应对新兴网络安全威胁
了解如何最好地教育您的公司了解并打击网络钓鱼电子邮件和日历垃圾邮件等新兴的网络安全威胁。
最新的安全威胁已经出现 — 而且它就在我们的日历中。垃圾邮件发送者一直在发送包含链接的 Google 日历邀请,绕过收件箱并利用默认日历设置,允许邀请自动显示,无论是否被接受。我们与我们的风险和合规经理 Wes Andrues 聊了聊如何最好地教育您的公司了解新兴的社会工程安全威胁(如网络钓鱼或日历垃圾邮件),以及如何广泛了解有助于维护您的内部技术安全。
网络钓鱼不是黑客攻击——它更糟糕
虽然好莱坞希望我们相信“黑客”只需要一个人疯狂地在终端中输入命令,但由于“漏洞赏金”计划,这种漏洞已经在很大程度上(尽管不是完全)被消除了。韦斯这样解释:“漏洞赏金计划允许公司说,‘如果你发现我们的应用程序有问题,我们会付钱给你。不要试图入侵我们;只要告诉我们,我们就会付钱给你。’”
“社会工程学绕过了传统的黑客攻击,直接通过人类获取数据——事实证明这种方法更为有效。”
有些电子邮件质量很差,但很多都很有说服力,利用了我们现有的恐惧心理来……揭露我们!只需要一个人惊慌失措,社会工程学就能影响整个公司。
聪明人被社会工程学欺骗的典型案例是什么?约翰·波德斯塔。两年前。民主党全国委员会。“他点击了全世界都知道的更改密码链接,”韦斯说。“他是一名乔治敦大学毕业的律师,他上当了,所以你可以看出为什么社会工程学比黑客攻击更有机会。”
如何有效抵御安全威胁
如果社会工程攻击的目的是让我们相信我们已经暴露在风险中,那么作为一家公司,你该如何教育你的员工抵制自然的恐慌冲动呢?韦斯对此毫不含糊:
“你必须改变文化。”
“在 Baklib,我们通常会分享我们所看到的比较有趣的网络钓鱼电子邮件尝试 — — 这些邮件通常来自 Rick [Baklib 的首席执行官],他似乎一直需要我们的手机号码。这很有趣,但也不有趣。如果我们的一位 CSM 上当了,泄露了手机号码或电子邮件地址,然后用来联系我们的客户,那会怎么样?那将是一件大事。幸运的是,由于我们定期揭露这些威胁,我们能够谈论它们并互相传授新策略,使我们更有可能发现它们。”
公司甚至可以尝试网络钓鱼练习,允许自己的风险和合规团队发送虚假的网络钓鱼电子邮件,以查看公司中哪些人可能遭受真正的攻击,但这可能会削弱团队的信任。相反,在 Baklib,Wes 确保公司中的每个人都参加了 Google Jigsaw 网络钓鱼测验,以进行培训。
如何不打击安全威胁
“出于某种原因,在很多情况下,该行业的黄金标准是以被动的方式每年对员工进行安全‘培训’。每个人都观看视频或收到有关应对网络钓鱼风险的电子邮件,然后安全团队可以说,‘看,每个人都看过或读过这个,所以每个人都继续前进。’”
这种被动培训不一定能教会任何人如何应对攻击或如何主动识别这些威胁,尤其是在策略全年都在变化的情况下。您的风险和合规团队应与广大员工保持这种对话渠道,并确保这是一场持续的对话。
抵御网络钓鱼的最强防御措施
“归根结底,抵御网络钓鱼的最有力防御手段是保持健康的不信任,”韦斯解释道。在理想世界中,此类威胁不会存在,但既然它们确实存在,那么对我们依赖的工具保持适度的怀疑态度是真正保持警惕的唯一方法。
亲身体验 Baklib 平台的强大功能——参加我们的交互式产品之旅!
