フィッシング詐欺は90年代後半に始まりました, 以来、継続的に進化してきました. 最新のフィッシングには、従来のフィッシングが含まれます, スピアフィッシング, CEOの詐欺, およびビジネス電子メールの侵害 (BEC). フィッシングの最悪の結果の1つは、 ランサムウェア攻撃, ハッカーが企業の機密データを盗む/暗号化する場所, そしてそれを企業に返すためにお金を押し出します. ランサムウェアはそれ自体で百万ドルの産業になりました.
インドでソフトウェア開発に携わっている企業は、これらのセキュリティの脅威に対処するための十分な設備をまだ備えていません。, したがって, ブランドエンティティの収益と評判に深刻な影響を与えるような詐欺の餌食になります。.
ほとんどのサイバーセキュリティ機能が効果的でないのはなぜですか?
1. 企業はセキュリティ対策に自信がありません
ほとんどの企業は、セキュリティの認識と対策が課題に適していないことを認めています, フィッシングやランサムウェア攻撃の種類に関する知識が不足しているため. ゴールデンアイなどのランサムウェアは、一部の従業員を標的にしています, 知らないうちにフィッシングリンクをクリックする人–クリックすると悪意のあるランサムウェアをダウンロードするドイツ語を話すHRへの履歴書リンク. このようなランサムウェアは、暗号化された会社のファイルを復号化するために、連絡先リンクとビットコインの支払いを要求します.
2. 企業はセキュリティに贅沢に費やす準備ができていません
高度なフィッシングとランサムウェアの防止と対策には、高価なセキュリティソリューションが必要です. 大規模な組織でも、従業員1人あたりのコストが大幅に削減されるため、余裕があります。, 一方、小規模な組織は、ほとんどの場合、セキュリティソリューションの無料バージョンを選択するか、セキュリティソリューションに加入していないため、常にリスクにさらされています。. でも, 効果的なセキュリティ管理ソリューションに費やされたお金が、現在および将来の収益と評判の損失という点で多くの余分な支出を節約するのに役立つことを認識している企業はほとんどありません。.
4. ユーザーは弱いリンクです
企業が堅牢なセキュリティソリューションの差し迫った必要性を認識している場合でも, ユーザー (従業員) 多くの場合、フィッシングで使用される電子メールリンクの誘惑に屈します, CEO詐欺/BEC, ランサムウェアの試み. これは、企業が対象分野の専門家による定期的なセキュリティ意識向上トレーニングの提供に重点を置いていないためです。. トレーニングに加えて, 従業員の意識レベルを測定するために、定期的なサプライズテストを実施する必要があります. これは以上では起こっていません 50% 現在の企業の.
5. 組織はデューデリジェンスを実施していません
不十分なバックアップ
企業で増加する傾向は、ハイブリッドホスティングアーキテクチャを採用することです。通常のデータはクラウドに保存され、機密データはオンプレミスに保存されます。. すべてのデータのバックアップコピーがセキュリティソリューションによって取得されていない場合, データが盗まれた場合に備えて、ランサムウェアアプリまで支払う以外に選択肢はありません。.
セキュリティ意識向上トレーニング後のテストなし
セキュリティ意識向上トレーニングは、ほとんどの企業で1年に1回行われる単なる形式的なものになりました。. また, これらのトレーニングはテストによってフォローアップされません, これは、従業員の現在の意識レベルについて企業に啓蒙するでしょう.
上位レベルのトランザクションのチェックはありません
トップマネジメントレベルのデータと金融取引は、2要素認証を必要とするセキュリティチェックの対象ではありません. これにより、CEOの不正行為に対して脆弱になります, と BEC詐欺, メールで.
BYODの実装なし
大多数の企業はまだ厳格なBYODポリシーを持っていないことが文書化されています, エディターなどの個人用アプリをチェックする, 会社のデータを変更するために従業員が使用する. 企業データは、エンタープライズアプリケーションスイート以外のアプリからアクセスできないように、暗号化して分離する必要があります。, そしてそれも役割ベースの認証の後.
一方で, サイバー犯罪者とその組織は、最新のテクノロジーを攻撃するためのアップグレードを考え出すため、開発曲線を先取りしています。. 彼らとは異なり インドのソフトウェア開発 カウンターパート, 彼らは十分な資金を調達しており、身代金として機密のビジネスデータを保持することでかなりの収益を生み出しています.
これらの欠点に取り組む方法?
1.企業は、フィッシングによるセキュリティリスクを理解する必要があります, 槍釣り, CEO詐欺, と他の詐欺は現実的に彼らのデータにポーズをとる.
2.定期的な監査 (テスト) 従業員のセキュリティ意識を判断するために実施する必要があります.
3.厳格なBYODポリシーおよびその他のモバイルワークプレースソリューションを使用して、優れたモバイルアプリケーション管理とモバイルデバイス管理を提供する必要があります.
4.システムはクラウドとオンプレミスホスティングに分散しています, さまざまなプラットフォームで開発されたものは、最新バージョンに更新し、定期的にバックアップする必要があります.
5.マルウェア対策/ランサムウェア対策ソリューションは、セキュリティ攻撃を防ぐためにSaaSベースでサブスクライブする必要があります.
6.デバイス上のすべてのデータとネットワーク上の共有データは暗号化する必要があります. これにより、データ中心の保護が実現し、ハッカーがデータを盗んだとしてもデータを使用できないようになります。.
7.従業員が電子メールをクリックするリンクを追跡および監視することで、行動分析を使用して潜在的な脅威を特定できます.