3 مه 2024- دنیس سایمکا-بخشهای فناوری اطلاعات میتوانند نرمافزار را بهروزرسانی کنند، اما نمیتوانند افراد را بهم وصله کنند.
بهداشت مناسب امنیت سایبری به طور طبیعی و مناسب در بحثهای فناوری اطلاعات و مسائل فنی قرار میگیرد. نرم افزار را مرتباً وصله کنید. فایروال ها را حفظ کنید. سیستم های اعتماد صفر را بپذیرید. پیچ و مهره، مشکلات مکانیکی که آسیب پذیری شبکه داده و میزان آسیبی که بازیگران بد می توانند وارد کنند را محدود می کند.
اما بزرگترین نقطه ضعف شما ارگانیک است نه دیجیتال. از گوشت و خون ساخته شده است، نه از سیلیکون و یک و صفر. کارمندان شما بزرگترین حفرهها را در سیستم امنیت سایبری شما و احتمالاً سختترین حفرهها را به وجود میآورند.
Verizon این هفته گزارش تحقیقات نقض داده های 2024 خود (DBIR) را بر اساس تجزیه و تحلیل بیش از 30000 حادثه (امنیت به خطر افتاده) منتشر کرد که بیش از 10000 مورد از آنها منجر به نقض داده ها شده است که بین 1 نوامبر 2022 و 31 اکتبر 2023 رخ داده است.برای اینکه به شما در مورد غنای مجموعه داده های 2024 Verizon فکر کنید، گزارش سال گذشته به بیش از 16000 حادثه و کمی بیش از 5000 نقض مربوط می شد.
این گزارش تعاریف مفیدی از اصطلاحات صنعت امنیت سایبری ارائه میکند، بدترین بازیگران بد، مسیرهایی را که برای نفوذ به سیستمهای داده استفاده میکنند و تاکتیکهایی که با موفقیت به کار میبرند را شرح میدهد.
سال گذشته، ما بر آنچه گزارش در مورد اینکه چرا تولیدکنندگان چنین هدفی را برای حملات سایبری ارائه میکنند تمرکز کردیم: آنها تمایل به پرداخت هزینه دارند. اکنون، SEC علامت تعجب بسیار بزرگی را روی پیامدهای مالی بهداشت بد امنیت سایبری گذاشته است، بنابراین ما نیازی به این کار نداریم.
امسال با در دست داشتن DBIR وارد محیطی میشویم تا بزرگترین آسیبپذیری امنیت سایبری را بررسی کنیم که همه خوانندگان ما با آن سر و کار دارند، زیرا اگر کنترلی در مورد آن نداشته باشید، جهان و مهمتر از همه سرمایهگذاران متوجه خواهند شد.
چرا مردم مشکل هستند
بر اساس DBIR، تعداد نقض دادهها در سال گذشته که مربوط به یک عنصر انسانی بود، به همان تعداد گزارش شده در سال گذشته، 68 درصد است. مشکل بدتر نشده است، اما بهتر هم نشده است.
متأسفانه، بسیاری از سازمانها هنوز پرداختن به عنصر انسانی را جدی نمیگیرند و در عوض احساس میکنند که میتوانند بر کنترلهای فنی تکیه کنند. به زبان ساده، هیچ کنترل فنی وجود ندارد که 100% موثر باشد، به همین ترتیب انسان ها، حتی کسانی که به خوبی آموزش دیده اند، گاهی اوقات مرتکب اشتباه می شوند. اریش کرون، مدافع آگاهی امنیتی در KnowBe4 می گوید: برای مقابله با تهدیدات مدرن، ترکیبی از کنترل های فنی و عنصر انسانی لازم است.مهندسی اجتماعی دومین عامل شایع نقض امنیت سایبری است که پاسخ دهندگان DBIR در سال 2023 تحت نفوذ سیستم قرار دادند.
مشکل فیشینگ، فریب دادن افراد به کلیک کردن روی لینک هایی که آنها را به وب سایت های مخرب هدایت می کند و درها را برای بدافزارها برای آلوده کردن سیستم باز می کند، همچنان در حال رشد است. بر اساس این گزارش، 31 درصد از حوادث مبتنی بر مهندسی اجتماعی مربوط به فیشینگ است و میانگین زمانی که طول میکشد تا کسی درگیر یک ایمیل فیشینگ شود، کمتر از 60 ثانیه است.
به بیان دیگر، اگر مردم بیش از یک دقیقه صرف تعجب کنند که چرا از آنها پرسیده می شود و توسط چه کسی روی یک پیوند کلیک کنند، افراد کمتری ممکن است به آن علاقه پیدا کنند.
بهانه گیری در مجموع 40 درصد از حوادث مبتنی بر مهندسی اجتماعی را تشکیل می دهد. یک بازیگر بد وانمود می کند که فردی قابل اعتماد است، مانند یک مافوق یا عضوی از تیم فناوری اطلاعات، اعتماد کاربر را جلب می کند و آنها را متقاعد می کند که اعتبار ورود خود را به اشتراک بگذارند.
تقریباً همه شرکتها (و سازمانهایی مانند آموزش، سازمانهای غیرانتفاعی، دولتهای محلی برنامههای آموزشی و آگاهی از امنیت سایبری را اجرا میکنند که گاهی اوقات شامل شبیهسازیهای حمله میشود که توانایی کارکنان را برای شناسایی حمله و پاسخ صحیح به آن آزمایش میکند. درو لیور، یکی از بنیانگذاران شرکت امنیت سایبری Coro میگوید: تقریباً تمام این برنامههای آگاهی و شبیهسازی کاملاً بر حملات فیشینگ متمرکز هستند.
ترس از پیروی نکردن دستورالعملهای ایمیل شده از سوی بازیگران بدی که خود را به عنوان مافوق ظاهر میکنند، میتواند کارمندان را وادار به ارائه مدارک کند. مدیریت باید اطمینان حاصل کند که کارمندان می دانند که شرکت در هنگام رعایت احتیاط از آنها حمایت می کند.
«هنگام آموزش افراد، مطمئن شوید [آنها] می دانند که به دنبال محرک های عاطفی مانند فوریت یا ترس، یا حتی همدلی باشند، و به آنها آموزش دهید که چگونه «نه» یا «نه» بگویند تا زمانی که برخی چیزها را تأیید کنم. و روش حرفه ای می تواند به افراد کمک کند تا در برابر این تاکتیک های گاه تهاجمی که در حملات مهندسی اجتماعی استفاده می شوند، عقب نشینی کنند. کرون میگوید: «اگر کارمندان بدانند که رهبری آنها در صورت نیاز به تأیید چیزی قبل از اقدام، از آنها حمایت میکند، میتواند به مردم کمک زیادی کند که از قاطعیت در برابر مهاجمان بالقوه نترسند».
بر اساس این گزارش، عوامل خارجی مجرمان سایبری که از تکنیکهایی مانند فیشینگ و بهانهگیری استفاده میکنند – باعث 65 درصد حوادث میشوند. اما بازیگران داخلی – افرادی که برای شرکت شما کار می کنند و دسترسی قانونی به داده های شما دارند – اکنون 35٪ از کل حوادث را تشکیل می دهند، در مقایسه با 20٪ در سال گذشته.
همه بازیگران داخلی از روی سوء نیت باعث حوادث امنیت سایبری نمی شوند. گاهی اوقات کارمندان اشتباهات بیگناهی با پیامدهای امنیتی بزرگتری که درک نمیکنند مرتکب میشوند.
تعداد حوادث امنیت سایبری بر اساس خطاهای متفرقه به طور قابل توجهی نسبت به گزارش سال گذشته افزایش یافته است، اگرچه ورایزون خاطرنشان میکند که این افزایش ممکن است به دلیل افزایش حجم مجموعه دادههای امسال نسبت به سال گذشته و سطح مشاهده دادههای مشترک توسط تازه واردان باشد.
تحویل نادرست، ارسال چیزی به گیرنده اشتباه، 50 درصد از تمام حوادث امنیت سایبری مربوط به خطاهای متفرقه را تشکیل می دهد، همان دسته برتر در گزارش سال گذشته. به فیلد “to:” در ایمیل های خود توجه کنید.
با این حال، نوع کارکنان مسئول خطاهای متفرقه از سال 2023 به طور قابل توجهی تغییر کرد. کاربران نهایی 87 درصد از این اشتباهات را تشکیل می دهند و گزارش سال گذشته تنها 20 درصد از حوادث ناشی از خطا را به گردن کاربران نهایی انداخت. بخش فناوری اطلاعات در سال 2024 تنها 11 درصد از حوادث مبتنی بر خطا را در اختیار می گیرد.
«سازمانها [باید] رابطهای بین مدیران، تیمهای امنیتی و کارمندان ایجاد کنند، جایی که کارمندان احساس راحتی میکنند اشتباهاتی را که ممکن است مرتکب شدهاند گزارش کنند. حتی در مورد اشتباهات صادقانه، هرچه مشکل سریعتر گزارش شود، سریعتر می توان اشتباه را کاهش یا اصلاح کرد. بسیاری از فرهنگهای سازمانی اشتباهات صادقانه را به گونهای مجازات میکنند که کارمندان سعی میکنند خطا را بپوشانند، به جای درخواست کمک برای رفع آن.
کارمندان ناراضی امنیت سایبری را به خطر می اندازند
امسال، وقتی مشکلی را که homo sapiens به یکپارچگی دادههای شما ارائه میکند، گزارش میکند، DBIR نقضهای مبتنی بر انسان را که شامل «سوءاستفاده از امتیازات» است، مانند یک کارمند ناراحت با دسترسی قانونی به سیستمها، جدا میکند. این فقط نمی تواند بخش منابع انسانی باشد که مراقب کارمندان بیگانه باشد.
«اغلب علائمی وجود دارد که خودی ها بدخواه می شوند و سرکش می شوند. … رهبران و مدیران، و همچنین همکاران، باید مراقب رفتارهای عجیب و غریب یا تلاش برای دسترسی به سیستمها یا اطلاعاتی باشند که معمولاً در طول وظایف خود به آنها نیاز ندارند.»
لیور میخواهد شرکتها بدانند که مشاهده دیجیتال، نه فقط گوش دادن به شکایات یا تماشای نافرمانی، نیز اهمیت دارد.
رفتار غیرعادی را زیر نظر بگیرید. از ابزارهای امنیت سایبری رفتاری برای شناسایی الگوهای غیرعادی در دسترسی به داده ها، دانلودها، صادرات و غیره استفاده کنید. احتمال اینکه چنین رفتاری با اهداف مخرب همراه باشد بسیار زیاد است و به همین دلیل باید فوراً علامت گذاری شده و به آن پاسخ داده شود.
تشخیص خطر پنیر سوئیسی امنیت سایبری انسانی همچنین هنگام در نظر گرفتن خطری که توسط شرکت های شریک با دسترسی به شبکه شما ارائه می شود، اهمیت دارد. بر اساس DBIR 2024، 15٪ از کل نقض داده ها مربوط به شخص ثالث است، در حالی که در سال 2023 9٪ بود. این افزایش 68٪ نسبت به سال گذشته است.
Kiran Chinnagangannagari، مدیر ارشد محصول و فناوری در Securin، میگوید که شرکتها روشهای استاندارد زیادی برای ارزیابی بهداشت امنیت سایبری اشخاص ثالث دارند، مانند چارچوب امنیت سایبری NIST
«این چارچوبها بهترین شیوههای امنیت سایبری را ترسیم میکنند و امکان ارزیابی خود را فراهم میکنند. Chinnagangannagari میگوید: این پرسشنامهها میتوانند موضوعاتی مانند تقسیمبندی شبکه و کنترلهای دسترسی، مدیریت وصلهها و شیوههای مدیریت آسیبپذیری، شیوههای احراز هویت و مجوز، روشهای رمزگذاری و ذخیرهسازی دادهها، پاسخ به حادثه و برنامههای بازیابی فاجعه را پوشش دهند.
پل کیویکینک، معاون محصول و اتحاد در Comcast Technology Solutions، DataBee، میگوید ارزیابی خطرات امنیت سایبری ارائه شده توسط اشخاص ثالث، تلاشی مداوم را نشان میدهد.
“خوشبختانه، در اکثر سازمان های سازمانی، ارزیابی بهداشت امنیتی شخص ثالث به یک روش استاندارد و بخشی از انجام تجارت عادی تبدیل شده است. جایی که این نیاز به تکامل دارد، حرکت از ارزیابی ریسک شخص ثالث در یک مقطع زمانی به یک مدل مستمرتر به مدیریت ریسک است. شکی نیست که این یک مشکل سخت است و فناوری های خودکار بیشتری وجود دارند که این شکاف را پر می کنند. اما همانطور که در بسیاری از نقضها دیدهایم، عنصر انسانی اضافی مدیریت ریسکهای پیمانکاران، شرکا و فروشندگان همچنان یک چالش چند وجهی برای بسیاری از سازمانها است.”
تمرکز بر تولید
بخش تولید در مجموع حوادث امنیت سایبری در رتبه چهارم قرار دارد، زیر بخش های مدیریت دولتی، مالی و حرفه ای و در رتبه پنجم برای نقض در بخش های آموزشی، حرفه ای، مراقبت های بهداشتی و مدیریت دولتی قرار دارد. گاهی دویدن در سر دسته چیز خوبی است.
نفوذهای سیستم و مهندسی اجتماعی دو الگوی حمله برتر علیه تولیدکنندگان را تشکیل می دهند. انگیزه های مالی به شدت محرک هستند .
