Na een aantal technische maatregelen te hebben genomen om de blootstelling aan de phishing-aanval te verminderen, richtte slechts een van onze twee beveiligingsexperts zich op een menselijke benadering van de beveiliging. Haar bedrijf begreep hoe essentieel mensen zijn voor hun beveiliging en hun menselijke investering zal het verschil maken tijdens deze aanval… Gelukkig had ze Manu al eerder gebeld 😉
Ontdek hieronder in ons derde hoofdstuk “hoe de mens de sterkste schakel kan zijn om phishing-bedreigingen het hoofd te bieden”!
Een verhaal geschreven door Emmanuel Nicaise, onze Human-centric Cyber Security Expert, onze Storyteller en onze beroemde Manu in het verhaal.
1. Mensgerichte beveiliging
Alice weet dat Bens technische keuzes uitstekend zijn. Ze heeft echter als kapitein in het leger gediend en weet heel goed dat oorlogen worden gewonnen door mensen, niet alleen met technologie. Alice citeert vaak Helmuth von Moltke: “Geen plan overleeft het eerste contact met de vijand”. Cyberbedreigingen evolueren tegenwoordig te snel. We kunnen van geen enkele technologie verwachten dat ze de hackers voor is. Aan de andere kant kunnen mensen zich aan elke nieuwe situatie aanpassen als ze goed getraind zijn. Dit betekent dat onze medewerkers hun gedrag moeten aanpassen om hen, en ons, veilig te houden.
Alice heeft veel boeken gelezen over human management en bedrijfstransformatie. Er zijn zoveel theorieën over gedragsverandering dat ze niet wist welke ze moest vertrouwen. Bij toeval had een van haar adviesbureaus een raamwerk ontwikkeld voor het managen van veiligheid waarbij de mens centraal blijft staan. Hun expert, Manu, heeft een academische achtergrond met jarenlange ervaring in IT, risico en psychologie. Hij en Alice kwamen samen en stelden een plan op. Hoewel een beetje te vereenvoudigd, gebruikte Manu het COM-B model om een van de basisprincipes van zijn raamwerk uit te leggen.
2. Veiligheidsonderwijs
Een van de meest voorkomende redenen waarom mensen zich niet aan de beveiligingsregels houden, is het gebrek aan de benodigde kennis. Maar al te vaak hebben beveiligingsprofessionals de neiging om basisinternetkennis van gebruikers als vanzelfsprekend te beschouwen. Dat is een vergissing. Een groot deel van onze bevolking maakt dagelijks gebruik van het internet. Toch is technische kennis, zoals het formaat van een URL en wat een domeinnaam precies is, niet altijd beschikbaar. Wanneer we onze gebruikers vragen om de domeinnaam of de URL te controleren voordat ze op de link klikken, begrijpen ze misschien niet waar we naar verwijzen.
Alice begon daarom met het geven van training om ervoor te zorgen dat haar gebruikers een basiskennis hadden van de omgeving waarin ze werkten. Er werd een algemeen en eenvoudig vocabulaire gebruikt om ervoor te zorgen dat alle gebruikers het materiaal konden begrijpen. In dergelijke situaties hebben we vaak de neiging om iets te zeggen als “stuur een continue stroom perslucht in de neusholte om organisch blokkerend materiaal te verwijderen” in plaats van “snuit je neus”. Ze wilde dit soort wartaal vermijden.
3. Meten van succes
Alice besloot haar Red-team te vragen een phishingsimulatie uit te voeren. Ze bereidden een e-mail voor die eruitzag als een persbericht, met een pakkende titel “Persbericht – Embargo tot maandag”. Ze voegden een PDF bij met een klein script, vergelijkbaar met het script dat hackers gebruiken om malware te downloaden, om te zien hoeveel mensen het bestand openen. Ze stuurden het op vrijdagmiddag naar het hele bedrijf. Op maandagmiddag had ongeveer 60% van het bedrijf het bestand geopend. Alice was verrast door de resultaten. Was de training nutteloos?
4. Phishing-oefeningen
-
Heb je ooit met de auto naar huis gereden en moeite gehad om je te herinneren hoe je daar bent gekomen? Je genoot van de muziek, luisterde naar het nieuws of praatte met je passagier terwijl je tegelijkertijd reed. Een gesprek voeren, de inhoud van een interview begrijpen en autorijden zijn complexe handelingen. Naarmate we echter doorgewinterde bestuurders worden, ontwikkelen onze hersenen automatismen. Ze maken het mogelijk om deze complexe taak met minimale inspanning uit te voeren, bijna onwillekeurig. Dat noemen we een heuristiek. We kunnen heuristieken ontwikkelen voor vele activiteiten: spreken, lezen, gitaar spelen, rennen, tekenen of tegen een bal schoppen. Een handeling, een gedrag dat we regelmatig uitvoeren kan een heuristiek worden.
-
Oké, maar wat is het punt?
Nadat we technologie en training hebben gebruikt om te reageren op een phishingaanval, is het tijd om te ontdekken hoe onze cyberbeveiligingsdeskundigen te werk gaan om detectie te vergemakkelijken in ons vierde hoofdstuk, dat volgende week verschijnt.
