In de afgelopen jaren zijn de beveiligingsbudgetten in alle sectoren omhooggeschoten.
Geen wonder eigenlijk. De overgrote meerderheid van de organisaties heeft een bepaald niveau van cyberaanvallen meegemaakt, en zelfs degenen die dat niet hebben gedaan, zouden moeite hebben om de constante media-aandacht voor spraakmakende datalekken te negeren.
En met al deze extra investeringen in beveiliging, zou je denken dat er een overeenkomstige vermindering van jaarlijkse overtredingen zou zijn.
Maar weet je wat? Dat is niet gebeurd. Het aantal gemelde inbreuken is zelfs in een ongekend tempo blijven stijgen.
Waarom de heersende wijsheid verkeerd is
De heersende wijsheid in de beveiligingsindustrie is dat het verdedigen van uw organisatie tegen cyberaanvallen vooral een kwestie is van de juiste technologie. Cyberaanvallen zijn immers vooral een technologische dreiging, dus waarom niet investeren in technologische verdedigingen?
Als u ooit een beveiligingsevenement heeft bijgewoond, bent u geconfronteerd met letterlijk duizenden producten die zijn ontworpen om u te beschermen tegen allerlei soorten inkomende cyberaanvallen. Als je naar een paar hokjes loopt, hoor je alles over de nieuwste aanvalsvectoren en hoe het XYZ-product de bedreigingen die ze vormen kan verminderen.
Maar er is een probleem met dit model.
Als je een stapje terug doet en kijkt naar de inbreuken die de afgelopen tien jaar zijn gemeld, zul je al snel beseffen dat cyberaanvallen een puur digitale dreiging zijn. In feite is bij meer dan 90 procent van de inbreuken op enig moment tijdens de aanval sprake van een phishing- (of andere social engineering-)techniek.
Je weet waarom? Want mensen voor de gek houden is bijna altijd makkelijker dan machines voor de gek houden.
Het enige dat een aanvaller nodig heeft, is dat een mens op een schadelijke link klikt, per ongeluk zijn inloggegevens overhandigt of de verkeerde bijlage opent, en het moeilijke deel is gedaan.
Nu zijn er natuurlijk tal van op technologie gebaseerde controles die zijn ontworpen om kwaadaardige e-mails te bestrijden. U kunt (en moet) spamfilters, inhoudsscanners en protocollen voor e-mailverificatie gebruiken om te voorkomen dat de overgrote meerderheid van phishing-lokmiddelen de inbox van uw gebruikers bereiken.
Maar hoe goed uw besturing ook is, ze zullen nooit perfect zijn. Bedreigingsactoren hebben simpelweg te veel technieken tot hun beschikking om uw beveiligingscontroles te omzeilen.
Om vooruit te komen, moet je een simpele waarheid accepteren: technologie is niet genoeg.
Heroverweeg Security Awareness Training
Waar denk je aan als je denkt aan security awareness training? Voor de meeste mensen is het vastzitten in een saaie, benauwde kamer, luisterend naar een verveelde IT-stagiair die praat over beveiligingsbewustzijn.
Gelooft iemand echt dat deze sessies iets bereiken? Natuurlijk niet. Maar helaas zijn ze voor de meeste organisaties vereist voor nalevingsdoeleinden.
Maar het echte probleem met deze sessies is niet alleen de standaard van training, het is het hele concept van “bewustzijnstraining”. In de echte wereld kan het vergroten van het beveiligingsbewustzijn (wat het ook is) het cyberrisico niet verminderen.
Waarom? Omdat het gebaseerd is op foutieve logica.
We gaan ervan uit dat meer informatie zal leiden tot betere besluitvorming… maar dat is gewoon niet waar. Iedereen weet dat ze geen fastfood moeten eten, maar heb je ooit een lege McDonald’s gezien? Ik weet dat ik dat niet heb gedaan.
Dus in plaats van te proberen het bewustzijn te vergroten, moeten we onze inspanningen richten op iets dat daadwerkelijk helpt het cyberrisico te verminderen: het verbeteren van de beveiliging.
En aangezien phishing het grootste risico vormt voor organisaties over de hele wereld, is e-mailbeveiliging een goed uitgangspunt.
“In opleidingswerk
Bedenk waarvoor kwaadaardige e-mails zijn ontworpen. In wezen zijn ze ontworpen om gemiddelde gebruikers te misleiden om hun bedrijfsnetwerk in gevaar te brengen. Om phishing te bestrijden, moeten we de manier veranderen waarop gebruikers omgaan met hun e-mailinbox.
Maar de gemiddelde zakelijke gebruiker ontvangt elke dag honderden e-mails en heeft in de loop van de tijd een reeks onbewuste gewoonten ontwikkeld om de hoeveelheid tijd die nodig is om ze te verwerken te verminderen. Om te beginnen gaan de meeste mensen er natuurlijk van uit dat alle e-mails in hun inbox legitiem zijn. Er zijn tenslotte technische controles om kwaadaardige e-mail te blokkeren… toch?
Dus hoe kunt u de e-mailgewoonten van uw gebruikers herzien? We willen niet alleen dat gebruikers begrijpen dat niet alle e-mail legitiem is, we willen ook dat ze elke keer dat ze hun inbox controleren op zoek zijn naar schadelijke e-mail.
Het antwoord is simpel: ontwikkel realistische phishing-simulaties, stuur ze routinematig naar uw gebruikers en volg hun reactie.
Klinkt als iets raars om te doen? Zou niet.
Als je gewoontes wilt veranderen die al jaren ingebed zijn in een kantooromgeving, is het aanbieden van één of twee trainingen niet voldoende. In plaats daarvan moet u beveiligingstraining een onderdeel maken van het dagelijks leven van uw gebruikers.
Nee, natuurlijk zijn er enkele kanttekeningen. U kunt uw gebruikers niet zomaar overspoelen met complexe phishing-trucs, omdat ze simpelweg niet bereid zijn om ermee om te gaan.
Als u van plan bent om echte, blijvende verbeteringen te zien, zijn er een paar basisprincipes die u in gedachten moet houden.
1) Krijg buy-in van bovenaf
Zoals je waarschijnlijk al weet, lost dit type programma je beveiligingsproblemen niet van de ene op de andere dag op. Hoewel u de eerste paar maanden natuurlijk substantiële verbeteringen zult zien, zal blijvend succes alleen komen met tijd en consistentie.
Simpel gezegd, u hebt langdurige ondersteuning van uw budgethouders en dat vereist een sterke businesscase, consistente ROI-tracking en regelmatige prestatierapportage.
2) Succes mogelijk maken
Bedenk wat je hier probeert te bereiken. In plaats van u te laten misleiden door kwaadaardige e-mails, wilt u dat uw gebruikers ze niet alleen identificeren, maar ook uw beveiligingsexperts. Waarom? Omdat elke keer dat een phishing-e-mail wordt gemeld, u de mogelijkheid heeft om soortgelijke e-mails in quarantaine te plaatsen en uw technische controles aan te scherpen om soortgelijke e-mails in de toekomst te kunnen opvangen. U kunt zelfs gerapporteerde phishing-e-mails opslaan en deze gebruiken om in de toekomst realistische simulaties te maken.
Om dit allemaal te bereiken, moet u gebruikers eerst overtuigen om elke e-mail te melden waarvan zij denken dat deze kwaadaardig is. En om dat te laten gebeuren, moet u het rapportageproces zo eenvoudig mogelijk maken.
Daarom raad ik u aan een eenvoudige knop ‘Phish melden’ toe te voegen aan de e-mailclient van uw gebruikers.
3) Trainen op het punt van falen
Dit is het ding over het leren van een nieuwe vaardigheid. Wanneer u dit type programma start, zullen uw gebruikers zeer snel verbeteren. Maar tegelijkertijd zullen ze ook falen
Maar falen is niet erg. Elke keer dat een gebruiker een van uw phishing-simulaties “mislukt”, moet u hem onmiddellijk doorverwijzen naar een multimedia-trainingswebpagina, waar hij meer te weten komt over het type phishing-e-mail die hij zojuist heeft gezien en informatie krijgt om soortgelijke e-mails in de toekomst.
Om er zeker van te zijn dat deze lessen volledig zijn geïnternaliseerd, moet u de gebruiker een week later opnieuw testen.
doorzettingsvermogen is alles
Het is duidelijk dat het trainingsprogramma tegen phishing dat ik hier heb geschetst, ongeveer net zo ver verwijderd is van de traditionele bewustmakingstraining als je maar kunt krijgen. In plaats van één keer per jaar verveelde gebruikers naar een benauwd klaslokaal te slepen, geef je de training rechtstreeks aan hen, waardoor ze een actieve rol kunnen spelen in de beveiliging van je organisatie.
Maar dit proces stopt natuurlijk nooit echt. Als u genoeg geeft om de veiligheid van uw organisatie om een programma als dit te implementeren, moet u er ook voor zorgen dat het programma voor de lange termijn blijft bestaan, want als het programma wordt opgeschort, vallen uw gebruikers snel terug in hun oude, slechte gewoontes..
En hier is nog iets om in gedachten te houden. Na verloop van tijd en training zullen uw gebruikers bedreven worden in het identificeren van phishing-e-mails… maar er zullen nog steeds fouten optreden. Hoe hard u ook probeert, u zult nooit een punt bereiken waarop 100 procent van de phishing-e-mails wordt geïdentificeerd en gerapporteerd.
Om deze reden zou het dwaas zijn om te suggereren dat dit type programma technische controles van hoge kwaliteit kan vereisen. Integendeel zelfs.
Aan het begin van dit artikel wees u erop dat technologie niet voldoende is om de veiligheid van uw organisatie te waarborgen en dat is ook zo. Maar je moet je ook realiseren dat dat ook niet genoeg is.
Alleen door technische controles te combineren met hoogopgeleid personeel, kunt u de voortdurende beveiliging van uw organisatie tegen phishing-aanvallen echt garanderen.
Over de auteur
Dane Boyd is de Lead Solution Manager voor Managed Phishing Awareness Training bij PhishLabs. Het heeft tientallen bedrijven geholpen om hun werknemers om te vormen tot een krachtige laag voor detectie en preventie van bedreigingen.
Over PhishLabs
PhishLabs is opgericht in 2008 en biedt 24/7 beheerde beveiligingsservices die bescherming bieden tegen phishing-aanvallen. PhishLabs is het enige bedrijf dat organisaties beschermt tegen phishing-aanvallen die gericht zijn op hun klanten en werknemers. Het bedrijf analyseert elke dag miljoenen potentiële phishing-aanvallen en biedt wereldwijd zichtbaarheid en inzicht in het phishing-dreigingslandschap. PhishLabs-experts gebruiken deze zichtbaarheid en kennis om trainingsprogramma’s voor phishing-bewustzijn te beheren, phishing-aanvallen volledig te verminderen en impactvolle informatie over bedreigingen te bieden. Toonaangevende financiële, gezondheidszorg- en technologiebedrijven vertrouwen op PhishLabs om verliezen door fraude, beveiligingsincidenten en datalekken als gevolg van phishing-aanvallen te voorkomen.
Ga voor meer informatie naar phishlabs.com en volg @phishlabs.
