Kendi güvenliğinizi sabote etmeyin, kullanıcılarınızı eğitin

Bir kimlik avı e-postasını ilk gördüğümde 2000 yılında döndüğümde, şu anda PCMag'in İşletme Editörü olan Oliver Rist ile bir test projesi üzerinde çalışırken. Bir sabah ikimiz de e-postanın gövdesi olan “Seni Seviyorum” başlıklı e-postaları aldık ve bir ek vardı. İkimiz de anında e-postanın sahte olması gerektiğini biliyorduk çünkü dergi editörleri olarak kimsenin bizi sevmediğini biliyorduk. Eke tıklamadık. Aslında insan güvenlik duvarı gibi davranıyorduk. Görüşte sahte bir e-posta tanıdık ve içeriğini bilgisayarlarımıza ve ağın geri kalanına yaymak yerine silmek istedik.

O zaman bile, buna benzer saldırılara hacker setinin "sosyal mühendislik" adı verildi. Bugün, phishing e-postaları muhtemelen bu tür bir istismarın en iyi bilinen sürümüdür. Genelde güvenlik bilgilerini engellemeye yöneliktir, ancak başka tür kötü amaçlı yazılımlar, özellikle de fidye yazılımları da sunma yeteneğine sahiptirler. Ancak, saldırının kesinlikle dijital olmaktan ziyade fiziksel olduğu yerler de dahil olmak üzere, phishing dışında başka türlerde sosyal mühendislik saldırıları olduğunu belirtmek gerekir.

İnsanlar: Hala Önde Gelen Bir Saldırı Vektörü

Kimlik avı e-postalarının bu kadar yaygın olarak bilinmesinin nedeni çok yaygın olmalarıdır. Şimdiye dek, bir e-posta hesabı olan herhangi bir kişinin bir noktada kimlik avı e-postası alacağını söylemek doğru olur. E-posta, sık sık bankanızdan, kredi kartı şirketinizden veya sık kullandığınız başka bir işletmeden geliyor gibi görünüyor. Ancak, kimlik avı yapan e-postalar, saldırganlar çalışanlarınızı size karşı kullanmaya çalışırken, kurumunuz için de bir tehdit oluşturabilir. Bu saldırının ilk bir başka sürümü, saldırganların meşgul şirketlerin ödemeleri için sunmalarını umarak, büyük şirketlere asla verilmeyen hizmetler için bir faturayı faksla göndermeleri durumunda, fakslamanın altın çağı sırasında geldi.

Kimlik avı şaşırtıcı derecede etkilidir. Geçtiğimiz yıl 560 veri ihlaline bakan hukuk firması BakerHostetler'in yaptığı bir araştırmaya göre, phishing bugün veri güvenliği olaylarının önde gelen nedeni.

Ne yazık ki, teknoloji kimlik avı saldırılarıyla yetinmedi. Kötü amaçlı e-postaları filtrelemek için tasarlanmış bir dizi güvenlik aygıtı ve yazılım paketi varken, kimlik avı e-postaları gönderen kötü adamlar, saldırılarının çatlaklardan geçmesini sağlamak için çok çalışıyorlar. Cyren tarafından yapılan bir araştırma, e-posta taramasının kötü amaçlı e-posta bulmada yüzde 10, 5'lik bir başarısızlık oranına sahip olduğunu gösteriyor. Küçük ve orta ölçekli bir işletmede bile (SMB), birçok e-posta ekleyebilir ve bir sosyal mühendislik saldırısı içeren herhangi biri kuruluşunuz için bir tehdit oluşturabilir. Ve son nokta koruma önlemlerinizle gizlice sızmayı başaran çoğu kötü amaçlı yazılımda olduğu gibi genel bir tehdit değil, aynı zamanda özellikle en değerli verilerinizi ve dijital kaynaklarınızı hedef alan daha uğursuz tür.

İnsan kaynakları (İK) profesyonellerinin güvenlik bilincini öğretmelerine yardımcı olabilecek bir şirket olan KnowBe4'ün kurucusu ve CEO'su Stu Sjouwerman ile bir görüşme sırasında Cyren raporunda uyarıldım. "İnsan güvenlik duvarı" terimini ortaya çıkaran ve aynı zamanda "insan korsanlığı" ndan bahseden Sjouwerman'dı. Önerisi, kuruluşların, personelinizi sorunu çözmek için de dahil edecek şekilde tutarlı bir eğitimle sosyal mühendislik saldırılarının etkililiğini önleyebileceği veya azaltabileceği yönünde.

Tabii ki, birçok kuruluşun güvenlik bilinci eğitimi oturumları vardır. Büyük olasılıkla eski kahvenin eski donutlarla eşleştirildiği toplantıların birçoğunda bulunduğunuz sırada İK tarafından kiralanan bir müteahhit, kimlik avı e-postaları için düşmemenizi söyleyerek 15 dakika harcadı - aslında ne olduklarını söylemeden ya da ne yapmaları gerektiğini açıklamadan birini bulduğunu düşünüyorsun. Evet, bu toplantılar.

Sjouwerman'ın önerdiği şey daha iyi sonuç verir, inceleyebileceğiniz gerçek kimlik avı e-postalarına erişebileceğiniz etkileşimli bir eğitim ortamı oluşturmaktır. Belki de herkesin hecelenen heceleme gibi phishing e-postalarına işaret eden faktörleri görmeye çalıştığı veya neredeyse gerçek görünen adresleri ya da incelemede anlamlı gelmeyen talepleri (derhal transfer edilmesini isteme gibi) bir grup çabasına bilinmeyen bir alıcıya şirket fonları).

Sosyal Mühendisliğe Karşı Savunma

Ancak Sjouwerman ayrıca birden fazla sosyal mühendislik türü olduğuna da dikkat çekti. KnowBe4 web sitesinde, şirketlerin çalışanlarının öğrenmelerine yardımcı olmak için kullanabilecekleri bir dizi ücretsiz araç sunmaktadır. Ayrıca, şirketlerin sosyal mühendislik saldırılarıyla mücadele etmek için atabilecekleri dokuz adımı da önerdi.

• Çalışanlarınızı, gördüklerinde sosyal mühendislik saldırılarını tanıma konusunda eğiterek bir insan güvenlik duvarı oluşturun.
• Çalışanlarınızı parmak uçlarında tutmak için sık sık, benzetilmiş sosyal mühendislik testleri yapın.
• Kimlik avı güvenlik testi yapın; Knowbe4'te ücretsiz bir tane var.
• CEO dolandırıcılığı için uyanık olun. Bunlar, saldırganların CEO veya diğer üst düzey subaylardan gelen sahte bir e-posta oluşturdukları ve acil olarak para transferi gibi eylemleri yönlendiren saldırılardır. KnowBe4'ten ücretsiz bir araç kullanarak alanınızın sahte olup olmadığını kontrol edebilirsiniz.
• Çalışanlarınıza benzetilmiş kimlik avı e-postaları gönderin ve bu bağlantı tıklandığında sizi uyaracak bir bağlantı ekleyin. Hangi çalışanların işe yaradığını takip edin ve bir kereden fazla çalışanlara eğitim verin.
• Çalışanlarınızdan harekete geçmeye çalışan mesajların bırakıldığı bir tür sesli posta sosyal mühendisliği olan “vishing” e hazırlıklı olun. Bunlar kolluk kuvvetleri, İç Gelir Servisi (IRS) ve hatta Microsoft teknik desteğinden gelen çağrılar gibi görünebilir. Çalışanlarınızın bu aramaları yanıtlamamalarını bildiğinden emin olun.
• Çalışanlarınızı "metin phishing" veya "SMiShing (SMS phishing)", e-posta phishing gibi ancak metin mesajlarıyla uyarın. Bu durumda, bağlantı, cep telefonlarından irtibat listeleri gibi hassas bilgileri almak için tasarlanabilir. Arkadaşlarından gelmiş gibi görünseler bile, kısa mesajlardaki bağlantılara dokunmama konusunda eğitilmelidirler.
• Evrensel Seri Veri Yolu (USB) saldırıları şaşırtıcı derecede etkilidir ve hava boşluklu ağlara nüfuz etmenin güvenilir bir yoludur. Çalışma şekli, birinin USB bellek çubuğunu tuvaletler, otoparklar veya çalışanlarınızın uğrak yerlerinde yattıkları yerlerde bırakması; Belki de sopa üzerinde logo ya da etiketler vardır. Çalışanlar onları kullanışlı bir bilgisayara bulduğunda ve eklediğinde - ve eğer başka türlü öğretilmezse yapacaklardır - o zaman üzerlerindeki kötü amaçlı yazılım ağınıza girer. Stuxnet kötü amaçlı yazılımı İran nükleer programına bu şekilde girmiştir. Knowbe4'ün bunu test etmek için ücretsiz bir aracı var.
• Paket saldırısı da şaşırtıcı derecede etkilidir. Burası birileri bir sürü kolla (ya da bazen pizzalarla) ortaya çıkıyor ve teslim edilmelerini istiyor. Bakmazsanız, yakındaki bir bilgisayara bir USB aygıtı kaydırırlar. Çalışanlarınızın simüle edilmiş saldırılar yaparak eğitilmeleri gerekir. Onları bunun için eğiterek ve sonra doğru yaparlarsa pizzaları paylaşarak teşvik edebilirsiniz.

Gördüğünüz gibi, sosyal mühendislik gerçek bir meydan okuma olabilir ve istediğinizden çok daha etkili olabilir. Bununla savaşmanın tek yolu, çalışanlarınızı bu tür saldırıları tespit etmek ve dışarıya çağırmak için aktif olarak meşgul etmektir. Doğru yapıldığında, çalışanlarınız işlemden gerçekten keyif alacaklar - ve belki de ücretsiz pizza alabilecekler.