Cyber Security Hub's Mid-Year Market Report 2022 stellte fest, dass 75 % der Befragten Social Engineering und Phishing als die größte Bedrohung für ihr Unternehmen nannten. Diese Ergebnisse sind die Folge von Warnungen von Forschern wie Check Point Research die darauf hinweisen, dass KI-gestützte Technologien wie ChatGPT zur Erstellung überzeugender Phishing-E-Mails verwendet werden können.
Social Engineering ist eine heimtückische Betrugstechnik, die eingesetzt wird, weil sie funktioniert. Social Engineering bedeutet, dass man mit genau dem Verhalten ausgenutzt wird, das man täglich anwendet. Da Hacker wissen, wie sie Menschen auf einer grundlegenden Ebene manipulieren können, kann es schwierig sein, Angriffe zu erkennen. MetaCompliance geht hier auf den Prozess ein, der erforderlich ist, um sicherzustellen, dass Ihre Mitarbeiter nicht Opfer eines Social-Engineering-Angriffs werden.
Drei Schritte zur Vermeidung von Social-Engineering-Angriffen
Social-Engineering-Angriffe Die Vorbeugung von Social-Engineering-Angriffen in all ihren Formen erfordert Prozesse und Werkzeuge und sollte als mehrgleisiger Ansatz betrachtet werden. Es gibt drei Kernelemente, die zusammen dazu beitragen, dass Ihr Unternehmen und Ihre Mitarbeiter bereit sind, jede Form von Social Engineering zu bekämpfen, die zur Durchführung eines Cybersicherheitsangriffs verwendet wird:
- Strategien: Integrieren Sie Social Engineering in Ihre Sicherheitsstrategie.
- Personalisieren: Schulung der Mitarbeiter in Bezug auf Social-Engineering-Bedrohungen, denen sie am ehesten ausgesetzt sind.
- Bericht: Fördern Sie die Meldung von Vorfällen, um Ihre Reaktion auf einen Angriff mit Social Engineering zu verbessern.
Strategie: Stellen Sie sicher, dass Ihre Sicherheitsstrategie die realen Angriffe widerspiegelt
Social-Engineering-Angriffe umfassen viele Szenarien, von Phishing über Beziehungsmanipulationen bis hin zu physischen Versionen von Social Engineering, wie z. B. 'Auflauern'. Oft verwenden Hacker eine Mischung aus realen und digitalen Tricks als Teil eines ausgeklügelten Sicherheitsangriffs.
Spear-Phishing-E-Mails können beispielsweise sehr schwer zu erkennen sein und werden oft als beliebte Methode verwendet, um Zugang zu Kennwörtern oder persönlichen Daten zu erhalten. Oftmals beinhalten diese mehrstufigen Angriffe das Herunterladen von Malware und erwecken den Eindruck von Dringlichkeit, um den Empfänger zum unüberlegten Handeln zu bewegen.
Um sicherzustellen, dass Ihr Unternehmen all diese Szenarien abdeckt, sollten Sie eine Sicherheitsstrategie entwickeln, die Erkennungsmaßnahmen, Meldeverfahren für Sicherheitsvorfälle, Reaktionspläne auf Vorfälle und die Durchführung von Sicherheits- und Datenschutzaudits umfasst.
Ihre strategische Planung muss beinhalten, wie die Auswirkungen von Social Engineering abgemildert werden können; dies wird aus Sicherheitsschulungen bestehen, die Rollenspiele zu Social Engineering beinhalten. Ihre Sicherheitsstrategie und Reaktionspläne müssen regelmäßig überprüft und aktualisiert werden, um sie an die sich verändernde Bedrohungslage und die neuen Möglichkeiten anzupassen, die sich durch die Technologie und die Arbeitsformen, wie z. B. die Telearbeit, ergeben.
Personalisierte Schulungen zum Sicherheitsbewusstsein
Führen Sie mit Ihren Mitarbeitern Schulungen zum Sicherheitsbewusstsein durch, die sich auf spezifische Bedrohungen beziehen. Das bedeutet, dass diese Schulungen auf der Grundlage der Rolle eines Mitarbeiters durchgeführt werden; unterschiedliche Mitarbeiterrollen ziehen in der Regel unterschiedliche Arten von Social Engineering-Angriffen an.
Bei BEC-Betrügereien (Business Email Compromise) werden beispielsweise häufig Social Engineering-Methoden eingesetzt, um Mitarbeiter in der Kreditorenbuchhaltung oder leitende Angestellte anzugreifen, da diese Funktionen die Finanzen des Unternehmens kontrollieren.
Ein aktueller Bericht von Abnormal Security der sich mit E-Mail-Bedrohungen befasste, fand heraus, dass etwa 28 % der betroffenen Mitarbeiter eine BEC-SMS öffnen würden. Von denjenigen, die diese BEC-Nachrichten öffnen, antworten 15 % darauf und lassen sich so auf den Betrüger ein, was die Tür zu weiteren Social Engineering-Maßnahmen öffnet.
Passen Sie Ihr Security Awareness Training an, um rollenbasierte Schulungen durchzuführen, die sich auf die wichtigsten Bedrohungen konzentrieren. Verwenden Sie eine Plattform, die rollenbasierte Vorlagen zur Verwendung mit Phishing-Simulationsübungen anbietet. Erstellen Sie Phishing-Simulationen und -Schulungen, die sich auf die Art von Bedrohungen konzentrieren, mit denen ein einzelner Mitarbeiter oder eine Abteilung wahrscheinlich konfrontiert wird.
Ermutigung zur Meldung von Sicherheitsvorfällen
Der Bericht "Abnormal Security" ergab auch, dass nur 2,1 % der Sicherheitsvorfälle dem Sicherheitsteam des Unternehmens gemeldet wurden. Dies lässt eine klaffende Lücke in der Fähigkeit, schnell auf einen laufenden Angriff zu reagieren.
Da Social Engineering oft Teil einer Kette von Ereignissen ist, die zu Ergebnissen wie finanziellem Diebstahl oder Ransomware-Infektionen führen, kann eine frühzeitige Warnung vor einem laufenden Vorfall die nötigen Informationen liefern, um den Angriff in seinem Verlauf zu stoppen und den Schaden zu mindern.
Es ist wichtig, eine Möglichkeit zu schaffen, Vorfälle einfach zu melden und ein Umfeld zu schaffen, in dem es keine Schuldzuweisungen gibt, um die Mitarbeiter zur Meldung von Vorfällen zu ermutigen. Unternehmen sollten sich nicht allein auf Firewalls oder Spam-Filter verlassen, um diese Art von Angriffen zu verhindern.
Geben Sie Ihren Mitarbeitern stattdessen die Möglichkeit, einen Cybervorfall zu melden. Die Meldung eines Vorfalls kann dazu beitragen, die Auswirkungen zu mildern, indem die Reaktion auf den Vorfall an einen sachkundigen Mitarbeiter weitergegeben wird. Wichtig ist, dass Sie Ihren Mitarbeitern einen sicheren Ort bieten, an dem sie die Details des Vorfalls aufzeichnen können, z. B. ein spezielles Portal zur Meldung von Sicherheitsvorfällen.
Anhand der vom Mitarbeiter eingegebenen Informationen kann das Sicherheitsteam den Vorfall einordnen, Prioritäten für die Reaktion festlegen und Sicherheitsprotokolle einleiten. Zum Beispiel kann der MetaCompliance MetaIncident Konsole ist ein Lifecycle-Vorfallmanagementsystem, das ein Vorfallregister zur Verwaltung von Problemen enthält. Die Möglichkeit, Vorfallsberichte und -reaktionen zu prüfen und Berichte anhand der Daten eines Sicherheitsvorfalls zu erstellen, ist auch für den Nachweis der Einhaltung von Vorschriften hilfreich.
Social Engineering wird wahrscheinlich auch weiterhin eine Herausforderung für Unternehmen bleiben. Neue Technologien wie KI-gestützte Schnittstellen werden es Betrügern ermöglichen, noch raffiniertere Social-Engineering-Tools zu entwickeln. Ein Unternehmen kann diese heimtückische Bedrohung jedoch stoppen, indem es gezielte Schulungsprogramme entwickelt und die Meldung von Vorfällen in die tägliche Arbeit integriert.
