Door Anoniem: Ik snap dat je de boel wilt versimpelen voor de massa maar zou als een CISO hier niet mijn handtekening aan verbonden ooit willen zien. Gelukkig is ze een Global head of product security strategy (nooit gehoord van die titel). Ik snap werkelijk niet hoe iemand met PMP, CISSP kan denken ja dit een helder eerlijk en vooral *veilige* training richting eindgebruikers.
Ik snap haar prima , en - in de context van adviezen aan "het grote publiek" heeft ze gewoon gelijk.
De security industry zit vol met "best practices" die niet langer "best" of relevant zijn - als de omstandigheden en het threat landschap wijzigen kunnen aanbevelingen en waarschuwingen ook niet meer van toepassing zijn.
Of in prioriteit en nut verschuiven .
Eerste punt. "It’s up to me to spot suspicious links on my own" Ja absoluut dat is je verantwoordelijkheid.
Je kunt tools gebruiken als onderdeel van je audit, controle maar enkel vertrouwen op dat je browser (Sorry Google product) weet dat iets fraude risico meedraagt is false sense of security.
Dat is de zaak omdraaien - niks mis met awareness - maar het is inderdaad niet (meer) de gebruiker die als enige in staat moet zijn om malicious links te herkennen.
"Avoid public Wi-Fi at all costs" Nuance ontbreekt wat wil je doen op het WIFI punt wat is de WIFI versleutelingstype waar je mee connect? Moet je gegevens invullen voor je erop mag? Ga je roddel site bladeren op je telefoon of je persoonlijke laptop met up to date beveiliging aansluiten voor browsing dan who really cares? Ga je je bankzaken regelen persoonlijke informatie invullen of iets downloaden dan waar ben je in hemelsnaam mee bezig?
Dat is gewoon volkomen terecht - in het risicolandschap van gewone gebruikers is "publieke wifi" een heel klein probleem .
"Wij" als security professionals toeteren permanent hoe goed TLS wel niet is - en dan is het opeens niet goed genoeg voor de kleine kans dat er iemand meekijkt op wifi .
Sinds de wereld "alles over TLS" geworden is en plaintext POP zo goed als uitgeroeid is het risico van "publieke wifi" marginaal geworden.
Wanneer je tante Truus 4 of 5 of 10 "meest nuttige" tips moet geven voor "Internet veilig" hoort "mijd publieke Wifi" niet in die lijst - gewoon omdat het geen top 10 probleem is.
En dan het slot icoontje verhaaltje wat nergens op slaat. Ja de pagina heeft versleuteling maar het zegt *niks* over wat de versleuteling is en wie je mee communiceerd. Daarvoor moet je onder andere het certificaat uitlezen. Beste false sense of security in browser voorbeeld ooit het geweldige https slotje (wat trouwens Google met alle mogelijke manieren probeert te killen) een prachtige echte beveiliging mythe mede mogelijk gemaakt door de EV certificaat wereld in het verleden.
"Bluetooth is dangerous" Generalisering ten top zowel de mythe als de uitleg hier. Welke standaard gaat het over? Wat is current standard ? Ik ken latest bluetooth sversie van moment van schrijven is 5.2. Ik kan gokken wat de meest gebruikte versie is zakelijk en particulier met enige datasets. Maar current standard? Dat zijn alle versies die niet deprecated zijn. Ofwel alles ouder dan 4.1 momenteel. Maar dat gaat niet om software EOL dat gaat om fabrikant verbod van product certificering als het land er uberhaubt omgeeft en andere landen de controle serieus nemen (which most don't)
Daarnaast Bluetooth versies hebben soms hele specifieke rollen denk aan Bluetooth Low Energy (BLE) . En weer mis ik wat sluit je aan? headset voor muziek op je telefoon no problem. Voor gesprek afhankelijk wat gespreksstof is. Voor toetstenbord, muis buiten gecontroleerde omgeving wel wat doe je op je apparaat? Pleasure or work?
Ook daar geldt - als advies aan de tante Truusen van de wereld : bangmakerij over bluetooth hoort van geen kanten in de risico awareness.
Er zijn vast wapenfreaks die miepen over hoe makkelijk een armor-piercing round uit een AK47 door het blik van auto gaat.
Ze hebben technisch geen ongelijk - maar in het threat-model van normale mensen in de redelijk beschaafde wereld staat dat criterium totaal onderaan enige zinvolle lijst van "veilige auto kiezen" .
Het geldt voor meer domeinen - dingen die vakspecialisten "technisch gaaf" vinden, of "nieuwe ontdekking" worden soms over gerepresenteerd in verhouding tot hun relatieve nut of risico .
Of worden pas relevant nadat al het laaghangende fruit geoogst is.
"Password managers are risky" Ja password managers zijn risikant van nature. Daarom dat je op een goede password manager werkt met secret keys, MFA, IP restrictie en in corporate met monitoring diensten. Alles dat gegevens bevat dat toegang geeft tot iets anders is een risico. Dat neemt niet weg dat het een minder risico kan vormen dan andere methodes maar alles waar toegang tot te krijgen is is ten alle tijden een risico.
Je hebt gezien dat deze in de sectie "mythologie" staat ?
Het is bijna het equivalent van die rare verhalen van mensen met een hekel aan autogordels, en dan komen met verhalen over gewurgde of onthoofde gordeldragers waar de gordel-loze gewoon uit wrak klom .
"Cybercriminals won’t waste their time targeting me" Het verhaal begint goed maar dan gaat men ineens social engineers gebruiken alsof het een vak is dat je kan volgen. Social engineering is een methode, techniek niet een vak. Zelfs Google zelf weet dat want die donderd je meteen naar paginas door met social engineering. En er wordt geen woord gerept over social engineers. Wel criminelen, hackers, con artists.
Ook deze staat in de sectie "mythologie" - en in de context die ze er netjes bijgeeft klopt het .
Ook al ben je het niet eens met een verhaal - je doet er goed aan nog steeds eerlijk te lezen.
Hier zit je echt spijkers op laag water te zoeken.
Dat de geavanceerde elite hacker zich typisch _richt_ op een totale random nobody - dat is niet waar, en nooit waar geweest . Dat is inderdaad een waste of time .
Maar dat doortrekken naar "geen enkele cybercriminal richt zich op mij" - dat is omjuist , en dus een mythe.
De 'gewone' oplichters, phishers, scammers "richten" zich op alles wat bereikbaar is - en dat kan ook een gewone tante Truus zijn .
En die types mag je echt wel "cybercriminals" noemen - en zijn voor een groot deel social engineers .
En het is goed om te benoemen dat die tak van cybercriminaliteit berust op social engineering - en weinig op technische middelen .
Daarnaast de kans dat je iemand aan de lijn krijgt vs een spambot die je een script activerend bestand stuurt zit wel een heel groot verschil in. Kan je wel leuk zeggen secure by default (Alles is insecure by default) maar als je op een mail klikt met script en expliciet het toelaat wel dan heb je niks aan security van je MUA of browser. En waar beschermt een browser of mua bij laten we zeggen niet technisch onderlegd goed gelovig persoon die target is van social engineering?
Dat slotje op die kadobon site staat er ook gewoon en inloggen op je eigen bank wel ook gewoon veilig natuurlijk (niet met wie je dat doet)
De callcenters scammers doen toch echt heel veel cold calling .
Het _is_ toch terecht om te zeggen dat er een reeel risico is om van dit soort zaken een doelwit te zijn - en dat HIER de gebruiker wel alert moet zijn op social engineering .
Veel relevanter om te adviseren "wees je bewust van social engineering" dan "lgebruiker moet URLs en linken in mail kunnen lezen" .
Use 2-Step Verification (2SV): Nee please don't for F sake. Gebruik 2FA of gebruik nog liever MFA. 2SV wordt ronduit slecht geimplementeerd iedereen in cybersecurity weet dat het minder veilig is dan 2FA of MFA. Je doet twee stappen controle en niet twee losse factors. De naam zegt het al er is geen verplichte losse extra authenticatie nodig het wordt aangeraden maar niet afgedwongen en het laatste wat je wilt is dat de eindgebruiker kan bepalen hoe zwaar slot je op de deur gooit tussen twee types want grootste deel gaat voor de less hassle less secure method.
Ik denk dat je hier ook niet eerlijk bent .
Er is _veel_ verwarring over terminologie - en subsets.
zie
https://rublon.com/blog/2fa-2sv-differenceMet de verheldering
which could be a code sent to your phone, security key, etc. S
zie ik totaal niet dat 2FA _uitgesloten_ is - en zo lees jij die paar regels wel.
"Setup Account Recovery" Congrats Google door eerst te zeggen het is belangrijk om account recovery in orde te hebben (wat klopt) om dat verhaal daarna compleet om zeep te helpen door te zeggen omdat we inactieve accounts verwijderen. Is dit mede van belang.
Een inactief account op zichzelf is geen enkel groter risico. De naam zegt het al *inactief* Dat zegt ook niks over de monitoring status. Dat is het zelfde zeggen dat omdat je een kluis nooit opent met je testatement erin dat we uit veiligheid maar de kluis moeten weghalen. Zolang je maar weet dat je account er is en in de gaten houdt dat er niks mee gebeurd.
Is het efficient om inactieve accounts te hebben? Meestal niet maar dit gaat puur om sales puur om kostenbesparing en betere targeted marketing *niet* om veiligheid.
Je komt over als iemand die in Enterprise security werkt - en dan heb je GEEN bezwaar tegen slapende accounts ?
"In de gaten houden en weten dat het er is " is precies wat een account NIET slapend maakt .
Er is altijd enig risico op een account compromise - en bij slapende accounts kan dat ongemerkt gaan - terwijl het account toch een stepping stone kan zijn naar meer toegang, of andere toegang . Bijvoorbeeld omdat het slapende account social of technisch trusted is.
Inderdaad - als je weet dat het er is en in de gaten houd speelt dat probleem niet -maar dan is het geen slapend account meer . Hooguit 'weinig gebruikt' .
"Install Updates" Het enige punt wat eigenlijk redelijk goed is verwoord het is wonder te noemen.
Het ergste van dit alles vind ik alle argumenten (niet mythes) worden geminimaliseerd Het is een mythe het is geen echt risico zolang je maar Google producten gebruikt. En menig niet kritisch persoon slikt dit met de pap lepel. Dat je dit vanuit marketing functie ethisch kunt verantwoorden weet je ok maar een Cybersecurity professional? Ik zou me kapot schamen. Als dit echt door Camille Stewart is opgesteld en of goedgekeurd heeft mij betreft haar credibility een goede deuk opgelopen.
Ik vind dat je een kokerblik hebt . Het doel is niet advies aan het hoofd van de CIA - het doel is advies aan tante Truus in de wereld.
Als je ethisch bezig bent waarschuw je mensen voor de _voor hen meest relevante risico's_ , en beveel je maatregelen aan in volgorde van effectiviteit .
En niet in volgorde van wat je als techneut leuk of spannend vind, of om te laten zien hoe goed je de frontlinie van security research volgt .
De piklengte wedstrijd wat allemaal nog meer een threat kan zijn - die is voor conferentie postings, afstudeerders van Ben Gurion die het zoveelste side channel pimpen, en researchers die naam willen maken.
Als je doelgroep CEOs van Fortune 50 bedrijven en presidenten is zijn je aanbevelingen langer (of korter : "gebruik alleen de speciale IT laptop").
Als je een blog schrijft voor "de wereld" - met een stuk of vijf do's en don't - uitstekend om onterecht groot gemaakte risico's tot realiteit terug te brengen , en de meest relevante maatregelen nogmaals te benoemen.