従業員の行動リスクを気にする必要があるのはなぜですか?
侵害の 82% には、ユーザーの行動が含まれています (多くの場合、ユーザーの行動から始まります)。 1すべてがフィッシングであるわけではありませんが、大部分はフィッシングです。フィッシングは、何年にもわたって、組織内で足がかりを確立するための、あらゆる動機の攻撃者 (国家の関係者から単純なスクリプトキディ詐欺まで) にとって最も安価で信頼できる方法でした。ソーシャル エンジニアリングとフィッシングは、侵害の初期戦術、ラテラル ムーブメント、特権の昇格に使用され、多くの場合、データの流出に直接つながります。
さらに悪いことに、侵害は企業に多くの時間と費用を要します。いくつかのセキュリティ調査会社は、平均的なデータ侵害が 1 件あたり約 400 万米ドルの費用を企業にもたらすと判断しています。 2ある年にほんの一握りの侵害イベントを回避するだけでも、何百万ドルもの費用と、貴重なセキュリティ オペレーターの何千時間もの時間を節約できます。
では、行動はこれにどのように影響するのでしょうか?私の会社は、これらのフィッシング攻撃を阻止するための技術的ソリューションに毎年多額の費用を費やしていませんか?これらの侵害を迅速に見つけて修正する検出および対応機能はありませんか?データを気にする組織は、確かにそれらの機能に投資する必要がありますが、戦略はいくつかの理由で不完全です。
- 技術的なソリューションが完全な保護を提供することはありません。人間は信じられないほど創造的で直感的な思考が可能です。保護ソリューションがどのように機能するかをある程度理解している攻撃者でも、ギャップや回避策を簡単に見つけることができます。何十年にもわたる侵害により、断固たる攻撃者が侵入経路を見つけることが示されています。侵害の原則では、組織はエコシステムが侵害されていると想定する必要があり、既存の保護境界を自動的に信頼してはならず、検出と対応に投資する必要があると仮定します。予防と同等のメカニズム。 Microsoft は、これが組織のリスクを軽減するための最も効果的なアプローチであると考えています。
- 人間は、あらゆる組織の使命において最も価値のある部分です。彼らはすべてのデータを作成します。彼らは最も価値のある洞察をすべて導き出します。現代の企業を構成するすべての複雑なシステムを統合し、維持します。攻撃者はシステムを狙ってデータを取得することもできますが、人間には本来誤りやすい性質があるため、攻撃対象ははるかに順応性があります。ほとんどの場合、最初に資産を作成する責任があるのは組織内の人々であるため、組織内の人々をそのリスクから隔離することはできません。攻撃者はそれを知っており、ほとんどの場合、ソーシャル エンジニアリングを計画に組み込んでいます。
- 特にリスクに関連する人間の行動は、非常に複雑で微妙なプロセスです。それは本質的に確率的であり、攻撃者はそれを知っています。要因には、行動の選択が行われる状況、人間の知識、人の態度と動機、時間的プレッシャーや隣接する選択などの外部性、および人間の過去の経験が含まれます。これらの要因はいずれも日々変化する可能性があるため、ユーザーが正しく識別して回避したフィッシング攻撃は、現在は機能しない可能性がありますが、他の状況では検出に失敗する可能性があります。
そのことを念頭に置いて、Terranova は Microsoft と協力してGone Phishing Tournamentを作成しました。これは、実際のシミュレーションを使用して正確なフィッシング クリックスルー率とユーザーの行動に関する追加のベンチマーク統計を確立するオンライン フィッシング イニシアチブです。この機会を利用して、無料の詳細なフィッシング シミュレーション ベンチマーク データを使用して、効果的な行動の変化を促進し、セキュリティを意識した強力な組織文化を構築することができます。
このコンテキストを考えると、なぜ組織はユーザーの行動を気にする必要があるのでしょうか?その理由の 1 つは、行動を少し変えるだけでリスクが大幅に軽減される可能性があり、違反を回避するたびに、文字通り何百万ドルも節約できるからです。確かに、行動を変えるのは難しいです。セキュリティ意識向上ビジネスは、何十年にもわたってユーザーの教育を支援するために取り組んできましたが、全体的なリスク パイのうち人間の行動によるリスクの部分は依然として大きいままです。最新のソリューションがもたらす機能は、業界における大きな変化の始まりであると私たちは考えています。考慮すべきいくつかの重要な機能:
- 何かを動かすには、何かを測定する必要があります。フィッシング感受性評価は、あらゆるセキュリティ意識向上プログラムの中核部分であり、実際のフィッシング リスク行動を測定するには本物のシミュレーションが最善の方法であると考えています。
- 教えるということは、ただ話すだけではありません。効果的なセキュリティ意識向上プログラムがシミュレーションに重点を置いている理由の 1 つは、ユーザーに (安全に) 攻撃の経験を与えるためです。実際に何かを行い、それを直接体験することは、単に説明を見たり聞いたりするよりもはるかに効果的に人間の脳に定着します。
- 組織での生活にはすでに多くの正式な学習が含まれているため、従業員を学習体験に引き込むための、差別化された、状況に応じた新しい方法を見つける必要があります。ゲーム、ナッジ、ソーシャル報酬システムは、講義なしで教育し、重要なメッセージを定着させるのに役立つ楽しい要素をもたらします。
- 誰もが旅の中で別の場所にいます。ユーザーがすでに知っていること、またはユーザーにとって特に問題になると思われることに基づいて、学習を差別化できるソリューションを探してください。
- セキュリティ意識向上トレーニングは、5 ~ 7 分のビデオによる年 2 回のシミュレーションに最も一般的に発展しました。この式は通常、組織が実行するために管理可能ですが、望ましい結果が得られることはめったにありません。周波数、ターゲティングのバリエーション、ペイロードの可変性、およびトレーニング エクスペリエンスを変更できるソリューションを探してください。年に 2 回のリマインダーだけで十分な人もいますが、多くの人は、行動の整合性を維持するために、より頻繁に経験する必要があります。
地球上の主要な組織はすべて同じ船に乗っています。ユーザーの行動のリスクは高く、変更が難しく、攻撃者によって毎日悪用されています。時間をかけてお互いから学びましょう。会議に参加します。同じ役割を果たしている他の企業の人々とつながりを作りましょう。活用するソリューションに取り組み、それらの製品チームに何が機能していて何が機能していないかについてフィードバックを提供します。
サイバースマートになるには知識が力になります。オンラインでの安全性を高め、サイバー脅威と戦うために、自分自身と組織を準備する方法はたくさんあります。 10 月は Cybersecurity Awareness Month であり、Microsoft Security が提供するいくつかのリソースを使用して、Microsoft の専門知識を活用することができます。
Cybersecurity Awareness Month の Microsoft のベスト プラクティスにご注目ください。Terranova Security Gone Phishing Tournamentへの登録をお忘れなく。一緒に#BeCyberSmartしましょう!
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
12022 年データ侵害調査レポート、ベライゾン。 2022年。
2データ侵害の費用はいくらですか? 、エンブローカー。 2022 年 9 月 2 日。
Comments