دانلود ما گزارش عمق: راهنمای نهایی برای شرکت های امنیت فناوری اطلاعات فروشندگان
صرف نزدیک 100 تریلیون دلار سال در امنیت سایبری و با وجود آن را پیچیده امنیتی دفاع یک لین ضعیف k کارکنان باقی می ماند آسیب پذیری عمده.
بسیاری از حملات توسط فایروال ها و نقطه پایانی امنیت محصولات و راه حل های حفاظت پیشرفته تهدید متوقف اما نوعی scammers نگه گرفتن گذشته این و دیگر دفاع. به عنوان خسته کننده، به عنوان آن را گران درجه سازمانی امنیت راه حل های کاملا محافظت از داده های شرکت و کارگران شکست، تکنولوژی کاملا مقصر نیست. بررسی 2017 از فن آوری امنیتی اطلاعاتی نشان داد که تقریبا یک سوم (30 درصد) از کارکنان چه فیشینگ است نمی دانم. به مسائل بدتر، ransomware مفهوم ناشناخته به تقریبا دو سوم کارگران است.
چه کسی برای این دولت متاسفم امور است؟ کارفرمایان هستند، تا حدی.
چند سال پیش، همکاران مدیریت سازمانی (EMA) انجام یک نظرسنجی که یافت که بیش از نیم (56 درصد) از کارکنان آن کارمندان و متخصصان امنیت شمارش نیست آموزش آگاهی امنیت را دریافت کرده بود. و زمانی که آنها دریافت آموزش، هیچ تضمینی وجود ندارد که آن را نگه دارید وجود دارد. تنها حدود نیمی (48 درصد) گفت که سازمان آنها را اندازه گیری اثربخشی آموزش. https://o1.qnsr.com/log/p.gif?;
. اول، هر چند، بیشتر در خطرات امروز چهره کارگر معمولی دفتر را حس که خود بزرگترین آسیب پذیری های دروغ است.
امنیت بالا کارمند فیشینگ و ransomware
نگرانی خود را به عنوان ابزار بهره وری صندوق ایمیل به هر دو برکت و لعنت ثابت شده است.
در میان انواع حملات است که کارگران اغلب برای سقوط “فیشینگ فیشینگ نیزه یا whaling” شماره یک به گفته Dan Lohrmann ما که امنیت آگاهی آموزش دهنده امنیت مربی است.
“به یاد داشته باشید که فیشینگ با کلیک کردن بر روی لینک در ایمیل، بلکه از طریق رسانه های اجتماعی و حتی تماس های تلفنی مردم رخ می دهد,” گفت: Lohrmann. همچنین، مردم هنوز هم پیوست از غریبه ها باز هستند، وی افزود. مهندسی اجتماعی شامل اصل باهم با استفاده از پست الکترونیک و یا تماس تلفنی برای دسترسی به سیستم محافظت شده و یا اطلاعات از طریق فریب در حال اجرا. در مورد نیزه فیشینگ یا whaling هر دو شرایط برای بیشتر هدف تلاش در scamming افراد پر ارزش مهم مقدار قابل توجهی از تلاش می توانید بروید به قربانیان را فریب دهد.
لنس کجا Spitzner مدیر امنیت آگاهی در موسسه SANS هشدار داد که scammers مانند استفاده از مهندسی اجتماعی به قربانیان خود را توجه به پرش و گرفتن قلب مسابقه.
“شایع ترین تاکتیک سایبر حمله استفاده ایجاد احساس ضرورت، تزریق و یا عجله مردم به اشتباه” که در آن گفت: Spitzner. “این تماس تلفنی وانمود که در آن مهاجم به IRS بیان خود مالیات عقب افتاده است و شما حق دور پرداخت خواستن يا تظاهر به رئیس خود شما ارسال یک ایمیل فوری فریب شما را به اشتباه می تواند باشد.”
تحقیقات از Cofense خانه به برنامه شبیه سازی PhishMe نشان می دهد که کارگران تمایل به نگهبان خود را هنگامی که پول درگیر است.
از نيمه اول سال 2018 شبیه سازی تهدید فعال این شرکت نشان داد که که ‘متصل فاکتورها درخواست پرداخت’، “تایید پرداخت” و “اشتراک نوشتار” باقی می ماند مشکل برای کاربران برای اجتناب از گفت: جان رابینسون “Lex”, ضد فیشینگ و اطلاعات امنیتی استراتژیست که Cofense. او گفت: “این مدل شامل تبادل پول موضوع عاطفی متهم است که elicits پاسخ قوی”.
برخی از حمله بسیار برای سرقت اطلاعات ارزشمند اهمیتی نمی دهند. در عوض، آنها استفاده از نرم افزارهای مخرب است که فایل های قربانی را رمزگذاری می کند و آنها را نگه می دارد گروگان بدون همیشه انتقال داده ها. آنها باج برای کلید رمزنگاری است که بازیابی دسترسی به پرونده ها را از این رو ransomware مدت تقاضا.
بیش از یک چهارم (26 درصد) از ransomware حملات کاربران کسب و کار ضربه در 2017، بر اساس گزارش از آزمايشگاه Kaspersky بین سه ماهه دوم سال ۲۰۱۶ دوم و چهارم از 2017 کوچک و پرداخت بیش از $300 میلیون به ransomware حمله midsized و کسب و کار, بنابر یک بررسی از داده ها پشتیبان گیری متخصص Datto.
“Ransomware و فیشینگ کاربران رایج ترین حملات در حال سقوط، همچنان” مشاهده، راب کلاید، صندلی است ISACA و رئیس اجرایی امنیت ابر سفید. “علاوه بر این، اغلب آسان تر به حملات ransomware با استفاده از پول است که کانديداها.”
شیوه های حفاظت داده های خوب، ویژه حفظ پشتیبان گیری منظم باعث می شود ransomware بیشتر زحمت از حادثه cripplingly گران امنیت سایبری اگرچه فناوری اطلاعات امنیت تیم ها و مدیران خواهد شد به احتمال زیاد دست خود را کامل مطابق با اصول بهداشتی سیستم های آسیب دیده.
کارمند امنیت تاکتیک آگاهی است که کار
مانند نبرد دشوار بنظر می رسد اما راه های کسب و کار می تواند کارکنان خود را در برابر این اسلحه وجود دارد و استفاده از سایر روش های غیر مستقیم حمله اومدی کسب و کار از اطلاعات حساس و یا پول نقد خود را.
چه به نظر در هنگام ارزیابی امنیت آموزش آگاهی فروشنده و یا ایجاد برنامه های خود را در اینجا است.
1. شروع در روز اول
وقتی که می آید یک کارمند جدید پردازنده، آموزش امنیت به طور معمول برای پر کردن کاغذ بازی ساعت به محل کار و یک لپ تاپ صادر شدن قرار می گیرد صندلی. براندون Czajka، افسر ارشد اطلاعات مجازی است که معتقد است فن آوری Switchfast در کارکنان آماده برای تهدید امنیت سایبری آنها در طول هر روز کاری داده شده از لحظه ای که آنها قبول پیشنهاد کار روبرو می شوند.
وجود دارد چند امنیت آموزش بردار کردن موجود در بازار است که می تواند به راحتی به یک سازمان جدید استخدام onboarding فرایند گنجانیده شده و یا استفاده به عنوان وسیله مکرر در مقابل تهدید این در ذهن نگه داشتن، “Czajka گفت:”، اشاره کرد که بسیاری است که در این زمینه مشابه هستند.
2. سازمان دیده بان تهدید
چشم انداز امنیت سایبری می تواند تغییر شدت در هیچ زمان و در همه حال ظهور که چرا مهم است به استفاده از امنیت آموزش آگاهی فروشنده و یا خدمات است که انگشت خود را بر روی نبض بازار نگه می دارد به طوری که کارکنان باد نیست blindsided توسط آخرین اومدی.
“در نهایت، بهتر است برای انتخاب آموزش پلت فرم است که تعریف نه تنها نقض داده و چگونه پاسخ سازمان به آنها یادگیری از اشتباهات گذشته گذشته است-اما یکی که مواد آموزشی به نگه می دارد تا به امروز با نقض جدید را در زمان واقعی، گفت:”Czajka.
3. عمل می کند کامل شبیه سازی ها
استفاده می شود به تیز رفلکس هوایی خلبانان و پرسنل نظامی در شرایط چالش برانگیز و به آنها میآموزد که چگونه به پاسخ. آموزش امنیت اطلاعات مشابه می تواند کارکنان را به آخرین فریب و حملات، کمک به آنها برای محافظت در برابر رفتارهای مخاطره آمیز است که می تواند منجر به داده نقض قرار دهد.
رابینسون Cofense را از حامیان رویکرد “با انجام یادگیری” شبیه به تهدیدات امنیتی بلوک است که کارگران ممکن است در طول کار خود روبرو می شوند.
“این است بهترین انجام شده از طریق استفاده از شبیه سازی های تهدید فعال است که کاربر نهایی تجربه آنها را به یاد داشته باشید و عملیاتی جدید را ارائه; در مورد فیشینگ, اقدام جدید [the threat]، گزارش شده است “گفت: رابینسون. وی افزود: سازمان هایی که قادر به القای این طرز فکر از دست دادن توانایی “به آدرس و کاهش تهدید را در زمان واقعی”،.
4. توضیح دهید که چرا آموزش
با بازخورد فوری ارائه شده توسط شبیه سازی های امنیتی می تواند کمک به مفاهیم چوب است، اما شرکت در می رفتن بیشتر توسط آن که آموزش مهم است.
“کاربر تعامل بیشتر از رانده شفافیت در درون سازمان،” رابینسون می گفت. “به این منظور، آگاهی و آموزشی به وضوح نمای کلی چرا امنیتی مهم است هر دو در کار و در خانه باید. به عبارت دیگر، آموزش کارکنان را.”
5. رفع مشکل رمز عبور
ضعیف مورد استفاده مجدد قرار است و به راحتی حدس کلمه عبور ادامه به نقطه ضعف بزرگ امنیتی. مطالعه 2017 از اف امن در بر داشت که 30 درصد از مدیران اجرائی خدمات مرتبط به خود شرکت بود ایمیل هک و رمز عبور به بیرون درز. یکی دیگر از بررسی از Dashlane که نزدیک به نیمی در بر داشت (46 درصد) استفاده از کارکنان شخصی کلمه عبور برای محافظت از داده ها شرکت.
اجرای سیاست رمز عبور گام یک شرکت، به همراه چند فاکتور تأیید هویت را باید است.
ساخت کارمند امنیت آموزش جذاب
اگر می خواهید آگاهی امنیت کارکنان آموزش به کار شما نیاز به یادگیری چگونگی تعامل با مخاطبان خود را. اینجا چگونه.
بدانید که مخاطب شما
پیام رسانی مسائل و برنامه های آموزشی موثر خیاط مطالب خود را به مخاطبان خود را.
“پیام متفاوت برای گروه حسابرسان داخلی دولت از اتاق پر از COs از شرکت های بزرگ امنیتی مربی Lohrmann گفت:. دیگر عوامل در نظر گرفتن اصطلاحات اديان جذاب،، نظم در ظاهر می شود که سخنرانان یا مدرسان و موضوعاتی برای متهمان همراه با آماده شدن برای سوالاتی که مطرح می باشد.
ایجاد انگیزه برای تغییر
“این همه چیز در مورد درک فرهنگ و ارتباطات و احساسات، گفت:” کجا است ISACA را Spitzner. “متاسفانه، بسیاری از افراد فنی نیستند قوی در این زمینه; این که در آن شما نیاز مخابرات یا رشته های بازاریابی است.”
از بند باز کردن درونتان،
Droning مورد جنبه های فنی cyberattack راه یقین به از دست دادن علاقه کارمند است. به توصیه Lohrmann “مخاطبان داستان های cyberwar، دوست دارم”. “مردم یاد داستان بسیار بیشتر از آمار و ارقام.”
آموزش تعاملی را
جمعیت به کمک کارمندان حفظ مواد ارائه شده به آنها دریافت کنید. حداقل، درخواست برای نمایش دست و جلسات فلفل با سوال از مخاطبان بیشتر درگیر گفت: Lohrmann.
اقامت مربوط
تا کنون از باشگاه بدون یادگیری چیزی جدید راه رفتن? جلوگیری از این کار را با ارائه مطالب “در راه تازه با پیچ های جدید و آمار و ارقام و داستان، و غیره،” Lohrmann توصیه می شود. “ارائه بینش تازه و یا عملی راهنمایی که مخاطب حق دور می توانید پیاده سازی به کمک در خانه و کار.”
نتایج
تعیین کمیت نقطه در بالا بردن سطح آگاهی کارکنان امنیت اگر برنامه کوتاه در بخش “آگاهی” چیست؟
“شما نیاز به توانایی برای اندازه گیری تغییرات در رفتار و تاثیر کلی این تغییرات به اینکه سازمان خود” هشدار که در آن Spitzner.
موثر آنلاین آموزش
سری به تعلیمات خوب و موثر “مختصر مکرر و متمرکز بر روی یک موضوع واحد” نگه داشتن آن است، گفت: Lohrmann. علاوه بر این، آن را باید مداوم به کمک کاربران نگه دارید تا با آخرین روند. برخی از تم های فوق نامزد آن نیز جذاب و سرگرم کننده و تعاملی باید.