Yeni bir araştırmaya göre, çalışanlar için kimlik avı simülasyonu eğitimi, kritik altyapı kuruluşlarında diğer sektörlerde olduğundan daha iyi çalışıyor gibi görünüyor; bu çalışanların %66’sı, bir eğitim yılı içinde en az bir gerçek kötü niyetli e-posta saldırısını doğru bir şekilde bildiriyor.
bu raporun bulguları – bu hafta Hoxhunt tarafından yayınlandı – kritik altyapı çalışanlarının diğer kurumsal işyerlerindekilere göre nispeten daha fazla kurumsal güvenlikle ilgilendiklerini öne sürüyor. Gerçekten de rapor, kritik altyapı çalışanları arasındaki tehdit algılama davranışının diğer sektör ortalamalarından %20 daha yüksek olduğunu da ortaya koydu.
Bu bulgular mantığa aykırı görünse de, kritik altyapı çalışanlarının şirketlerinin BT ve Nesnelerin İnterneti (IoT) ortamlarına yönelik potansiyel tehditlere karşı daha tetikte olmalarının birkaç temel nedeni vardır: İşlerinin doğası gereği kritik olan doğası ve onu yöneten politikalar, Mika Aalto, kurucu ortak ve CEO HoxhuntDark Reading’e söyler.
“Kritik altyapı çalışanlarının kimlik avı e-postalarını bildirme olasılığının daha yüksek olduğuna inanıyoruz çünkü [these organizations] çok katı düzenleyici konulara uyumu sürdürmeye büyük önem veriyoruz” diyor. “Bu ve kritik altyapı kuruluşlarının çalışanlarının alışılmadık derecede aktif ve yüksek performanslı tehdit raporlama davranışı sergilemesi gerçeği.”
Bir güvenlik uzmanına göre, kritik altyapı sektörü, çalışanlarını güvenlik eğitimlerine katılmaya teşvik etmek için düzenleyici politikaya odaklanması nedeniyle bazı benzersiz teşviklere sahiptir ve bu nedenle, bu tür programlara diğer kuruluşların yapmadığı daha güçlü bir stratejik yatırım yapıyor olabilir.
Mobil güvenlik çözümü sağlayıcısı Zimperium’da ürün stratejisinden sorumlu başkan yardımcısı Krishna Vishnubhotla, kesintilerin aşağı yönlü büyük ekonomik etkileri olabileceğinden, özellikle enerji sektörünün sosyal mühendislik ve kimlik avı saldırıları için en önemli hedeflerden biri olduğunu gözlemliyor.
İkinci olarak, Dark Reading’e gönderdiği bir e-postada, sektörün uyum gereklilikleri çalışanları eğitmek için daha fazla teşvik edici olabilirken, “diğer sektörler, düzenleyici baskı olmadan eğitime yatırım yapmaya o kadar teşvik edilmeyebilir” diyor.
Verileri İzleme
Hoxhunt araştırmacıları, 2022’de güvenlik davranışı değiştirme programlarına katılan 1,6 milyon kişi tarafından bildirilen 15 milyondan fazla kimlik avı simülasyonunu ve gerçek e-posta saldırısını analiz etti.
Güvenlik uzmanlarının bir kuruluşun genel siber güvenlik savunma duruşunun bir parçası olarak önerdiği kimlik avı simülasyon programları ve ilgili çalışan güvenlik eğitimi, çalışanların kurumsal BT ortamına yönelik kötü niyetli kampanyaları veya tehditleri belirlemesine ve ardından proaktif olarak bildirmesine yardımcı olmayı amaçlar.
Güvenlik Baş Danışmanı Timothy Morris’e göre çok sayıda rapor, insan davranışının hala tüm kuruluşlarda güvenlik gaflarının ve veri ihlallerinin ana itici gücü olduğunu gösteriyor ve bu da davranış odaklı çalışan eğitim programlarının değerini gösteriyor. tanyumyakınsama uç nokta yönetimi sağlayıcısı.
Dark Reading’e gönderdiği bir e-postada, “Siber güvenlikte insanların en zayıf halka olduğu hâlâ geçerli,” diyor. “Güvenlik araçlarına milyonlar harcanıyor. Yine de tek bir tıklama tüm bunların üstesinden gelebilir.”
Bu, Mayıs 2021 Colonial Pipeline saldırısında, belirsiz bir veri sızıntısı yoluyla elde edilen tek bir parolanın ABD genelinde yakıt dağıtımını haftalarca ciddi şekilde kesintiye uğratan bir fidye yazılımı saldırısına izin verdiği zaman acı bir şekilde doğruydu.
Sızıntının suçlusunun kimlik avı olup olmadığı net olmasa da saldırı, bir çalışanın yasal kimlik bilgilerini almanın kritik altyapı sektöründe nasıl feci sonuçlara yol açabileceğini gösterdi.
İyi haber şu ki, rapora göre kritik altyapı, simülasyonlar sırasında kimlik avı saldırılarını tespit etmede küresel endüstri ortalamasına kıyasla yüksek bir direnç oranı (başarıya karşı başarısızlık oranı) gösteriyor. Sektörün dirençlilik oranı %7,2 olan dünya ortalamasının %51 üzerinde %10,9, Aalto’nun raporun en şaşırtıcı veri noktası olarak adlandırdığı bir rakam.
Ayrıca, araştırmaya göre, sektördeki çalışanlar doğrudan kimlik avı saldırılarını tespit etme konusunda onları doğrudan meşgul eden eğitimler sayesinde durumu hızla anlıyor gibi görünüyor. Simülasyonlarda daha yüksek bir saldırıyı kaçırma oranlarıyla başlasalar da, eğitimden bir yıl sonra simüle edilmiş bir saldırıya katılma olasılıkları %65 daha az.
Tüm sektörlerde, özellikle de kritik altyapılarda çalışanları kandırıyor gibi görünen bir kimlik avı saldırısı türü, kurbanları tuzağa düşürmek için sahte dahili kurumsal iletişimleri kullanan saldırıdır. Hoxhunt bulguları, küresel ortalamalara kıyasla kritik altyapıya sahip bir organizasyonun bu tür bir saldırı tarafından ele geçirilme şansının %11,4 daha yüksek olduğunu bildirdi.
Araştırmacılar, ayrıca, iletişim, pazarlama ve iş geliştirme departmanlarındaki çalışanların, küresel ortalamalarla uyumlu olan oltalama kampanyalarına düşme eğiliminin en yüksek olduğunu gösterdi.
