Gradnja varnostne kulture, ki dejansko deluje

Vecina vdorov vkljucuje clovesko napako. Industrijska porocila dosledno kazejo, da so phishing, zloraba poverilnic in socialni inženiring med vodilnimi vektorji napadov iz leta v leto. Kljub temu vecina varnostnih proracunov tece v tehnologijo: požarne zidove, zascito koncnih tock, platforme SIEM. Te so pomembne, a ne morejo nadomestiti delovne sile, ki klikne na vsako povezavo, ponovno uporablja gesla in varnost vidi kot problem nekoga drugega. Po osemnajstih letih testiranja organizacij sem iz prve roke videl, kako kultura doloca, ali tehnicne kontrole uspejo ali odpovedujejo.

Kaj ne deluje

• Letno usposabljanje za skladnost - Enkrat letna predstavitev s kvizom nauci ljudi opraviti kviz, ne prepoznati groženj. Usposabljanje za skladnost odkljuka polje, a redko spremeni vedenje. Kompromitiral sem organizacije s socialnim inženiringom v tednih po zakljucku njihovega letnega usposabljanja.
• Obtoževanje uporabnikov za klikanje povezav - Ko je odziv na phishing klik kazen, ustvarite kulturo prikrivanja. Ljudje prenehajo porocati sumljiva sporocila. V eni organizaciji so zaposleni, ki so kliknili mojo phishing povezavo, izbrisali dokaze in nikomur nicesar povedali, kar je zakasnilo zaznavo za vec dni.
• Sporocila, ki temeljijo na strahu - "Hekerji bodo unicili vse" ustvarja tesnobnost brez izvedljivih usmeritev. Ljudje ali postanejo ohranjeni ali se izklopijo, ker se grožnja zdi abstraktna. Noben odziv ne izboljsa varnosti.
• Genericna ozavescevalna vsebina - Gotovi video posnetki o nejasnih grožnjah ne odmevajo. Razvijalec mora razumeti varno kodiranje. Clan financne ekipe mora prepoznati goljufije z racuni. Genericna vsebina ne uspe povezati varnosti z dejanskim delom ljudi.

Kaj deluje

• Naredite relevantno - Pokažite resnicne primere iz vase industrije. Med sejami o ozavescenosti delim anonimizirane zgodbe iz dejanskih projektov: kako je phishing sporocilo vodilo do popolne kompromitacije omrežja, kako je ponovno uporabljeno geslo omogocilo dostop do obcutljivih sistemov. Resnicne zgodbe ustvarijo trajne vtise, ki jih genericni diapozitivi nikoli ne bodo.
• Naredite enostavno - Zmanjsajte trenje za varno vedenje. Ce porocanje sumljivega sporocila zahteva navigacijo skozi tri menije, ljudje tega ne bodo storili. Dajte jim gumb za porocanje z enim klikom. Namestite upravljalnik gesel. Izberite resitve MFA, ki uravnotežijo varnost z uporabnostjo. Vsakic, ko olajsate varnost, se posvojitev poveca.
• Prepoznajte dobro vedenje - Nagradite ljudi, ki porocajo sumljivo dejavnost, tudi ce gre za lazni alarm. V eni organizaciji so zaceli podeljevati mesecno priznanje "Varnostni prvak" in v sestih mesecih so se stopnje porocanja phishinga povecale za tristo odstotkov.
• Vodite z zgledom - Vodstvo mora slediti istim pravilom. Ce direktor zahteva izjeme od politike gesel, se to sporocilo razširi skozi celotno organizacijo. Videl sem podjetja z loceno, manj restriktivno politiko za vodstvo, in predvidljivo so vsi ostali varnost obravnavali kot neobvezno.

Prakticni koraki

1. Simulirani phishing s takojsnjo povratno informacijo - Izvajajte mesecne phishing simulacije s konstruktivno povratno informacijo ob kliku. Ne kazen, ampak izobraževanje: "Tukaj je tisto, kar ste spregledali, tukaj je, kako to naslednjic prepoznati." Sledite metrikam za identifikacijo skupin, ki potrebujejo dodatno podporo.
2. Jasni, preprosti mehanizmi porocanja - Namestite gumb za porocanje phishinga v odjemalcu poste. Zagotovite, da se porocila pregledajo in da porocevalci prejmejo povratno informacijo. Nic ne ubije kulture porocanja hitreje kot mehanizem, ki ne pelje nikamor.
3. Redna, kratka varnostna sporocila - Tedenski varnostni nasveti in kratke posodobitve o grožnjah. Ohranite jih na dve do tri minute branja z eno izvedljivo tocko. Doslednost je pomembnejsa od obsega.
4. Usposabljanje za dolocene vloge - Financne ekipe naj vadijo prepoznavanje kompromitacije poslovne poste. Razvijalci naj prejmejo usposabljanje o varnem kodiranju. IT administratorji naj razumejo upravljanje pravic in zaznavo napadov. Ciljno usposabljanje za specificne grožnje vsake vloge.

Merjenje spremembe kulture

Sledite stopnjam klikov phishing simulacij, spremljajte obseg porocil o sumljivi dejavnosti in merite cas med kompromitacijo in zaznavo v vajah. Ce stopnje klikov padajo in stopnje porocanja narascajo, se vasa naložba obrestuje. Ce so stevilke stagnirale, spremenite pristop.

Dolgorocna igra

Gradnja varnostne kulture ni projekt s koncnim datumom, ampak trajna zaveza. Iz izkusenj vam lahko povem, da so organizacije z mocno varnostno kulturo dramaticno težje kompromitirati. Med penetracijskimi testi je razlika ocitna: v organizacijah s slabo kulturo pridobim poverilnice prek socialnega inženiringa v prvem dnevu. V organizacijah z mocno kulturo zaposleni porocajo o mojih poskusih in opozorijo varnostno ekipo. To je pravo merilo varnostne kulture, ki deluje.