"Security-training voor personeel is geldverspilling"
Het trainen van gebruikers om bijlagen en links in verdachte e-mails niet te openen is weggegooid geld, aldus een bekende beveiligingsexpert. Volgens Dave Aitel van beveiligingsbedrijf Immunity is het een "hardnekkige mythe" dat bedrijven hun veiligheid kunnen verbeteren door het personeel te leren hoe ze kunnen voorkomen om de organisatie met malware te infecteren.
In het verleden zijn verschillende grote ondernemingen zoals RSA en Google via spear phishing-aanvallen gehackt. Een gebruiker opent een bijlage of link waar een exploit of malware in verstopt zit waardoor de aanvallers toegang tot het netwerk krijgen.
Aitel stelt dat er altijd gebruikers zijn die op linkjes blijven klikken en bijlagen zullen openen. Daarvoor verwijst hij naar één onderzoek uit 2004. Kadetten aan de militaire academie West Point werden vier uur getraind in computerbeveiliging. Toch klikte 90% van de kadetten op een link in een phishingmail die de trainers vervolgens stuurden.
Verantwoordelijkheid
"Wat IT-professionals eigenlijk zeggen als ze voor een trainingsprogramma voor hun gebruikers vragen is dat het niet hun fout is, maar dit is niet waar. Een gebruiker heeft geen verantwoordelijkheid voor het netwerk en is niet in staat om moderne veiligheidsdreigingen te herkennen of zich hier tegen te beschermen", gaat Aitel verder.
Hij vindt het onterecht om eindgebruikers de schuld van computerinfecties te geven. Zeker gezien het niveau en complexiteit van veel aanvallen. De beveiligingsexpert erkent dat hij geen hard bewijs heeft om zijn punt te maken, maar komt het zelf regelmatig in de praktijk tegen. Bij bedrijven die 'security awareness' trainingen doen blijkt nog steeds tussen de 5% en 10% van de werknemers te klikken.
Segmenteren
"In plaats van tijd, geld en mankracht te spenderen aan het trainen van werknemers om veilig te zijn, moeten bedrijven zich richten op het beveiligen van de omgeving en het segmenteren van het netwerk. Het is een betere zakelijke IT-filosofie dat werknemers op een willekeurige link kunnen klikken of bijlage openen, zonder dat dit schade aan het bedrijf berokkent", merkt Aitel op.
"Aangezien ze het toch doen, kun je er beter rekening mee houden. Het is de taak van de CSO, CISO of IT-security manager om ervoor te zorgen dat dreigingen worden gestopt voordat ze een werknemer bereiken, en als deze maatregelen falen, het netwerk voldoende is gesegmenteerd om de infectie-uitbraak te beperken."
Wel duidelijk waarom hij met dat verhaal komt, als je ziet welk bedrijf hij heeft...
Kadetten aan de militaire academie West Point werden vier uur getraind in computerbeveiliging. Toch klikte 90% van de kadetten op een link in een phishingmail die de trainers vervolgens stuurden.
En dus is slechts 4 uur training duidelijk niet genoeg.
Neem dan een awaress training van 4 uur waar je tegen een pratend hoofd aankijkt. Waar veelal onbegrijpelijke en ook vaak inituitief (en soms evident) zinloze regeltjes gedebiteerd worden. Waar je geen examen over hoeft te doen, of alleen een schoonheidcertificaatje voor moet halen. Geen enkel bedrijf geeft je pas netwerktoegang als je geslaagd bent - oftewel zakken is geen issue. Bij rijles krijg je een papiertje dat ergens voor staat, waar je iets aan hebt.
4 uur is niet eens genoeg om het gemiddelde setje beveiligingspolicies door te nemen en te ontdoen van alle hoogdravende goede bedoelingen - jip en janneke taal is het in ieder geval zelden. Wat voor rendement zou dat dus in de praktijk nu hebben?
lol, degenen die klikken zouden zowiezo al geklicked hebben. heeft niks met "awareness" te maken, maar met mentaliteit. m'n nichtje klikt alles, en ik mag het om de zoveel tijd weer opknappen... ik zet gewoon een image terug. maar de afspraak maak ik altijd over 2-3 weken om dat te doen... ze heeft al zoveel jaren een laptop, en ik vertel het haar iedere keer. het helpt geen zak.
lol, degenen die klikken zouden zowiezo al geklicked hebben. heeft niks met "awareness" te maken, maar met mentaliteit. m'n nichtje klikt alles, en ik mag het om de zoveel tijd weer opknappen... ik zet gewoon een image terug. maar de afspraak maak ik altijd over 2-3 weken om dat te doen... ze heeft al zoveel jaren een laptop, en ik vertel het haar iedere keer. het helpt geen zak.
Omdat alleen vertellen dat het niet mag niet voldoende is, er zitten voor haar geen nare gevolgen aan.
Zelfde probleem als bij de alles-aanklikkende gebruikers.
Zelfde probleem als bij de alles-aanklikkende gebruikers.
Malware van vroeger had nogal eens de neiging je systeem of bestanden om zeep te helpen.
Tegenwoordig is het op adware na, (bijna) onzichtbaar.
Een simpele user heeft dan de "lekker belangrijk"-mentaliteit.
En welk percentage klikte voor die trainingen ? Het gaat om risk reduction, en niet om risk elimination.
Kadetten aan de militaire academie West Point werden vier uur getraind in computerbeveiliging. Toch klikte 90% van de kadetten op een link in een phishingmail die de trainers vervolgens stuurden.
En dus is slechts 4 uur training duidelijk niet genoeg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
