首页 / 资源 / 新闻及趋势 / ISACA 现在博客 / 2021 / 为什么高管安全意识培训很重要

为什么针对高管的安全意识培训很重要

Sourya Biswas
作者: Sourya Biswas, CISSP, CISA, CISM, CCSP, CRISC, CGEIT, NCC集团技术总监
发表日期: 2021年3月18日

威利萨顿 是20世纪初的一个银行抢劫犯,而且是一个相当成功的抢劫犯. 在漫长而不那么辉煌但却非常成功的职业生涯中,他积累了超过200万美元的财富. 即使不考虑通货膨胀,这也是一笔不小的变化. 当一个采访者问他为什么抢劫银行时, 据报道他已经回复了, “因为那是赚钱的地方.”

虽然时代变了,但犯罪分子的目标和动机却没有变. 在数字领域,网络攻击者的目标是容易变现的资产. 的 Verizon 2019年数据泄露调查报告(DBIR) 71%的违规行为是出于经济动机. 当组织寻求安全资产时,可能会以获得财务收益为目标, 重点通常是存储可以出售获利的财务数据或信息的系统, 如 个人身份资料(PII) 或知识产权(IP). 然而, 一个经常被忽视的角度是那些有权访问敏感数据和/或有权做出财务决策的人. 谁比高管更能接触到系统和数据?

网络攻击者并非不知道这种疏忽. 事实上,针对高级管理人员的攻击有一个专门的术语—— 捕鲸. “鲸鱼”一词来自赌博业. 在赌场里,“鲸鱼”是愿意下注的赌徒 超过100万美元 在一个周末. 赌场将花费大量的时间和金钱来吸引和娱乐鲸鱼,希望获得比成本更高的回报. 类似的, 网络攻击者将投入大量资源来瞄准澳门赌场官方下载界的巨鲸, 高级管理人员.

以下是针对高管的两种攻击场景:

  1. 首席执行官收到一封电子邮件(由攻击者冒充大客户发送),要求提供有关产品的敏感信息. 这个信息, 在组织中只有少数高级管理人员可以访问哪些内容, 由首席执行官分享,然后卖给竞争对手. 现在, 实际客户将受到禁止信息共享的保密协议(NDA)的约束. 换句话说, 一个真正的客户可能会因为泄露他们所知道的敏感信息而被告上法庭, 但对于未知的攻击者来说,情况并非如此.
  2. 首席财务官会收到一封带有钓鱼网站链接的电子邮件,该网站会获取他或她的凭证. 如果这些凭证与电子邮件帐户使用的凭证相同, 攻击者现在可以随意阅读和发送电子邮件. 在回顾过去的通信之后, 攻击者向公司的应付账款部门发送电子邮件,指示向供应商付款, 但这是一个新账户. 财务人员不想质疑老板, 因此, 把钱汇到诈骗账户. 这差不多 发生了什么事 2016年在玩具制造商美泰(Mattel)任职.

高管之所以成为攻击目标,不仅仅是因为他们拥有的权限和权力, 也因为, 在很多情况下, 他们不是最了解网络安全问题的人. 这可以归因于他们繁忙的日程安排,在某些情况下,他们不太懂技术. 让管理人员了解当前的威胁环境是很重要的.g.捕鲸, 商业电子邮件入侵),并接受了全天候保护自己在线角色的培训,无论是在工作中还是在其他场合. 毕竟,网络攻击者非常清楚,“钱就在那里。.“在花了17年时间帮助保护信息技术之后, 我经常发现自己向刚从大学毕业的年轻毕业生学习. 这证明了网络安全和 继续教育的需要.

为管理人员及其安全团队提供的安全意识提示
以下是管理人员应该注意的一些安全提示. 还记得, 高管层的高层很可能成为专门针对权威和特权访问的目标. 这样做的目的是防止社会工程或其他可以让攻击者访问其凭证的策略.

高管

  • Use different credentials for work and personal use; enable multi-factor authentication (MFA) whenever possible.
  • 不要共享凭证, 而不是像你的行政助理这样的人代表你正式管理你的账户.
  • 不使用个人设备访问官方资源.
  • Be especially careful about cybersecurity threats while traveling; airports, 咖啡馆和酒店是妥协的热点.
    • 不使用公共USB充电点.
    • Do not use public Wi-Fi unless absolutely required; it’s safer to use your phone as a hotspot.
    • 不要把笔记本电脑放在酒店房间里无人看管.
  • 如果有疑问,就去问. 这包括向安全团队询问可疑的电子邮件或向会计部门询问意外的付款请求.

安全团队

  • 在培训课程和网络钓鱼模拟中不给高管免费通行证.
  • 向高管及其助理提供有针对性的培训,内容涵盖商业电子邮件泄露(BEC)等可能的场景。, 电话窃听丑闻, 汁顶, 等.
  • 出差时确保手提电脑妥善保管, 尤其是高风险地区.
  • 建立快速响应管理人员安全问题的机制 .

结论
同时进行 网络安全检讨 (csr),我经常发现很多都不提供专门的高管培训. 虽然大多数都有一般的安全意识计划,有些还为开发人员和事件响应者提供基于角色的培训, 很少有专门针对高管的培训. 即使正在进行网络钓鱼模拟, 当管理人员点击网络钓鱼链接时,他们通常会被放行,但不会被要求接受额外的培训. 在这种情况下, 不仅高管们没有得到有针对性的培训, 甚至现有的培训机制也没有得到适当的利用. 考虑到违规历史表明高管是专门针对的目标, 这是一个令人担忧的差距,组织需要主动解决.

ISACA年度报告

复选标记
2024
复选标记
2023
复选标记
2022
复选标记
2021
复选标记
2020