什么是如何做的网络钓鱼?

网络钓鱼和矛网络钓鱼正在增加问题。单击巧妙的诱惑得到比以往更复杂的更复杂和更多的目标。数据泄露成本正在安装。您的组织可以做些什么来接受网络钓鱼意识和对新级别的反应?

by / August 30, 2015

察觉ing

shutterstock / wk1003mike.

您可能听说过从中流动的严重安全问题 电子邮件察觉诈骗. 全球的安全团队现在正在高度警报,关于他们的企业内的网络钓鱼尝试以及针对关键员工的目标矛网络钓鱼攻击。         

有什么明显的是,糟糕的家伙是获得未经授权访问敏感数据的方法是窃取您的登录密码或其他授权凭据。简而言之,他们希望您的系统访问。  

为什么使用顶级黑客技术?网络钓鱼通常是对坏人的最小阻力的路径,以便在没有被检测的情况下获得他们想要的敏感数据。如果他们可以成为您,他们可以随着时间的推移慢慢窃取数据,并在他们深入进入网络时覆盖他们的曲目。

甚至莎士比亚仍然追溯到几个世纪以来,人们是安全的最薄弱的联系。 这个 CSO 杂志文章 积分在剧中揭示的社会工程弱点 奥赛罗.

所以一旦你点击那个坏链接,接下来会发生什么?受欢迎的网络犯罪技术包括隐藏的恶意软件下载到您的系统上,将键盘电动机放在PC上以捕获击键或使用不同形式的赎金软件通过加密数据并要求数据以便为数据进行苛刻的现金来击败受害者的现金。

并以防你没有’获得备忘录,在本月使用网络钓鱼攻击开始的主要数据漏洞故事的条款是在月份上增长。以下是一些样本:

索尼黑客使用网络钓鱼电子邮件来欺诈公司网络

调查人员嫌疑人违反了‘Phishing’ of Employees

供应商的电子邮件攻击在目标上设置违规行为

网络钓鱼 scam breach compromises data of 39K (在大型德克萨斯医院网络中)

新的矛网络钓鱼运动假装是eff

我可以继续下去。甚至有一个主要的国家政府的例子,越过岁月,例如专业 南卡罗来纳州的数据泄露突发,开始了网络钓鱼攻击

一旦黑客在你的系统内,就像 OPM违规时间表 指出,让内部网络中的入侵者非常困难。周围的问题“他们还做了什么” always linger.

网络钓鱼攻击后的恢复成本很高:新的Ponemon Institute报告显示为什么

为了向火灾添加燃料,Ponemon Institute的刚刚发布的报告将从成功的网络钓鱼攻击恢复的平均成本为300,000美元。 

SecurityLedger.com. 这对新报告说:

“损失的生产率是成功的网络钓鱼攻击的最大成本驱动因素,而清理和事件答复占修复的大部分成本 根据Ponemon的说法恶意软件攻击’s report, 网络钓鱼的成本&员工培训的价值。对于报告,Ponemon在一系列组织中调查了377个IT安全员工。 ” 

tripwire.com提供了此报价 在Larry Ponemon的报告中:“根据Ponemon的说法,采用有效培训计划的公司在网络钓鱼电子邮件点击率中平均提高了64%’■概念验证研究。”

因此,为我们带来了重要的问题:什么可以,应该是为了加强我们的安全防御和保护和培训我们的人民反对网络钓鱼攻击?发生事故时,您的员工如何回应?

典型的意识培训答复

作为我’在过去一年中,我常常在世界上旅行,我经常与公共和私营部门的安全和技术领导人讨论他们所面临的许多不同的网络安全问题。虽然每个人似乎对网络钓鱼和矛的观点都有意见,但在与员工的实际在地面实际上有很大的差异。

与其他安全领域一样,有领导者,采用者和滞后。出奇, 2014年一项研究 表明,超过一半的企业员工尚未收到任何意识培训。 (这个百分比对我来说太高,但是让’s move on.)

从落后者开始,我听到喜欢的话“去过那里,做了T恤。”这个群体刚刚’似乎了解这一严重,不断发展的网络钓鱼问题的紧迫性。

如果您可以使用以下方式简化此问题,您可能在此组中:“我只是告诉我的客户不要点击任何未经请求的电子邮件链接。”可悲的是,这比大喊大叫更有效,“做正确的事,”对十几岁的孩子。

在这个底层小组中的其他人辩论了意识培训的优点,并可能声称它提供了最小的价值,即使有 否则提出大量数据.

在下一个(中间)组中,有一个合规性心态。这种态度并不差,但也不足以改变行为。

我不再感到惊讶,那些只想要他们能找到最便宜的认识培训。许多人有一个“check the box”心态。虽然他们肯定关心并想要做正确的事,但他们不’T想要求更多预算或打击其他IT基础架构优先事项。他们一直在做同样的事情–即使它没有工作。正如您所希望的那样,他们努力获得不同的结果或改变安全文化。

该组可以提供“death by PowerPoint,”过时的材料,无聊的内容或者再次教相同的东西。虽然安全视频有时会有所帮助,但远离陈旧材料的积极步骤,但观看年度视频通常不是正确的答案。工作人员使用频繁,参与和个性化的交互式内容来学习。此外,一个好的计划包含多个通信渠道和各种实时提醒(如组研讨会或棕袋午餐)。

内部网络钓鱼练习辩论

许多组织通过对其员工进行测试并发送诱惑员工的家庭成长的PHISH,旨在查看员工是否会点击。这个“phish your own staff”技术可以有效降低整体点击率。这种方法也是获得安全指标的流行方式,因为很容易知道电子邮件来自您自己的安全团队的人员点击多少人点击。

进一步取下这一点,越来越多的趋势正在使用“just in time”为那些人训练“fail”然后单击内部生成的网络钓鱼链接。一些组织迫使人员在考试鼠标落下时致力于认知行为治疗课程。 

但是,其他组织说"no"到内部网络钓鱼活动,因为他们觉得它产生了一种降低对安全团队或管理层的信任的氛围。这种内部网络钓鱼过程可以灌输恐惧,当然会受到关注。但是,如果没有正常管理和小心,这个过程只能成为绩效评估的罚款"demerit"做错事。 

遗憾的是,一些击中自己的工作人员的组织仍然与员工的安全意识培训做得糟糕。他们未详细地显示员工,并且不应该在移动设备到云计算到创建(以及不共享)密码的云计算的网络钓鱼和其他在线安全主题。

侧面注意:我认为这些网络钓鱼测试自己的员工可以成为成功信息安全意识计划的好事,但不应该是中央焦点。如果你确实管理这些网络钓鱼练习,请不要’t落入了成为陷阱“Dr. No” –这是避免的主要CISO陷阱。 有关更多详细信息,请参阅此脉冲文章中的第1页.

安全意识领导者

一些领导团体在做什么?是 更多的提示 帮助打击我们的严重网络钓鱼挑战。

1)      提供有效,有吸引力的安全意识培训。 关于网络钓鱼的安全意识培训可能很有趣。简要介绍,频繁和专注。教员工实用的事情是关于网络钓鱼活动他们不’T已经知道,让他们使用有意义的真实例子来练习。

使用游戏化技术。挑战和支持人员通过鼓励家庭和工作的正确行为来做得更好,并建立一个掠夺者意识的文化。在家庭中捆绑是获得员工关注的好方法。让您的安全意识成为一个推动者 “大使好。”

对于国家和地方政府,使用 海报,日历和其他材料可通过 MS-ISAC工具包。这些免费物品对10月份即将到来的网络安全意识月非常有帮助。还, StaveSaueonline.org. 是一个伟大的想法资源。 

这里’s a 来自Marie White的相关报价,安全导师总裁,今年早些时候的2015年Verizon Bracal报道。

“有效,参与,最终用户培训至关重要,而不仅仅是为了阻止员工点击恶意链接或放弃敏感的访问或信息。训练有素的员工知道该怎么做以及如何做到这将有助于识别前线上的问题,并且整体成为最好的网络防守。

此外,安全事件不仅是因为网络钓鱼而发生的。我们可以被淘汰来相信防止网络钓鱼是一切,但与云,BYOD和丢失的设备相关的风险有很大的风险,以及其他新技术总是在地平线上。社交媒体访问工作也在使问题变得更加复杂,问题正在增长。”

2)      鼓励报告PHISH。 您的员工是否知道当他们收到PHISH(以任何形式)做什么?没有单击或删除肯定比单击更好,但报告也是必不可少的。当员工点击时,你想要诚实,所以你可以快速有效地响应。 (这就是为什么躲藏点击可能是一个问题。)

创建一个电子邮件框,如:phish@company.org或infint@yourstate.gov。您是否培训了Cyber​​ reams,以便实时查看这些电子邮件,以确保从所有内部电子邮件邮箱中删除危险的PHISH并让其他人知道?

当我是密歇根州CSO时,我们建立了这样的电子邮件盒,在向所有员工推出良好的网络钓鱼意识培训后,员工的收入消息数量近100倍。 (此事件是在我们已经将95%的传入电子邮件中介绍到状态为垃圾邮件或恶意软件之后。)

有一次,一个特别讨厌的Phish,如果你点击了,那么被破坏性的恶意软件下载,一周内由员工转发给我们的团队。我们的正常流程删除了来自数千名员工的电子邮件,并阻止了昂贵且耗时的主要含量。这是一个Phish事件响应行动在记录的恢复成本中节省了超过50美元的50美元。

3)      确保网络钓鱼是差不多的电子邮件。 员工了解网络钓鱼可以来自电话或短信吗?如前所述,坐在他们旁边的人甚至可以“phish”输入密码。 (这是 爱德华斯诺登在NSA做了什么,以获得其他员工凭证。)

例如,几个月前,我接到了一个通话通知我我有“为我的家人赢了一个免费的巡航。”当呼叫者经历了一个诱人的选项清单时,我扮演“free extras.”在电话中约有10分钟,该人希望我的信用卡号码“processing charges.”我拒绝了,让他知道我不知道他真的是谁。

类似的技术用于假装“Microsoft support”或假的帮助台电话。坏人使用聪明的技术来掩饰他们的真实动机。你在家训练这些东西吗?

4)      制定一个良好的互联网响应计划。 当发现PHISH时,您的Cyber​​ ream是什么,需要安全事件响应?是一个含有含有的人响应计划吗?

NIST提供此事件处理指南 对于安全事件。你可以 在这里向美国证书报告网络钓鱼诈骗。这 反网络钓鱼工作组(APWG) 还有要使用的想法,准则和有用的报告工具。

总之,我刚从加利福尼亚州回来,我提供了一个昼龙 建立成功信息安全意识计划的研讨会 基于NIST 800-50和800-16(基于角色的意识培训)和政府最佳实践。这是一个伟大的谈话,几个好,坏和丑陋“phish stories”共享。这些问题很困难,但解决方案是真实的。

有关更多信息,我提供更多信息 安全意识呢’s and don’ts in this blog –从2014年回来时我是密歇根州CSO。

It’是一个持续的挑战,但唐’t take the bait.

最重要的是,分享您如何抵制,报告您的网络钓鱼故事。

 


永远不会错过每日Govtech今天的故事时事通讯。

订阅


丹洛姆曼 安全Mentor Inc.的首席安全官兼首席战略师

Daniel J. Lohrmann是一个国际公认的网络安全领导者,技术专家,主题演讲者和作者。

在他杰出的职业生涯中,他在各种行政领导能力方面担任了公共和私营部门的全球组织,接受了众多国家奖项,包括:今年的CSO,今年公共官员和计算机世界总理100 IT领导者。
Lohrmann领导密歇根政府’从2002年5月到2014年5月的C网络安全和技术基础设施团队,包括企业全社会首席安全官(CSO),首席技术官(CTO)和密歇根州的首席信息安全官员(CISO)角色。

他目前担任首席安全官(CSO)和安全Mentor Inc.的首席战略家,他正在领导安全导师的发展和实施’S业界领先的网络培训,咨询和讲习班,为公共和私营部门的最终用户,管理人员和高管。他建议了白宫,国家州长协会(NGA),国家CIOS(Nascio),美国国土安全部(DHS),联邦,州和地方政府机构,财富500强公司,小企业和非营利机构。

他在计算机行业拥有30多年的经验,从国家安全局开始他的职业生涯。他在英格兰工作了三年,作为洛克希德马丁(前任Loral Aerspace)的高级网络工程师,并四年是美国/英国军事设施中曼特国际曼特国际技术总监。

Lohrmann是两本书的作者: 虚拟诚信:忠实地导航勇敢的新网站BYOD for You:带上自己的设备的指南。 他是来自南非的全球安全和技术会议的主题演讲者,到迪拜以及来自华盛顿,D.C.,莫斯科。

他掌握了巴尔的摩约翰霍普金斯大学的计算机科学(CS)的硕士学位,以及印第安纳州瓦尔帕莱索大学的CS学士学位。

在推特上关注Lohrmann: @govcso.
 

E.Republic平台& Programs