Phishing startede omkring slutningen af 90'erne, og har løbende udviklet sig siden. De seneste former for phishing omfatter den traditionelle phishing, spyd phishing, CEO svig, og Business-mail Kompromis (BEC). En af de værste resultater af phishing er den ransomware angreb, hvor hackeren stjæler / krypterer fortrolige virksomhedens data, og extorts penge til at returnere den til virksomheden. Ransomware er blevet en million dollar industri i sig selv.
Virksomheder, der arbejder i softwareudvikling i Indien er endnu ikke tilstrækkeligt udstyret til at håndtere disse sikkerhedstrusler, og dermed, intetanende ofre for sådanne svindel, som er stærkt påvirker omsætning og omdømme deres brand enheder.
Hvorfor er de fleste Cyber Security Capabilities Ikke Effektiv?
1. Virksomheder er ikke overbevist om deres sikkerhedsforanstaltninger
De fleste virksomheder indrømmer, at deres sikkerhed bevidsthed og modvirke foranstaltninger ikke op til opgaven, på grund af manglende viden om typer af phishing og ransomware-angreb. Ransomware såsom Golden øje målrette en del af de ansatte, der ville uforvarende klikker deres phishing links - sige et CV link til en tysk talende HR, der henter en ondsindet Ransomware når der klikkes. Sådanne Ransomware beder om kontakt links og Bitcoin betalinger til at dekryptere de krypterede selskab filer.
2. Virksomheder er ikke klar til at bruge extravagantly på sikkerhed
Forebyggelse og bekæmpelse af avanceret phishing og Ransomware kræver sikkerhedsløsninger, der er dyre. Store organisationer kan stadig råd til dem som omkostninger per medarbejder mindskes betydeligt, mens små organisationer er altid i fare, da de for det meste vælge gratis versioner af sikkerhedsløsninger eller ikke abonnerer på nogen sikkerhedsløsninger. Men, få virksomheder indser, at de penge, der bruges på en effektiv sikkerhed management løsning kan spare en masse ekstra udgifter i form af tab af nuværende og fremtidige indtægter og omdømme.
4. Brugerne er det svage led
Selv om virksomheden indregner det øjeblikkelige behov for en robust sikkerhedsløsning, brugerne (medarbejdere) ofte bukke under for de lokker af e-mail links, der benyttes af phishing, CEO bedrageri / BEC, og ransomware forsøg. Dette skyldes, at virksomhederne ikke fokusere på at levere regelmæssig bevidsthed uddannelse fra emnet eksperter. Ud over den træning, er det nødvendigt at have regelmæssig overraskelse test for at måle bevidsthed niveauer af medarbejderne. Dette sker ikke i mere end 50% af virksomheder på nuværende.
5. Organisationer er ikke den fornødne omhu
utilstrækkelig backup
Den stigende tendens i virksomhederne er at have en hybrid hosting arkitektur - med regelmæssige data, der er lagret på skyen og kritisk fortrolige data bliver gemt på stedet. Hvis sikkerhedskopier af alle data ikke træffes af sikkerhedsløsning, er der stadig ingen anden mulighed end at betale op til ransomware apps i tilfælde af data bliver stjålet.
Ingen test efter sikkerhed bevidsthed træning
Sikkerhed bevidsthed uddannelse er blevet reduceret til det ren formalitet, der finder sted en gang om året i de fleste virksomheder. Også, disse kurser, ikke følges op af test, som ville oplyse virksomhederne om de nuværende bevidsthed niveauer af medarbejderne.
Ingen kontrol af højere transaktioner niveau
Topledelsen niveau data og finansielle transaktioner ikke udsættes for sikkerhedskontrol, der kræver en to-faktor-autentificering. Det gør dem sårbare over for CEO Svig, og BEC svindel, via e-mail.
Ingen implementering BYOD
Det er dokumenteret, at et flertal af virksomhederne stadig ikke har strenge BYOD politikker, at kontrollere, om personlige apps som redaktører, bruges af medarbejderne til at ændre virksomhedens data. Virksomheden data skal krypteres, og segregeret, så det ikke kan tilgås af andre end de i virksomheden ansøgningen suite apps, og at også efter rollebaseret autentifikation.
På den anden side, cyber kriminelle og deres organisationer er foran kurven udvikling, som de kommer op med opgraderinger til at angribe de nyeste teknologier. I modsætning til deres Indisk softwareudvikling modparter, de er godt finansieret og generere smuk indtægter ved at holde fortrolige forretningsdata til løsesum.
Hvordan til at tackle disse mangler?
1.Virksomhederne bør værdsætte sikkerhedsrisici at phishing, spyd fiskeri, CEO bedrageri, og andre svindel realistisk udgøre for deres data.
2.Regelmæssig revision (test) bør gennemføres for at bestemme sikkerheden bevidsthed om de ansatte.
3.Strenge BYOD politik og andre mobile arbejdsplads løsninger bør bruges til at levere fremragende Mobile Application Management og Mobile Device Management.
4.Systemer spredt over sky og on-premises hosting, og udviklet på forskellige platforme bør holdes opdateret til deres nyeste versioner og holdt bakkes op med jævne mellemrum.
5.Anti-malware / anti-ransomware løsninger bør abonnerer på på en SaaS grundlag for at afværge angreb på sikkerheden.
6.Alle data på enheden og delte data over netværket skal være krypteret. Dette resulterer i data-centreret beskyttelse, der sikrer, at hackere ikke kan bruge data, selv hvis det lykkes dem at stjæle den.
7.Sporing og overvågning, som forbinder medarbejderne klikker gennem deres e-mails hjælpe med at identificere potentielle trusler ved hjælp adfærd analytics.