阻止抢劫吗?可能不会。但是,在大多数现代企业中,员工仍然处于预防的中心。根据IBM的一项研究,人为错误是造成95%的网络安全漏洞的原因。换句话说,如果完全以某种方式消除了人为错误,那么20个网络违规事件中就不会发生19个。而且仅需一个hack就可以构成一个完整的生态系统,并有可能破坏品牌的声誉。
因此,让我们分解一下黑客针对组织的各个级别使用的不同策略,为什么当前的防御策略不起作用,并提供有关高科技公司如何更好地保护自己的建议:
哪些组织受到的威胁最大?
很容易假设黑客仅针对“大票”大型组织,但事实并非如此。较小的企业可能没有那么有价值的数据,但它们的安全性预算也较低。最近的研究表明,有43%的网络攻击针对的是小型企业,并且创始人平均需要六个月的时间才能意识到他们已经受到了攻击。
中小型企业和初创企业更容易受到侵害,并且通常用于获得对更高价值目标的后门访问权。因为黑客经常攻击早期的初创公司,作为访问与这些组织进行通信的银行,风险投资公司或服务提供商(例如律师或公关公司)的网关。
哪些员工风险最大?
微软报告中最令人难忘的要点之一是,具有多年经验的高层管理人员被越来越多的巧妙攻击所愚弄。
网络钓鱼攻击变得比以往更具针对性。黑客将对高管人员进行调查-他们将追踪社交媒体帐户,以查看他们参加的活动,查看他们在照片中标记的人以及在Linkedin上找到的照片。然后,他们利用这些个人信息使目标首先被点击,然后再思考,并给出恰如其分的定时上下文消息,例如:“嘿,在X大会上见到您真是太棒了,基于我们的聊天,您可能会发现这很有用”
但是一个常见的误解是,这些“高价值”目标始终是风险最高的。虽然高级管理人员,人力资源或财务专业人员可以提供对高度敏感的客户和企业数据的访问权限,这些数据可以在暗网上以很便宜的价格出售,但这些专业人员也最有可能精通网络安全预防技术。
根据我的经验,看到黑客只需要一个切入点即可危害整个组织,因此他们往往会费时费力,并且从公司层次结构的最底层开始。他们首先使用社会工程学瞄准低级,经验不足的员工,然后使用“横向网络钓鱼”技术来访问许多员工的通信。
然后,他们要做的就是玩等待游戏,直到其中一名员工通过电子邮件与“高价值”目标进行沟通,从而为黑客提供了罢工的机会。他们将选择正确的电子邮件(例如,请求报告的电子邮件)并放入恶意文件或链接。
为什么教育解决方案不完善?
KnowBe4今年又筹集了3亿美元的资金,而Wombat在2018年以2.25亿美元的价格被收购的事实表明,公司内部对安全意识工具的需求很大。有关网络钓鱼检测,密码卫生和新风险的培训非常重要。需要明确的是,公司应该使用这些工具来培训其员工。
但是,如果没有为用户提供个性化且可行的反馈,则存在训练疲劳设置的风险。大多数领先的模拟工具都会以不安全的方式通知管理人员有关员工的举止,但实际上并不能实时纠正用户。同样,在社会工程学时代,当攻击变得过于人格化时,几乎不可能为员工提供标准化的“警告标志”。
Vade Secure首席解决方案架构师Adrien Gendre在接受TNW的最新采访时表示:“对员工的单击内容进行培训是有用的,但仅当前的培训形式是不够的。当攻击者每几个月不断更改其技术时,它几乎没有用。需要对其进行上下文化,以便员工在看到恶意内容时就可以识别它们。”
由于仍有多达80%的安全漏洞归咎于人为错误,因此人们不得不质疑安全培训工具的有效性。领先的提供商希望在经过一年的培训后,能够将对潜在有害内容的点击次数从平均30%降低到2%。但是,在拥有数百或数千名员工的大型组织中,这一很小的百分比仍然可能带来巨大的风险。毕竟,妥协整个系统只需要犯一个错误。
如何真正消除人为错误的风险
我认为,真正捍卫企业的唯一方法是减轻员工对网络防御的负担。
雇用CISO是一个好的开始。CISO在说服领导层对风险的严重性以及确保为培训和购买安全解决方案分配足够的预算方面发挥着重要作用。他们也有资格开展个性化的员工培训,重点是针对特定工作角色的小规模可行措施。
CISO可以每月发送一次提醒以更改密码,并教团队如何实施诸如多因素身份验证(MFA)或单点登录(SSO)之类的措施,从而使员工可以专注于其主要职责而不会损害安全性。对于预算较大的企业,生物识别登录(使员工可以用手指触摸或眼睛扫描来登录设备)也被证明是有效的。
但是,企业最终需要采用能够自动关闭攻击的新兴技术,即使分心的员工试图单击链接以查看最近会议的照片也是如此。使用NLP,机器学习和机器视觉AI的新解决方案可以自动检测,标记和阻止来自最常见攻击策略的恶意软件或网络钓鱼的潜在漏洞。
高价值目标(例如医疗保健提供商)正越来越多地推出AI解决方案,以同时使用云解决方案和端点防御工具减轻他们本已忙碌的员工的网络安全负担。毕竟,如果数百个端点不安全,那么保持网络安全就没有任何意义。
2019年对于网络钓鱼攻击来说是可怕的一年,但现在由于来自Microsoft等组织的报告,网络钓鱼和恶意软件攻击的威胁比以往任何时候都更加清晰。现在,企业有责任创建网络安全文化,这种文化可以使员工了解风险并教会他们如何使策略领先于黑客,但有意识地避免将员工置于预防中心。
因为确实,如果您不喜欢汤姆·克兰西的小说,那么价值数百万美元的关键数据库的防御是否应该只属于一个人?