چرا آموزش کارکنان دیگر کافی نیست؟ راهکار جدید مدیریت ریسک انسانی در امنیت سایبری

​

خلاصه شده توسط هوش مصنوعی:

این مقاله به بررسی چالش‌های جدید امنیت سایبری در عصر هوش مصنوعی می‌پردازد که ریسک انسانی را به یک تهدید جدی‌تر تبدیل کرده است. هوش مصنوعی مولد زمان تولید حملات فیشینگ حرفه‌ای را از ۱۶ ساعت به تنها ۵ دقیقه کاهش داده و مهاجمان می‌توانند ایمیل‌های شخصی‌سازی‌شده و متقاعدکننده‌ای بسازند که تشخیص آن‌ها برای کارکنان بسیار دشوار است. مقاله توضیح می‌دهد که چرا آموزش‌های سنتی و جداافتاده آگاهی امنیتی دیگر کافی نیستند و چگونه سازمان‌ها باید ریسک انسانی را به‌عنوان بخشی یکپارچه از استراتژی مدیریت ریسک سایبری خود در نظر بگیرند. رویکرد پیشنهادی شامل ترکیب داده‌های رفتاری کارکنان، شبیه‌سازی‌های فیشینگ هوشمند، آموزش‌های شخصی‌سازی‌شده خودکار و پیش‌بینی مسیرهای حمله بالقوه است که به سازمان‌ها امکان می‌دهد به‌جای آموزش‌های عمومی، به‌طور هدفمند کارکنان پرریسک را شناسایی و آموزش دهند. در نهایت، مقاله با ارائه مثالی واقعی از یک شرکت بزرگ جهانی نشان می‌دهد که چگونه یکپارچه‌سازی آموزش آگاهی با مدیریت ریسک فنی می‌تواند به‌طور چشمگیری امنیت سازمان را افزایش دهد.

امروزه هر کارمندی، خواسته یا ناخواسته، در حوزه امنیت سایبری فعالیت می‌کند. مهاجمان سایبری انسان‌ها را به‌عنوان آسان‌ترین مسیر نفوذ انتخاب کرده‌اند و هوش مصنوعی این مسیر را هموارتر از همیشه کرده است. دیگر زمان اشتباهات تایپی مضحک و لینک‌های مشکوک آشکار گذشته است. حملات امروزی با محتوای تولیدشده توسط هوش مصنوعی و مهندسی اجتماعی فوق‌العاده شخصی‌سازی‌شده قدرت گرفته‌اند. این کمپین‌ها می‌توانند گردش‌های کاری داخلی را بازتولید کنند، همکاران را تقلید کنند و درخواست‌های قانونی را با سهولت شبیه‌سازی کنند.

انسان‌ها همچنان حلقه ضعیف هستند، اما تقصیر آن‌ها نیست

کارکنان روزانه ده‌ها تصمیم امنیتی می‌گیرند که اغلب بدون فکر کردن اتفاق می‌افتد. هوش مصنوعی مولد زمان لازم برای ساخت یک ایمیل فیشینگ متقاعدکننده را از ۱۶ ساعت به تنها ۵ دقیقه کاهش داده است. مهاجمان اکنون می‌توانند به سرعت اسکریپت‌هایی برای استخراج پست‌های رسانه‌های اجتماعی تولید کنند و ایمیل‌های شخصی‌سازی‌شده برای هدف خود بسازند. محیط‌های سازمانی نیز پیچیده‌تر شده‌اند و یک کلیک ساده برای ورود به محیط می‌تواند به‌صورت زنجیره‌ای گسترش یابد.

در همین حال، از کارکنان انتظار می‌رود با ابزارهای جدید همگام شوند، خود را با به‌روزرسانی‌های سیاست‌ها وفق دهند و حملات در حال تکامل را تشخیص دهند؛ همه این‌ها در حالی که مشغول انجام وظایف اصلی شغلی خود هستند. این حرکت مداوم اغلب منجر به خستگی ریسک می‌شود.

آموزش‌های جدا افتاده آگاهی امنیتی دیگر جواب نمی‌دهد

چه آسیب‌پذیری فنی باشد چه رفتار انسانی، مجرمان سایبری یک اکوسیستم یکپارچه از ضعف می‌بینند. با این حال، بسیاری از سازمان‌ها هنوز ریسک خود را به‌صورت جداگانه مدیریت می‌کنند. آن‌ها ریسک فنی سازمان را در یک ابزار نظارت می‌کنند و شبیه‌سازی فیشینگ را در ابزار دیگری اجرا می‌کنند. امروزه این جداسازی می‌تواند تبدیل به یک مسئولیت شود.

علاوه بر این، کمپین‌های سالانه فیشینگ عمومی و ماژول‌های آموزشی کافی نیستند. ابزار مؤثر باید شخصی‌سازی‌شده و استراتژیک باشد تا بتوانید رفتار را به روش درست و در زمان مناسب تحت تأثیر قرار دهید. شبیه‌سازی‌های فیشینگ نیز باید همگام با چشم‌انداز تهدید تکامل یابند. با تنظیم شبیه‌سازی‌ها برای تقلید از تکنیک‌های حمله فعلی، می‌توانید اطمینان حاصل کنید که کارکنان برای تهدیداتی که بیشتر احتمال دارد با آن‌ها مواجه شوند، آماده هستند.

چرا باید ریسک انسانی را به استراتژی مدیریت ریسک خود اضافه کنید؟

مدیریت ریسک و در معرض تهدید سایبری با دید شروع می‌شود و دید شما بدون در نظر گرفتن انسان‌ها ناقص است. محاسبه ریسک انسانی به شما بینش بیشتری درباره آسیب‌پذیری سازمان می‌دهد و امکان مقابله با تهدیدها را با کانتکست بیشتری فراهم می‌کند.

نتایج شبیه‌سازی فیشینگ تنها بخشی از پازل هستند. این استراتژی تمام فعالیت‌ها و اطلاعات لازم برای ساخت پروفایل ریسک جامع برای کارکنان شما را فراهم می‌کند. به‌جای انجام آموزش‌های گسترده، می‌توانید انواع خاصی از آموزش را که بیشترین ارزش را دارند، اولویت‌بندی کنید.

هنگامی که آموزش آگاهی در استراتژی‌های گسترده‌تر مدیریت در معرض تهدید ادغام می‌شود، می‌تواند به تیم‌های امنیتی کمک کند تا:

• ریسک انسانی را اندازه‌گیری کنند با تحلیل داده‌های هویتی کارمند، عادت‌های امنیتی و سطوح آگاهی.
• به‌طور خودکار کاربران پرریسک را با آموزش هدف قرار دهند، تا راهنمایی شخصی‌سازی‌شده در زمان مناسب ارائه شود.
• پیش‌بینی کنند کدام کارکنان بیشتر احتمال دارد بخشی از مسیرهای حمله بالقوه باشند و آن‌ها را آموزش دهند.
• از حلقه بازخورد مداوم بهره ببرند زیرا نتایج شبیه‌سازی فیشینگ و آمار تکمیل آموزش به مدل‌های امتیازدهی ریسک لحظه‌ای تغذیه می‌شود.
• در زمان صرفه‌جویی کنند با راه‌اندازی گردش‌های کاری خودکار برای ارائه آموزش به کارکنان خاص بر اساس شرایط و معیارهای انتخابی شما.

هدف نهایی برنامه آموزش آگاهی امنیتی ایجاد تغییر رفتاری پایدار است. این استراتژی جدید به شما امکان می‌دهد معیارهای جامعی مانند ریسک کلی سازمان برای سازش حساب کاربری و تعداد حساب‌های دارای احراز هویت ضعیف را ردیابی کنید.

مثالی از هدف‌گیری استراتژیک ریسک انسانی

یک شرکت بزرگ جهانی را در نظر بگیرید که هدفش آموزش کارکنان و کاهش ریسک سازش حساب کاربری است. به‌جای تکیه بر شبیه‌سازی‌های سالانه فصلی و ماژول‌های آموزشی عمومی، آن‌ها از راهکاری استفاده می‌کنند که آموزش آگاهی امنیتی را با داده‌های ریسک فنی یکپارچه می‌کند.

ابتدا، آن‌ها گردش‌های کاری خودکار را برای صرفه‌جویی در زمان و تلاش راه‌اندازی می‌کنند. بنابراین، هنگامی که ابزار نشانگرهای سازش حساب کاربری را شناسایی می‌کند، به‌طور خودکار بازنشانی رمز عبور را برای حساب مربوطه اجبار می‌کند و اعلان‌های ایمیل را با جزئیات به تیم امنیتی ارسال می‌کند. برای تقویت رفتار امن و جلوگیری از تکرار، آموزش آگاهی مرتبط را درباره محافظت از رمز عبور و احراز هویت چندعاملی (MFA) به کاربر آسیب‌دیده ارائه می‌دهد.

دوم، آن‌ها از پیش‌بینی مسیر حمله استفاده می‌کنند تا ببینند کدام کاربران روی مسیرهای حرکت جانبی حیاتی قرار دارند. آن‌ها می‌بینند که یک حمله می‌تواند دستگاه در معرض اینترنت را به خطر بیندازد و از طریق نقاط پایانی به‌صورت جانبی حرکت کند و در نهایت به حساب دامنه با دسترسی‌های بالا برسد. آن‌ها به‌صورت پیشگیرانه آموزش آگاهی را به کاربران متصل ارائه می‌دهند.

همانطور که کارکنان آموزش آگاهی را تکمیل می‌کنند، امتیازهای ریسک فردی آن‌ها به‌صورت لحظه‌ای به‌روزرسانی می‌شود. تیم امنیتی اکنون می‌تواند این بهبودها را نظارت کند و استراتژی خود را برای تمرکز بر حساب‌هایی که بیشتر احتمال دارد دوباره هدف قرار گیرند، تنظیم کند. اینجاست که آموزش آگاهی امنیتی استراتژیک می‌شود نه صرفاً چک‌باکسی برای انطباق.

گام‌های بعدی: نگاه جامع به مدیریت ریسک سایبری

عنصر انسانی تنها یک وجه از ریسک سازمان شماست. برای مدیریت جامع ریسک سایبری، باید کل سطح حمله خود از جمله دارایی‌های ناشناخته، مدیریت‌نشده و شخص ثالث را مورد توجه قرار دهید. راهکارهای یکپارچه مدیریت ریسک معمولاً قابلیت‌های کلیدی مانند آگاهی امنیتی، مدیریت آسیب‌پذیری و امنیت هویت را ترکیب می‌کنند تا بتوانید اصلاح را اولویت‌بندی کرده و ریسک خود را به‌صورت استراتژیک کاهش دهید.

تاب‌آوری واقعی به معنای در نظر گرفتن افراد به‌عنوان بخشی از نقشه در معرض تهدید است. یکی از محصولاتی که در این زمینه می‌تواند به سازمان‌ها کمک کند، Trend Vision™ One Cyber Risk Exposure Management است که شامل اپلیکیشن Security Awareness برای یکپارچه‌سازی آموزش کارکنان با مدیریت ریسک فنی می‌شود.