İnsanların herhangi bir şirketin siber savunmasındaki en zayıf halkalardan biri olduğu ve öyle kalmaya devam edeceği iyi bilinen bir gerçektir. Güvenlik yöneticileri, rastgele kimlik avı testleri ve eğitim, ültimatomlar, belirli bir cihaz üzerindeki yerel kontrolü ortadan kaldırarak ve hatta bir e-postada yanlış bağlantıya tıklayan şanssız ruhları adlandırıp utandırarak duruma yardımcı olmaya çalıştı.
Verizon’un “2022 Veri İhlali Araştırmaları Raporu”nda (DBIR) yer alan, ihlallerin büyük çoğunluğunun kimlik avı ve sosyal mühendislikle başladığına ilişkin bulgunun gösterdiği gibi, sonuçlar en iyi ihtimalle orta halli olmuştur.
Copado Başkan Yardımcısı ve Güvenlik ve BT Başkanı Kyle Tobener, böyle olması gerekmediğini söylüyor. Bunun yerine işletmeler tıp camiasından bir sayfa alıp zarar azaltma ilkesiyle çok daha etkili bir yaklaşım bulabilirler. Bu, esasen, kötü davranışı tamamen ortadan kaldırmaya çalışmak yerine, kötü davranıştan kaynaklanan kötü sonuçları en aza indirmeye veya hafifletmeye odaklanmak anlamına gelir.
Siber Güvenlik için Zarar Azaltma Nasıl Uygulanır?
Önümüzdeki hafta Black Hat USA’de “Zarar Azaltma: Etkili ve Şefkatli Güvenlik Rehberliği Çerçevesi“Tobener, siber tehditler söz konusu olduğunda kullanıcı davranışı, eğitim ve farkındalık hakkındaki bu yeni düşünme biçimini tartışmayı planlıyor.
Dark Reading’e, “Zarar azaltma sağlık alanında büyük bir konu, ancak bilgi güvenliğine o kadar fazla girmedi” diyor ve kanserden kurtulan ve madde bağımlılığı ile boğuşan birinin kardeşi olarak şunları ekliyor: zarar azaltmayı ilk elden öğrendi.
“Ne yazık ki, güvenlik görevlileri tarafından birçok senaryoda çoğunlukla yoksunluk temelli rehberlik görüyoruz” diyor.
İki yaklaşım arasındaki karşıtlığı göstermek için, Şubat ayında Coinbase’den gelen ve ekranda pong gibi zıplayan bir QR kodu içeren dikkat çekici Super Bowl reklamı örneğini kullanıyor.
“Twitter’a gittiyseniz, hemen ardından binlerce güvenlik görevlisi ” asla QR kodu kullanmayın QR kodunun nereden geldiğini bilmiyorsanız,” diyor ve ekliyor: “Bu yönlendirme hiçbir şekilde etkili değil. Eminim milyonlarca insan bu QR kodunu kullandı ve odak noktanız pratik veya pragmatik olmayan, insanların takip etmeyeceği rehberlik etmekse, bu çok etkisiz olacak ve bir fırsatı boşa harcıyorsunuz. bu insanları gerçekten yararlı olacak şekilde eğitmek.”
Zarar azaltma yaklaşımında, cevap, insanların bu kadar ilgi çekici bir öğeye tıklayacağını varsaymak olurdu (ve aslında, QR kodları genel olarak kullanımlarında o kadar yaygındır ki, insanlardan onları asla kullanmamalarını istemek basit bir çözüm değildir. -starter) ve bunu göz önünde bulundurarak bir savunma stratejisi oluşturun.
Tobener, “Onları QR kodu kullanmak gibi bir şey yaptıklarında nelere dikkat etmeleri gerektiği konusunda eğitin” diye açıklıyor. “Gittiğiniz web sitesinin güvenli olduğunu nereden biliyorsunuz? İnsanlara bir şeyi yapmamalarını söylerseniz ve sonra yaparlarsa ve web sitesine giderlerse ve kırmızı bayrak aramaya hazır değillerse, olduklarından daha kötü durumda olacaklar.”
Zarar Azaltma Nasıl Uygulanır?
Tobener, Black Hat konuşmasında, risk alma davranışlarının kalıcı olduğunun kabulünü teşvik ederek başlayarak, siber güvenlik içeriğinde zarar azaltma uygulamasını üç yönlü bir yaklaşımla ele almayı planlıyor.
“Bence bu, pek çok güvenlik görevlisinin almaya istekli olmadığı çok pragmatik bir yaklaşım; riskin ortadan kaldırılabileceği bir zihniyetle geliyorlar, ki bu gerçekçi değil” diye belirtiyor. “Tıpkı uyuşturucuya karşı savaşın etkili olmadığı gibi, Yasak da etkili değildi ve DARE programlarının ve ‘korkma’nın aslında çocuklara yardımcı olmaktan çok zararlı olduğu gösterildi.”
Riskli eylemleri önlemenin imkansızlığı konusunda güvenlik ekiplerinden ve yetkilerinden faydalandıktan sonra, bir sonraki adım, bu riskli davranışların olumsuz sonuçlarının azaltılmasına öncelik vermek ve kurumsal güvenlik politikaları söz konusu olduğunda hangi savaşların verilmesi gerektiğini anlamaktır.
Tobener, “Örneğin, kurumsal bir bağlamda, herkesin kullanması gereken bir kurumsal parola yöneticiniz olabilir,” diye açıklıyor. “Ancak, şirket tarafından sağlanan şifre yöneticisini aşina olmadıkları için kullanmak istemeyen ve kendilerininkini kullanmak isteyen insanlar olacaktır. Yaptıkları işi durdurmalarını sağlamak yerine, kullanıp kullanmadıklarını düşünün. kendi şifre yöneticileri, şifre yöneticisi kullanmamaktan daha iyidir. Başka bir deyişle, kızartılacak daha büyük balıklar var mı?”
Bu Black Hat ABD oturumunda ele almayı planladığı üçüncü nokta, şefkattir.
“Çerçevenin son parçası siber güvenlik için biraz tuhaf, ancak zarar azaltma alanında gerçekten önemli: Rehberlik sağlarken şefkati kucaklamak” diyor. “Bu, muhtemelen güvenlik görevlileri ve hatta sağlık çalışanları için, insanların durumunu iyileştirerek, destekleyici olarak şefkatli davranarak, yanlış olduğunu düşündüğünüz şeyi yapmalarını destekliyor olsanız bile, kafalarını sarmaları en zor kavramdır. şey.”
Tıpkı sosyal damgalamanın insanları uyuşturucu tedavisinden kabul etmek yerine kaçınmasına neden olması gibi, bazı siber güvenlik ekiplerinden kullanıcılara yönelik sert tutum ve çatışmalarla dolu yaklaşım, insanları doğru şeyi yapmak istememe olasılığını azaltacaktır, diye açıklıyor. Örneğin, yukarıdaki gölge BT şifre yöneticisi örneğinde, ekipler suçlulara tehdit edici e-postalar gönderebilir ve hatta bölüm yöneticilerini dahil edebilir; ya da bir uzlaşmaya varabilir, kullanım kolaylığı eğitimi sunabilir veya konuyu tartışırken genellikle “sizinle birlikteyiz, size karşı değiliz” şeklinde bir tavır alabilirler.
Tobener, “Destekleyici ve şefkatli davranarak, onları yaptıkları şey için kabul ettiğinizi ve şimdi mükemmel olmadığını bilseniz bile, gelecekte gelişme şansları olduğunu gösteriyorsunuz” diyor. “Çoğu zaman, insanlara karşı şefkatli olduğunuzda, kendilerini eğitirler ve uzun vadede daha iyi seçimler yaparlar.”
Oturumun, sizi dinlemeyen kullanıcılara yardım etmede daha etkili bir güvenlik pratisyeni olma konusunda katılımcılara pratik çıkarımlar sağlayacağını umuyoruz.
Tobener, “Twitter’da insanlara ‘bunu yap yoksa sonuçlarını hak ediyorsun’ demelerinden gerçekten bıktım” diyor. “Güvenlik bilincini, insanlara bir şeyler yapmamalarını söylemeyi bırakıp bunun yerine “Tamam, bunu yapmamalısın, ama yaparsan, daha güvenli bir şekilde nasıl yapılacağı” diyeceğimiz bir yere yükseltmeye çalışıyorum.