Cyber Security Hub's Midtårsrapport om markedet 2022 viste, at 75 % af de adspurgte angav social engineering og phishing som den største trussel mod deres organisation. Disse resultater kommer i kølvandet på advarsler fra forskere som f.eks. Check Point Research om, hvordan AI-aktiverede teknologier, såsom ChatGPT, kan bruges til at skabe overbevisende phishing-e-mails.
Social engineering er en snigende svindelmetode, der bruges, fordi den virker. At blive socialt manipuleret er at blive udnyttet ved hjælp af præcis den adfærd, som du bruger til daglig. Da hackere forstår at manipulere folk på et grundlæggende niveau, kan det være svært at identificere angreb. Her gennemgår MetaCompliance den proces, der er nødvendig for at sikre, at dine medarbejdere ikke bliver ofre for et social engineering-angreb.
Tre trin til at undgå social engineering-angreb
Social engineering-angreb forebyggelse, i alle dens former, kræver processer og værktøjer og bør betragtes som en flerstrenget tilgang. Der er tre kerneelementer, der sammen bidrager til at sikre, at din organisation og dine medarbejdere er klar til at håndtere enhver form for social engineering, der anvendes til at gennemføre et cybersikkerhedsangreb:
- Strategier: indbygger social engineering i din sikkerhedsstrategi.
- Personliggørelse: Træn medarbejderne i de trusler om social engineering, som de sandsynligvis vil opleve.
- Rapport: Opmuntre til rapportering af hændelser for at forbedre din reaktion på et angreb, der involverer social engineering.
Strategi: Sørg for, at din sikkerhedsstrategi afspejler angreb fra den virkelige verden
Social engineering-angreb dækker mange scenarier, lige fra phishing til manipulation af relationer til fysiske versioner af social engineering som f.eks.bagende'. Ofte bruger hackere en blanding af virkelige og digitale tricks som led i et sofistikeret sikkerhedsangreb.
Spear phishing-e-mails kan f.eks. være meget svære at opdage, og de bruges ofte som en populær måde at få adgang til adgangskodeoplysninger eller personlige oplysninger på. Ofte kan disse flertrinsangreb omfatte malware-downloads og skabe en følelse af hastværk for at tilskynde modtageren til at handle uden at tænke sig om.
For at sikre, at din organisation dækker alle disse scenarier, skal du udarbejde en sikkerhedsstrategi, der omfatter detektionsforanstaltninger, rapporteringsprocedurer for sikkerhedshændelser, planer for reaktion på hændelser og hvordan du udfører sikkerheds- og privatlivskontrol.
Din strategiske planlægning skal omfatte, hvordan du kan afbøde virkningen af social engineering; dette vil bestå af træning i sikkerhedsoplysning, der omfatter rollespil om social engineering. Når din sikkerhedsstrategi og dine beredskabsplaner er på plads, skal de regelmæssigt revideres og opdateres i overensstemmelse med det skiftende trusselsbillede og de nye muligheder, som teknologien og arbejdsmønstre, f.eks. fjernarbejde, giver.
Personliggjort træning i sikkerhedsbevidsthed
Gennemfør kurser i sikkerhedsbevidsthed med medarbejderne, som er baseret på specifikke trusler. Det betyder, at disse træningssessioner udføres på baggrund af en medarbejders rolle; forskellige medarbejderroller tiltrækker typisk forskellige typer af social engineering-angreb.
F.eks. er der en tendens til at bruge social engineering i forbindelse med BEC-svindel (Business Email Compromise) til at ramme personale, der arbejder med kreditorbogholderi eller C-level executives, fordi disse roller kontrollerer virksomhedens økonomi.
En nylig rapport fra Abnormal Security der undersøgte e-mail-trusler, viste, at omkring 28 % af de ansatte, der var målgruppen, ville åbne en BEC-besked; af dem, der åbnede disse BEC-relaterede beskeder, svarede 15 % på dem og gik dermed i dialog med svindleren og åbnede døren for yderligere social engineering.
Skræddersy din Security Awareness Training til at udføre rollebaseret træning med fokus på centrale trusler. Brug en platform, der tilbyder rollebaserede skabeloner til brug med phishing-simuleringsøvelser. Opret phishing-simuleringer og træningssessioner med fokus på den type trusler, som den enkelte medarbejder eller afdeling sandsynligvis vil opleve.
Opmuntre til rapportering af sikkerhedshændelser
Abnormal Security-rapporten viste også, at kun 2,1 % af sikkerhedshændelserne blev rapporteret til organisationens sikkerhedsteam. Dette efterlader et gabende hul i evnen til at reagere hurtigt på et igangværende angreb.
Da social engineering ofte er en del af en kæde af begivenheder, der fører til resultater som f.eks. økonomisk tyveri eller ransomware-infektion, kan en tidlig advarsel om en igangværende hændelse give den nødvendige intelligens til at stoppe angrebet i dets spor og begrænse angrebets skadevirkninger.
Det er vigtigt at give mulighed for let at rapportere hændelser og skabe et miljø uden skyldfølelse for at tilskynde medarbejderne til at rapportere hændelser. Organisationer bør ikke udelukkende stole på firewalls eller spamfiltre for at forhindre disse typer angreb.
Giv i stedet dine medarbejdere mulighed for at rapportere en cyberhændelse. Rapportering af en hændelse kan være med til at afhjælpe konsekvenserne ved at eskalere reaktionen til en kyndig medarbejder. Det er vigtigt at tilbyde medarbejderne et sikkert sted at registrere detaljerne om hændelsen, f.eks. en dedikeret portal til rapportering af sikkerhedshændelser.
Ved hjælp af de oplysninger om hændelsen, som medarbejderen har indtastet, kan sikkerhedsteamet foretage en triage af hændelsen, prioritere indsatsen og iværksætte sikkerhedsprotokoller. For eksempel kan MetaCompliance MetaIncident konsollen er et system til forvaltning af hændelser i hele livscyklussen, der omfatter et hændelsesregister til at håndtere problemer. Muligheden for at revidere hændelsesrapportering og -reaktioner og generere rapporter ved hjælp af data fra en sikkerhedshændelse er også nyttig til dokumentation af overholdelse af regler.
Social engineering vil sandsynligvis fortsat være en udfordring for en organisation. Nye teknologier som f.eks. AI-aktiverede grænseflader vil give svindlere mulighed for at bygge endnu mere sofistikerede værktøjer til social engineering. En virksomhed kan imidlertid stoppe denne snigende trussel ved at udvikle målrettede uddannelsesprogrammer og integrere rapportering af hændelser i det daglige arbejde.