Месецът за повишаване на осведомеността за киберсигурността се провежда всеки октомври от 2004г. насам. Тази година Месецът  призова обществеността, професионалистите и партньорите от индустрията да „видят себе си в киберпространството“ по следните начини:

  • Обществеността, като предприеме действия, за да остане в безопасност онлайн.
  • Специалистите, като се присъединят към работната сила в областта.
  • Партньорите от киберпромишлеността – като част от решението за киберсигурност.

CISA очерта четири „неща, които можете да направите“, за да останете в безопасност онлайн за хората и семействата, включително актуализиране на софтуера, мислене преди да кликане, използване на силни пароли и активиране на многофакторна автентификация на чувствителни акаунти.

Индустрията отдавна преподава съвети за сигурност на служителите и обществеността. С толкова много повтарящи се изяви по медии и обучения за кибернетична осведоменост, завръщането на фокуса през октомври е скука  на мнозина. Предлагаме ви преглед на реакциите към месеца на киберсигурността и изводите от тазгодишните теми и послания, които трябва да ни подскажат дали в кампанията има нещо повече от място за  връзки с обществеността.

Най-важните новини от тазгодишния Месец за повишаване на осведомеността за киберсигурността

Емоциите за Месеца на осведомеността за киберсигурността през 2022г. варират от внимание до запомняне, като мъдрите съвети и закачките се смесват с остри, умни новини и материали по интереси.

На върха на класацията се намира прегледът на „The dread, sincerity and comedy of Cybersecurity Awareness Month“ от The Washington Post.

Ужасът и смехът  идват предимно от саркастични туитове, без да се признава тазгодишната тема. Кен Уестин от Cybereason написа в Туитър, че месецът на осведомеността е създаден от Hallmark, за да продава повече поздравителни картички.

Имаше и някои задръжки. Журналистът по киберсигурност Шон Лингас написа в Туитър, че Месецът на осведомеността за киберсигурността е пълен с пиар акции, които се възползват от пробиви в сигурността. Ан Кътлър, изпълнителен директор по PR в Keeper Security, отговори: „Грешите. Всъщност той се нарича Месец на киберсигурността. PR екипите няма да бъдат държани настрана  и ще повишат осведомеността, независимо дали ви харесва или не. Сега вече можете да се считате за осведомени“.

The Register погледна отрезвяващо на месеца на осведомеността и присъщите му предизвикателства в „Националната програма за осведоменост по киберсигурност 18 години по-късно: Не кликвайте върху това.“

Той отрази важността на  това да се запази осведомеността за киберсигурността достатъчно техническа, за да бъде полезна, но и достатъчно проста за разбиране. Участниците в сектора трябва да преминат отвъд „Мисли, преди да кликнеш“, без да загубят аудиторията си и всички усилия, които обществеността вече полага, за да избегне фишинга.

The Register изрази необходимостта служителите с малко познания в областта на киберсигурността да се превърнат в пълноценни специалисти по сигурността. Това няма да се случи скоро. Въпреки това, когато историята обобщи идеята на „Вижте себе си в киберсигурността“, ще се види, че въпреки че сигурността е сложна, от отделните хора зависи да я накарат да работи – това е смисълът.

The Register изтъква, че хората са решението, защото хората са проблемът, като над 80 % от нарушенията са свързани с човешкия фактор, включително хора, които се хващат на фишинг атаки.

Според Register, Seeing Yourself in the Cyber Workforce напомня на организациите, наемащи киберперсонал, че финансирането на обучението се увеличава. Те трябва да го използват за новонаети служители и специалисти, които са натрупали опит след миналогодишното обучение.

Forbes разкрива порой от печални тенденции в кибератаките в „За месеца на осведомеността за киберсигурността (и Хелоуин)-няколко страшни статистики за киберзаплахите“.

Месецът за повишаване на осведомеността за киберсигурността не е оказал измерим ефект върху тенденциите за нарушения. Нарушенията са все по-често срещани и тежки. През второто тримесечие на 2022г. фишингът е бил най-зловещият с над 1 милион атаки.

Forbes отбелязва, че атаките на държавни хакери не са само за критичната национална инфраструктура, като 64% от предприятията казват, че държавни хакери са ги хакнали. Все пак системите за индустриален контрол и ОТ са в по-голяма опасност от обикновените ИТ активи.

Съвети от Месеца за повишаване на осведомеността за киберсигурността 2022

Инициативата на CISA „Четири неща, които можете да направите“ за Месеца за повишаване на осведомеността по въпросите на киберсигурността през 2022г., включваща актуализиране на софтуера, мислене преди да кликане, за да се предотврати фишинг, използване на силни пароли и активиране на многофакторно удостоверяване, беше оповестена с цел да се повлияе на поведението на крайните потребители към по-добри практики за сигурност. Но дали подобни директивни съвети действително работят?

The Register пояснява, че успехът или провалът на Месеца на осведомеността за киберсигурността зависи от начина, по който го измервате. Месецът на киберсигурността не е проработил, ако очаквате въпросът с киберсигурността да бъде решен окончателно. Ако сте се надявали, че хората и организациите ще се отнасят по-сериозно към киберсигурността, тогава месецът на осведомеността е успех.

Месецът за повишаване на осведомеността за киберсигурността и „нещата, които можете да направите“ работят достатъчно добре. Най-резултатното нещо, което трябваше да се направи, беше да се намери по-ефективно решение за фишинга, основано на хората, отвъд „мисли, преди да кликнеш“.

Под повърхността на статията в Post гласове в Twitter изясниха, че обучението по фишинг, като например лекции за изтъкване с пръст и изненадващи фишинг тестове, е нежелателно.

CISA иска партньорите от индустрията да се възприемат като част от решението, работейки заедно за изграждането на сигурна и устойчива технологична екосистема. Като разработват продукти, които да са сигурни по проект, те могат колективно да намалят риска и да защитят критичната инфраструктура, на която американците разчитат.

В статията си във Forbes Чък Брукс посочва, че въпреки месеца на осведомеността енергийният сектор и електрическата мрежа са изложени на значителен риск от атаки. Защитата на критичната национална инфраструктура срещу държавни хакери , като тези, които атакуваха Colonial Pipeline, е предизвикателство. То трябва да бъде приоритет на публичния и частния сектор, както е одобрено от CISA.

Как можем да подобрим киберсигурността през 2023г. отвъд усилията за PR?

Излизането извън рамките на Месеца за повишаване на осведомеността за киберсигурността означава, че организациите са отговорни за обучението на своите крайни потребители в областта на киберсигурността, но има и технически решения, които могат да решат проблема с лошото поведение на крайните потребители и все пак да защитят ИТ сигурността на вашите организации. Няколко бързи победи, които трябва да направите в най-скоро време:

1 – Поправете софтуера си
Организациите могат да възприемат актуализациите на софтуера като скъпоструващи и много от тях ги избягват, за да не повредят приложенията, с които работят в момента. Но за да изпълнят целите за киберсигурност през 2023г., организациите трябва да патчват софтуера си веднага след като актуализациите са налични.

2 – Блокирайте използването на нарушени пароли
Чрез сканиране на Active Directory за уязвимости, свързани с пароли, със Specops Password Auditor организациите могат да идентифицират използването на над 900 милиона слаби и нарушени пароли в своята Active Directory. Хакерите използват откраднати идентификационни данни при атаки срещу критичната национална инфраструктура. Одитите на пароли гарантират, че тези нарушени пароли не се използват във вашата организация.

3 – Одит на нивото на сигурност на използваните приложения на трети страни
Неотдавнашен доклад установи, че популярните приложения, свързани с работата, имат някои сериозни пропуски в сигурността, когато става въпрос за пароли и MFA. Направете инвентаризация на уеб приложенията, на които се доверява вашата организация, и се уверете, че MFA или поне 2FA е активирана за вашите крайни потребители.

 

 

 

Източник: The Hacker News

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
Бъдете социални
Още по темата
12/12/2024

Ключове за разбиране на MDR...

Еволюция на решенията за откриване и...
07/12/2024

Нови насоки на NIST: Преосм...

Националният институт по стандартизация и технологии...
07/12/2024

Злонамерени вътрешни лица

Злонамерени вътрешни лица могат да бъдат...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!