We采访了KnowBe4的安全意识倡导者詹姆斯·麦克奎根。KnowBe4是一个新的学校安全意识培训和模拟钓鱼平台。詹姆斯介绍了该公司的产品——包括一款印有90年代FBI头号通缉黑客批准标志的产品——以及2020年网络安全专业人士必须面对的挑战。
请告诉我们一些KnowBe4的历史
KnowBe4是一家安全意识和培训公司,提供我们喜欢称之为“新学校安全意识培训”、网络钓鱼评估,我们有多种产品来帮助组织抵御网络钓鱼攻击。
我们将迎来10周年纪念日。在过去的四年里,我们组织的高速发展是疯狂的,它刚刚起步,我认为这在很大程度上是因为更多的组织意识到他们需要安全意识培训。他们的投资回报非常快。例如,他们可以降低“网络钓鱼概率”百分比,即他们点击链接的可能性。在我们所做的研究中,当他们没有接受培训时,39%的员工会点击恶意链接。当你让他们接受训练,大约一年后,这个数字下降到4%左右。
KnowBe4提供哪些服务和产品
我们有凯文·米尼克(Kevin Mitnick)——我们的首席黑客官,也被称为世界上最著名的黑客——安全意识培训。这项培训有数百个针对特定需求的模块。
通过网络钓鱼评估工具,可以向员工发送数千个模板。一旦你做了网络钓鱼评估,你可以通过额外的培训来强调网络钓鱼的要点。
我最喜欢的工具之一是社会工程的危险信号:大约有22个,它们都专注于钓鱼电子邮件。这是22个不同的东西,你想寻找,以确保你没有被钓鱼。我们甚至还有针对新冠病毒的网络钓鱼模板,因为很多组织都希望确保他们的员工不会落入任何新冠病毒诈骗的陷阱。
有两种新的工具称为PhishER和PhishRIP。这两个应用程序处理评估和审查进入您的组织的任何类型的钓鱼电子邮件——真实的。如果有钓鱼电子邮件进入您的组织,您的IT团队可以使用PhishRIP访问每个人的邮箱,如果他们收到了该钓鱼电子邮件,IT团队可以将其从每个人的邮箱中删除。
我们还有一个GRC工具——治理、风险和合规。我们发现,进入组织并与他们交谈时,他们并没有一个好的计划来跟踪他们的治理和法规遵从性要求,包括政策。自从公司成立以来,这个工具就一直存在。它创建得很早,经过多年的发展。它非常容易使用,直观,我们正在慢慢地让越来越多的人使用该应用程序。
我们已经观察到在大流行期间网络攻击激增。你注意到新冠肺炎前后网络安全有什么不同吗
这对任何组织都是一个挑战。他们中的一些人发现,他们的员工在家工作效率要高得多。其他人想让人们回到大楼里,因为我们已经看到更多针对在家员工的网络钓鱼和社会工程攻击。
当你在大楼的范围内,有奇怪的东西进来时,你可以求助于你的同事或将其发送给it部门,但当你在家工作时,你会更加舒适和放松。我们已经看到越来越多的网络钓鱼攻击正在发生。
最近的Twitter黑客攻击都是因为社会工程:针对在家的人。网络犯罪分子能够进入那里,他们知道谷歌和Twitter等公司让他们的员工在家工作——这些很容易成为目标。
许多组织也加强了安全意识培训。你不能仅仅依靠年度培训,你需要能够不断增强安全意识,这样你就可以加强它,成为一种安全文化。我认为,如果组织可以有这样的习惯,如果是每日会议或每周员工会议,你谈论密码、跟踪、网络钓鱼攻击,只是为了保持员工的心态,从而进一步推动文化。
2020年,网络安全专业人士面临的主要挑战是什么
很多都归结为能够保护周边环境、数据和员工。从外围的角度来看,这一点正在慢慢消失:组织正在向云中投入越来越多的东西。然后,你必须开始依赖额外的身份访问管理控制、机器识别,确保正确的人有权访问这些系统。
网络安全专业人士面临的不同挑战是所有不同的工具,他们组织环境中的所有不同系统、服务和应用程序都在做不同的事情。很多时候,这些组织的员工需要退后一步,看看数据驱动的防御与最新的工具是什么。
他们需要从整体上看,组织首先需要保护什么,然后从那里建立起来。因为,如果你真的被破解了,那些网络罪犯将更难获得访问权限。多年来,我一直在说:“你要么是一家被黑客攻击的公司,要么是一家被黑客攻击但还不知道的公司。”。
重要的是,企业要有这样一种心态,即防火墙不再将坏人拒之门外。你必须认为坏人在你的组织里;以及如何确保,如果他们真的进去了,你可以控制住他们,这样他们就不能拿到皇冠上的珠宝了。
你关注员工因素,以及他们如何不受保护。对于一个组织中的员工,即使该组织没有一个适当的系统,您有什么建议可以保护他们的数据
员工是你最大的资产。但是,如果他们没有意识到外面的危险以及如何保护自己,这基本上就像是一个家:窗户上可能有栅栏,警报系统和前窗上的“当心狗”标志。但如果他们来按门铃,而你十几岁的儿子或女儿决定打开前门,让他们进来,你就在这场失败的战斗中。教育你周围的人。寻找开源软件来加密或隔离文件夹,或者备份数据并断开连接。很多时候,当勒索软件攻击时,网络罪犯已经在系统中存在了足够长的时间,可以删除你的备份。
此外,有了KnowBe4,您可以为组织中最多100人进行免费的网络钓鱼评估。组织的IT团队可以对其进行分析,并开始与上级管理层沟通,以采取必要的措施。
很多时候,你不可能进入其中一个对话,并且完全是技术性的。相反,你需要说出他们的语言:谈论组织的声誉、数据损失、知识产权、收入损失、业务损害,以振作高层管理人员的耳朵。
这些都是重要的关键词,对吧
是的。当你开始谈论声誉损失、业务损失、收入损失,并且有数据显示其他组织也经历过同样的情况时,你将能够实施保护组织或员工的计划。
如果你能说首席执行官的语言,作为一名安全专业人士,你的生活会轻松得多。