نوآوری در مدیریت برای توسعه پایدار

Kolnegar Private Media (Management Innovation for Sustainable Development)

1 آذر 1403 8:03 ب.ظ

کارمندان بزرگترین تهدید امنیت سایبری شما هستند

کارمندان بزرگترین تهدید امنیت سایبری شما هستند

3 مه 2024- دنیس سایمکا-بخش‌های فناوری اطلاعات می‌توانند نرم‌افزار را به‌روزرسانی کنند، اما نمی‌توانند افراد را بهم وصله کنند.

بهداشت مناسب امنیت سایبری به طور طبیعی و مناسب در بحث‌های فناوری اطلاعات و مسائل فنی قرار می‌گیرد. نرم افزار را مرتباً وصله کنید. فایروال ها را حفظ کنید. سیستم های اعتماد صفر را بپذیرید. پیچ و مهره، مشکلات مکانیکی که آسیب پذیری شبکه داده و میزان آسیبی که بازیگران بد می توانند وارد کنند را محدود می کند.

اما بزرگترین نقطه ضعف شما ارگانیک است نه دیجیتال. از گوشت و خون ساخته شده است، نه از سیلیکون و یک و صفر. کارمندان شما بزرگترین حفره‌ها را در سیستم امنیت سایبری شما و احتمالاً سخت‌ترین حفره‌ها را به وجود می‌آورند.

Verizon این هفته گزارش تحقیقات نقض داده های 2024 خود (DBIR) را بر اساس تجزیه و تحلیل بیش از 30000 حادثه (امنیت به خطر افتاده) منتشر کرد که بیش از 10000 مورد از آنها منجر به نقض داده ها شده است که بین 1 نوامبر 2022 و 31 اکتبر 2023 رخ داده است.برای اینکه به شما در مورد غنای مجموعه داده های 2024 Verizon فکر کنید، گزارش سال گذشته به بیش از 16000 حادثه و کمی بیش از 5000 نقض مربوط می شد.

این گزارش تعاریف مفیدی از اصطلاحات صنعت امنیت سایبری ارائه می‌کند، بدترین بازیگران بد، مسیرهایی را که برای نفوذ به سیستم‌های داده استفاده می‌کنند و تاکتیک‌هایی که با موفقیت به کار می‌برند را شرح می‌دهد.

سال گذشته، ما بر آنچه گزارش در مورد اینکه چرا تولیدکنندگان چنین هدفی را برای حملات سایبری ارائه می‌کنند تمرکز کردیم: آنها تمایل به پرداخت هزینه دارند. اکنون، SEC علامت تعجب بسیار بزرگی را روی پیامدهای مالی بهداشت بد امنیت سایبری گذاشته است، بنابراین ما نیازی به این کار نداریم.

امسال با در دست داشتن DBIR وارد محیطی می‌شویم تا بزرگترین آسیب‌پذیری امنیت سایبری را بررسی کنیم که همه خوانندگان ما با آن سر و کار دارند، زیرا اگر کنترلی در مورد آن نداشته باشید، جهان و مهم‌تر از همه سرمایه‌گذاران متوجه خواهند شد.

چرا مردم مشکل هستند

بر اساس DBIR، تعداد نقض داده‌ها در سال گذشته که مربوط به یک عنصر انسانی بود، به همان تعداد گزارش شده در سال گذشته، 68 درصد است. مشکل بدتر نشده است، اما بهتر هم نشده است.

متأسفانه، بسیاری از سازمان‌ها هنوز پرداختن به عنصر انسانی را جدی نمی‌گیرند و در عوض احساس می‌کنند که می‌توانند بر کنترل‌های فنی تکیه کنند. به زبان ساده، هیچ کنترل فنی وجود ندارد که 100% موثر باشد، به همین ترتیب انسان ها، حتی کسانی که به خوبی آموزش دیده اند، گاهی اوقات مرتکب اشتباه می شوند. اریش کرون، مدافع آگاهی امنیتی در KnowBe4 می گوید: برای مقابله با تهدیدات مدرن، ترکیبی از کنترل های فنی و عنصر انسانی لازم است.مهندسی اجتماعی دومین عامل شایع نقض امنیت سایبری است که پاسخ دهندگان DBIR در سال 2023 تحت نفوذ سیستم قرار دادند.

مشکل فیشینگ، فریب دادن افراد به کلیک کردن روی لینک هایی که آنها را به وب سایت های مخرب هدایت می کند و درها را برای بدافزارها برای آلوده کردن سیستم باز می کند، همچنان در حال رشد است. بر اساس این گزارش، 31 درصد از حوادث مبتنی بر مهندسی اجتماعی مربوط به فیشینگ است و میانگین زمانی که طول می‌کشد تا کسی درگیر یک ایمیل فیشینگ شود، کمتر از 60 ثانیه است.

به بیان دیگر، اگر مردم بیش از یک دقیقه صرف تعجب کنند که چرا از آنها پرسیده می شود و توسط چه کسی روی یک پیوند کلیک کنند، افراد کمتری ممکن است به آن علاقه پیدا کنند.

بهانه گیری در مجموع 40 درصد از حوادث مبتنی بر مهندسی اجتماعی را تشکیل می دهد. یک بازیگر بد وانمود می کند که فردی قابل اعتماد است، مانند یک مافوق یا عضوی از تیم فناوری اطلاعات، اعتماد کاربر را جلب می کند و آنها را متقاعد می کند که اعتبار ورود خود را به اشتراک بگذارند.

تقریباً همه شرکت‌ها (و سازمان‌هایی مانند آموزش، سازمان‌های غیرانتفاعی، دولت‌های محلی برنامه‌های آموزشی و آگاهی از امنیت سایبری را اجرا می‌کنند که گاهی اوقات شامل شبیه‌سازی‌های حمله می‌شود که توانایی کارکنان را برای شناسایی حمله و پاسخ صحیح به آن آزمایش می‌کند. درو لیور، یکی از بنیانگذاران شرکت امنیت سایبری Coro می‌گوید: تقریباً تمام این برنامه‌های آگاهی و شبیه‌سازی کاملاً بر حملات فیشینگ متمرکز هستند.

ترس از پیروی نکردن دستورالعمل‌های ایمیل شده از سوی بازیگران بدی که خود را به عنوان مافوق ظاهر می‌کنند، می‌تواند کارمندان را وادار به ارائه مدارک کند. مدیریت باید اطمینان حاصل کند که کارمندان می دانند که شرکت در هنگام رعایت احتیاط از آنها حمایت می کند.

«هنگام  آموزش افراد، مطمئن شوید [آنها] می دانند که به دنبال محرک های عاطفی مانند فوریت یا ترس، یا حتی همدلی باشند، و به آنها آموزش دهید که چگونه «نه» یا «نه» بگویند تا زمانی که برخی چیزها را تأیید کنم. و روش حرفه ای می تواند به افراد کمک کند تا در برابر این تاکتیک های گاه تهاجمی که در حملات مهندسی اجتماعی استفاده می شوند، عقب نشینی کنند. کرون می‌گوید: «اگر کارمندان بدانند که رهبری آن‌ها در صورت نیاز به تأیید چیزی قبل از اقدام، از آنها حمایت می‌کند، می‌تواند به مردم کمک زیادی کند که از قاطعیت در برابر مهاجمان بالقوه نترسند».

بر اساس این گزارش، عوامل خارجی مجرمان سایبری که از تکنیک‌هایی مانند فیشینگ و بهانه‌گیری استفاده می‌کنند – باعث 65 درصد حوادث می‌شوند. اما بازیگران داخلی – افرادی که برای شرکت شما کار می کنند و دسترسی قانونی به داده های شما دارند – اکنون 35٪ از کل حوادث را تشکیل می دهند، در مقایسه با 20٪ در سال گذشته.

همه بازیگران داخلی از روی سوء نیت باعث حوادث امنیت سایبری نمی شوند. گاهی اوقات کارمندان اشتباهات بی‌گناهی با پیامدهای امنیتی بزرگ‌تری که درک نمی‌کنند مرتکب می‌شوند.

تعداد حوادث امنیت سایبری بر اساس خطاهای متفرقه به طور قابل توجهی نسبت به گزارش سال گذشته افزایش یافته است، اگرچه ورایزون خاطرنشان می‌کند که این افزایش ممکن است به دلیل افزایش حجم مجموعه داده‌های امسال نسبت به سال گذشته و سطح مشاهده داده‌های مشترک توسط تازه واردان باشد.

تحویل نادرست، ارسال چیزی به گیرنده اشتباه، 50 درصد از تمام حوادث امنیت سایبری مربوط به خطاهای متفرقه را تشکیل می دهد، همان دسته برتر در گزارش سال گذشته. به فیلد “to:” در ایمیل های خود توجه کنید.

با این حال، نوع کارکنان مسئول خطاهای متفرقه از سال 2023 به طور قابل توجهی تغییر کرد. کاربران نهایی 87 درصد از این اشتباهات را تشکیل می دهند و گزارش سال گذشته تنها 20 درصد از حوادث ناشی از خطا را به گردن کاربران نهایی انداخت. بخش فناوری اطلاعات در سال 2024 تنها 11 درصد از حوادث مبتنی بر خطا را در اختیار می گیرد.

«سازمان‌ها [باید] رابطه‌ای بین مدیران، تیم‌های امنیتی و کارمندان ایجاد کنند، جایی که کارمندان احساس راحتی می‌کنند اشتباهاتی را که ممکن است مرتکب شده‌اند گزارش کنند. حتی در مورد اشتباهات صادقانه، هرچه مشکل سریعتر گزارش شود، سریعتر می توان اشتباه را کاهش یا اصلاح کرد. بسیاری از فرهنگ‌های سازمانی اشتباهات صادقانه را به گونه‌ای مجازات می‌کنند که کارمندان سعی می‌کنند خطا را بپوشانند، به جای درخواست کمک برای رفع آن.

کارمندان ناراضی امنیت سایبری را به خطر می اندازند

امسال، وقتی مشکلی را که homo sapiens به یکپارچگی داده‌های شما ارائه می‌کند، گزارش می‌کند، DBIR نقض‌های مبتنی بر انسان را که شامل «سوءاستفاده از امتیازات» است، مانند یک کارمند ناراحت با دسترسی قانونی به سیستم‌ها، جدا می‌کند. این فقط نمی تواند بخش منابع انسانی باشد که مراقب کارمندان بیگانه باشد.

«اغلب علائمی وجود دارد که خودی ها بدخواه می شوند و سرکش می شوند. … رهبران و مدیران، و همچنین همکاران، باید مراقب رفتارهای عجیب و غریب یا تلاش برای دسترسی به سیستم‌ها یا اطلاعاتی باشند که معمولاً در طول وظایف خود به آنها نیاز ندارند.»

لیور می‌خواهد شرکت‌ها بدانند که مشاهده دیجیتال، نه فقط گوش دادن به شکایات یا تماشای نافرمانی، نیز اهمیت دارد.

رفتار غیرعادی را زیر نظر بگیرید. از ابزارهای امنیت سایبری رفتاری برای شناسایی الگوهای غیرعادی در دسترسی به داده ها، دانلودها، صادرات و غیره استفاده کنید. احتمال اینکه چنین رفتاری با اهداف مخرب همراه باشد بسیار زیاد است و به همین دلیل باید فوراً علامت گذاری شده و به آن پاسخ داده شود.

تشخیص خطر پنیر سوئیسی امنیت سایبری انسانی همچنین هنگام در نظر گرفتن خطری که توسط شرکت های شریک با دسترسی به شبکه شما ارائه می شود، اهمیت دارد. بر اساس DBIR 2024، 15٪ از کل نقض داده ها مربوط به شخص ثالث است، در حالی که در سال 2023 9٪ بود. این افزایش 68٪ نسبت به سال گذشته است.

Kiran Chinnagangannagari، مدیر ارشد محصول و فناوری در Securin، می‌گوید که شرکت‌ها روش‌های استاندارد زیادی برای ارزیابی بهداشت امنیت سایبری اشخاص ثالث دارند، مانند چارچوب امنیت سایبری NIST

«این چارچوب‌ها بهترین شیوه‌های امنیت سایبری را ترسیم می‌کنند و امکان ارزیابی خود را فراهم می‌کنند. Chinnagangannagari می‌گوید: این پرسشنامه‌ها می‌توانند موضوعاتی مانند تقسیم‌بندی شبکه و کنترل‌های دسترسی، مدیریت وصله‌ها و شیوه‌های مدیریت آسیب‌پذیری، شیوه‌های احراز هویت و مجوز، روش‌های رمزگذاری و ذخیره‌سازی داده‌ها، پاسخ به حادثه و برنامه‌های بازیابی فاجعه را پوشش دهند.

پل کیویکینک، معاون محصول و اتحاد در Comcast Technology Solutions، DataBee، می‌گوید ارزیابی خطرات امنیت سایبری ارائه شده توسط اشخاص ثالث، تلاشی مداوم را نشان می‌دهد.

“خوشبختانه، در اکثر سازمان های سازمانی، ارزیابی بهداشت امنیتی شخص ثالث به یک روش استاندارد و بخشی از انجام تجارت عادی تبدیل شده است. جایی که این نیاز به تکامل دارد، حرکت از ارزیابی ریسک شخص ثالث در یک مقطع زمانی به یک مدل مستمرتر به مدیریت ریسک است. شکی نیست که این یک مشکل سخت است و فناوری های خودکار بیشتری وجود دارند که این شکاف را پر می کنند. اما همانطور که در بسیاری از نقض‌ها دیده‌ایم، عنصر انسانی اضافی مدیریت ریسک‌های پیمانکاران، شرکا و فروشندگان همچنان یک چالش چند وجهی برای بسیاری از سازمان‌ها است.”

تمرکز بر تولید

بخش تولید در مجموع حوادث امنیت سایبری در رتبه چهارم قرار دارد، زیر بخش های مدیریت دولتی، مالی و حرفه ای و در رتبه پنجم برای نقض در بخش های آموزشی، حرفه ای، مراقبت های بهداشتی و مدیریت دولتی قرار دارد. گاهی دویدن در سر دسته چیز خوبی است.

نفوذهای سیستم و مهندسی اجتماعی دو الگوی حمله برتر علیه تولیدکنندگان را تشکیل می دهند. انگیزه های مالی به شدت محرک هستند .

https://www.industryweek.com

آیا این نوشته برایتان مفید بود؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *