💥 Det er enkelt å beskytte seg mot løsepengeangrep!
IT-sikkerhet. Cybersecurity. Forretningssikkerhet. Resilience. You name it, mange ord.
Phishing er ingen fare for domenekontrolleren…..
✳️ Å beskytte verdier i samme rekkefølge som angrep skjer er sårbart. Vi jobber bakvendt…. Man MÅ starte med verdiene og bygge sikkerheten derifra og utover. Phishing er ingen fare for domenekontrolleren…..
Hva står vi overfor? Er det phishing som er faren for business? Nope, phishing er en av flere teknikker/metoder for å nå det endelige målet. Phishing har i mange år vært det største initielle angrepsvektor og har vært “naturlig” å gi mye fokus i sikkerhetsarbeidet.
“The idea of prioritizing awareness was very much predicated on research itself. There were some studies in the 2000s and 2010s that explored this notion that teaching awareness is the path forward to protect users. There’s so much psychology and cognitive science research that also says the same. So a lot of security professionals were bringing it into the security realm and saying, ‘We just need to make users aware.’”
“In 2021, researchers from the Department of Computer Science at ETH Zurich performed a study against 14,000 employees of a large company. Over a span of 15 months, they sent those employees simulated phishing emails with embedded educational material. When one of them fell for the trick, they were presented with advice on how to spot malicious emails.
In the end, the tips did not improve employees’ ability to suss out real-life phishing emails. In fact, it actually had an unexpectedly regressive side effect: for having been exposed to the training, employees reported feeling safer online, seeing that their company was investing in cyber protections. Ironically, they ended up more likely to fall for bad emails.”
Jeg sier IKKE at man skal slutte å trene mennesker, for det er et av lagene i sikkerhetsmodellen, men hvor mye tid og ressurser er fornuftig å bruke på det? Hvilken reell verdi kan man forvente å få ut av det. Det vil aldri bli 0% klikk. Mennesker vil alltid klikke, og det er noe altfor få tar på høyeste alvor. Start med verdiene, sikre utover. Ta høyde for at folk klikker og adressér det. Ta høyde for at uvedkommende kommer seg inn, og adressér det.
Når trening av mennesker ligger i den månedlige agendaen, men:
MFA mangler på administratorer Segmentering mangler Least Privilege er ikke på plass inngående Dekryptering er ikke på plass Administrator rettigheter er ikke fjernet på PC’er Servere er ikke hardnet VG testen er ikke adressert Logging er ikke satt i system Overvåking er ikke på plass Leverandører er ikke revidert fra et sikkerhetsståsted og jeg kan fortsette.
➡️ Dette er mer vanlig enn uvanlig. Altfor mange jobber usmart, bruker verdifull tid, penger og ressurser på mindre verdifulle tiltak, til stadighet.
‼️ “Alle” har bevissthetstrening på den månedlige sikkerhetsagenden, men de færreste har løsepengeangrep på samme agenda, og da har man en tikkende bombe.
https://www.darkreading.com/endpoint-security/phishing-training-doesnt-work
Leave a Reply