Tilbage
Cyber security uddannelse og software | MetaCompliance

Produkter

Oplev vores pakke af personlige Security Awareness Training-løsninger, der er designet til at styrke og uddanne dit team mod moderne cybertrusler. Fra politikstyring til phishing-simulationer - vores platform udstyrer din arbejdsstyrke med den viden og de færdigheder, der er nødvendige for at beskytte din organisation.

eLearning om cyber security

Cyber Security eLearning for at udforske vores prisvindende eLearning-bibliotek, der er skræddersyet til alle afdelinger

Automatisering af sikkerhedsbevidsthed

Planlæg din årlige oplysningskampagne med et par klik

Simulering af phishing

Stop phishing-angreb i deres spor med prisvindende phishing-software

Forvaltning af politikker

Centraliser dine politikker ét sted, og håndter politikkernes livscyklus uden besvær

Forvaltning af privatlivets fred

Styr, overvåg og administrer nemt overholdelse

Håndtering af hændelser

Tag kontrol over interne hændelser og afhjælp det, der betyder noget

Tilbage
Industri

Industrier

Udforsk alsidigheden af vores løsninger på tværs af forskellige brancher. Fra den dynamiske teknologisektor til sundhedssektoren kan du dykke ned i, hvordan vores løsninger skaber bølger på tværs af flere sektorer. 


Finansielle tjenesteydelser

Skab en første forsvarslinje for finansielle serviceorganisationer

Regeringer

En go-to-løsning til sikkerhedsbevidsthed for regeringer

Virksomheder

En løsning til træning af sikkerhedsbevidsthed i store virksomheder

Fjernarbejdere

Indlejr en kultur af sikkerhedsbevidsthed - også derhjemme

Uddannelsessektoren

Engagerende træning i sikkerhedsbevidsthed for uddannelsessektoren

Sundhedspersonale

Se vores skræddersyede sikkerhedsoplysning til sundhedspersonale

Teknisk industri

Forandring af sikkerhedsbevidsthedstræning i teknologibranchen

Overholdelse af NIS2

Støt dine Nis2-krav med initiativer til bevidstgørelse om cybersikkerhed

Tilbage
Ressourcer

Ressourcer

Fra plakater og politikker til ultimative vejledninger og casestudier - vores gratis awareness-aktiver kan bruges til at forbedre bevidstheden om cybersikkerhed i din organisation.

Cybersikkerhed for dummies

En uundværlig ressource til at skabe en kultur af cyberbevidsthed

Dummies guide til cybersikkerhed Elearning

Den ultimative guide til implementering af effektiv e-learning om cybersikkerhed

Den ultimative guide til phishing

Uddan medarbejderne i, hvordan man opdager og forebygger phishing-angreb

Gratis oplysningsplakater

Download disse gratis plakater for at øge medarbejdernes årvågenhed

Politik til bekæmpelse af phishing

Skab en sikkerhedsbevidst kultur og skab bevidsthed om cybersikkerhedstrusler

Casestudier

Hør, hvordan vi hjælper vores kunder med at skabe positiv adfærd i deres organisationer

A-Z-terminologi om cybersikkerhed

En ordliste med uundværlige termer inden for cybersikkerhed

Cybersikkerhed adfærdsmæssig modenhedsmodel

Auditér din awareness-træning og benchmark din organisation i forhold til best practice

Gratis ting

Download vores gratis Awareness Assets for at forbedre bevidstheden om cybersikkerhed i din organisation

Tilbage
MetaCompliance | Cyber security uddannelse for medarbejdere

Om

Med over 18 års erfaring på markedet for cybersikkerhed og compliance leverer MetaCompliance en innovativ løsning til automatisering af medarbejdernes informationssikkerhedsbevidsthed og hændelseshåndtering. MetaCompliance-platformen blev skabt for at imødekomme kundernes behov for en enkelt, omfattende løsning til at håndtere de menneskelige risici omkring cybersikkerhed, databeskyttelse og compliance.

Hvorfor vælge os?

Lær, hvorfor Metacompliance er den betroede partner til træning i sikkerhedsbevidsthed

Specialister i medarbejderengagement

Vi gør det lettere at engagere medarbejderne og skabe en kultur med cyberbevidsthed

Automatisering af sikkerhedsbevidsthed

Automatiser nemt træning i sikkerhedsbevidsthed, phishing og politikker på få minutter

Lederskab

Mød MetaCompliance-ledelsesteamet

MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Bedste praksis for sikkerhed for privilegerede brugere

Cybersikkerhedstræning for Privilegerede Brugere

om forfatteren

Del dette indlæg

Den privilegerede bruger på et netværk er en såkaldt privilegeret bruger, fordi han/hun har adgang til følsomme og ofte meget fortrolige ressourcer. Hvis en cyberkriminel kan kompromittere en privilegeret brugers konto, har vedkommende nøglerne til virksomhedens slot.

Forskning foretaget af FINN Partners and Centrify viste, at i 74 % af tilfældene af databrud begyndte angrebet hos en privilegeret bruger. Analysefirmaet Forrester sætter tallet endnu højere, idet 80 % af databruddene er forbundet med privilegerede legitimationsoplysninger.

Uanset hvilken statistik der er den mest præcise, er pointen, at privilegeret adgang fører til brud på datasikkerheden. Derfor er det vigtigt, at privilegerede brugere trænes i sikkerhedsoplysning.

Her er de bedste metoder til at sikre, at denne uddannelse bliver en succes.

Hvorfor privilegeret brugeradgang skal beskyttes med træning i sikkerhedsbevidsthed

Privilegerede brugere udgør et unikt risikoniveau for en organisation. Dette risikoniveau berettiger til at fokusere på denne gruppe og opbygge en sikkerhedsoplysningskampagne, der tager højde for den privilegerede brugers rolle i et cyberangreb.

Cyberkriminelle går efter privilegerede brugere på grund af deres adgangsrettigheder. Men privilegerede brugere har brug for disse adgangsrettigheder for at kunne udføre deres arbejde: Dette dilemma er et perfekt scenarie, der muliggør spear-phishing og andre social engineering-svindel.

Et enkelt uheld af en privilegeret bruger, og bang! Hackeren er inde i systemet. Når de først er inde i virksomhedens netværk, kan angriberne bruge forskellige teknikker og teknologier til at bevæge sig på tværs af netværket og endda forbedre adgangsrettighederne (lateral bevægelse) for at finde data og/eller installere malware som f.eks. ransomware.

Angrebene mod privilegerede brugerkonti involverer ofte en stor mængde overvågning. De indsamlede oplysninger bruges til at skabe skræddersyede, meget troværdige spear-phishing-mails. Hybridarbejde har forværret problemet, ifølge FBI i en nylig meddelelse. Meddelelsen indeholder detaljer om svindel, der involverer cyberangreb i flere dele mod privilegerede brugere, cyberkriminelle, der bruger rekognoscering, stemme-phishing via telefon (Vishing) og falske websider, der derefter bruges til at stjæle anden-faktor-godkendelseskoder og omgå sikkerhedsforanstaltninger som VPN'er.

Denne komplekse blanding af smarte cyberkriminelle taktikker betyder, at teknologi alene ikke kan forhindre et cyberangreb mod en bruger med privilegeret konto. Sikkerhedsbevidsthed er et must for at sikre, at disse brugere ikke utilsigtet udleverer virksomhedens nøgler.

Tre vigtige bedste fremgangsmåder for uddannelse af sikkerhedsoplysning for privilegerede brugere

Følgende tre grundlæggende retningslinjer for bedste praksis anvendes, når der udvikles en uddannelsespakke om sikkerhedsoplysning for privilegerede brugere:

1. Anerkend privilegerede brugere som en superbrugerrolle

Rollebaseret træning i sikkerhedsbevidsthed er en ramme til at levere skræddersyet træning baseret på en rolletype i en organisation. Hvorfor er rollebaseret træning en god idé? Cyberkriminelle tilpasser deres taktik til at afspejle en virksomhedsrolle eller målrette bestemte virksomhedsjobs til bestemte typer cyberangreb og svindel.

For eksempel er en person i kreditorbogholderiet et attraktivt forslag for en cyberkriminel, der ønsker at udføre et Business Email Compromise (BEC)-fupnummer, der narrer en medarbejder til at overføre penge til svindlerens bankkonto. En person med privilegeret adgang i HR kan være et mål for at få medarbejderoplysninger til skattesvindel.

Privilegerede brugere bør betragtes som en "superbrugerrolle", og kampagnerne for uddannelse i sikkerhedsoplysning bør være udformet til at afspejle dette. Herfra kan du så udvikle en skræddersyet pakke af phishing- og social engineering-opmærksomhed, der passer til de typer angreb, der fokuserer på brugere med privilegeret adgang.

2. Inkluder social engineering i din træning i sikkerhedsbevidsthed

Social engineering bruges til at opbygge en profil af en organisation og en målrettet privilegeret bruger for at gøre et cyberangreb vellykket. De nylige ransomware-angreb fra Lapsus$-gruppen mod flere virksomheder anvendte social engineering. Et indlæg fra Microsoft, der analyserer angrebene, forklarer betydningen af social engineering:

"(Lapsus$-gruppen) fokuserede deres social engineering-indsats på at indsamle viden om deres målgruppes forretningsaktiviteter. Sådanne oplysninger omfatter intim viden om medarbejdere, teamstrukturer, helpdesks, arbejdsgange i forbindelse med kriseberedskab og forsyningskædeforhold. Eksempler på disse social engineering-taktikker omfatter spamming af en målbruger med multifaktor-autentifikationsopfordringer (MFA) og opkald til organisationens helpdesk for at nulstille et måls legitimationsoplysninger."

Social engineering-svindel kan antage enhver form, som den cyberkriminelle har brug for for at indsamle disse oplysninger. Dette omfatter brugen af sociale medier, opkald til en helpdesk og generelle kontoropkald, der hjælper med at skabe et forhold; selv besøg på et kontor kan bruges til at opbygge de nødvendige oplysninger til at gennemføre et angreb. Social engineering-forsøg kan tage måneder at opbygge en profil af en privilegeret bruger, så man er klar til at gennemføre et vellykket angreb. 

Sørg for, at dine privilegerede brugere forstår de niveauer, som en cyberkriminel vil gå til for at gøre sine spear-phishing-e-mails og falske websteder troværdige.

3. Bevidsthed om spear-phishing

Du skal vide, hvilke typer trusler der vil fokusere på superbrugerrollen. Typisk vil personer med privilegeret adgang blive målrettet på grund af denne adgang. Det kan dog også betyde, at de er en del af en bredere, mere kompleks angrebskæde.

Normalt bruges spear-phishing eller spear-vishing (stemme-baseret phishing) til at stjæle loginoplysningerne for denne gruppe af brugere. De oplysninger, som de cyberkriminelle indsamler under social engineering, er med til at skabe troværdige scenarier, e-mails og falske websteder for at narre den privilegerede bruger.

Giv skræddersyede, rollebaserede phishing-simulationsøvelser for at uddanne medarbejderne i de tricks, som svindlerne bruger.

Læs mere om spear-phishing i disse artikler: "Hvad er spear-phishing, og hvordan man undgår det" og "At identificere et spear-phishing-angreb".

Lukning af døren for kompromittering af privilegerede konti

En organisation har brug for at give visse brugere privilegeret adgang; faktisk er det en vigtig del af identitets- og adgangsstyring at skabe et adgangshierarki. Men privilegier er også en potentiel sårbarhed i en organisations rustning, hvilket cyberkriminelle ikke har glemt. Ved at bruge en baseline af bedste praksis i Security Awareness Training for privilegerede brugere kan du hærde dette panser og kontrollere privilegier.

For virkelig at styrke din sikkerhedsposition er det vigtigt at anerkende den afgørende rolle, som topledere spiller i at skabe en cybersikker kultur. Deres lederskab, engagement og aktive involvering i sikkerhedsinitiativer kan slå tonen an for hele organisationen. Ved at prioritere sikkerhed på de øverste ledelsesniveauer kan virksomheder fremme en kultur med bevidsthed, årvågenhed og ansvarlighed.

Udforsk, hvordan topledere kan være fortalere for cybersikkerhed og vise vejen til et mere sikkert organisatorisk miljø.

Andre artikler om Cyber Security Awareness Training, som du måske finder interessante