サイバーセキュリティ訓練を消防訓練のように扱う

煙探知器が鳴ったら、ほとんどの従業員はどこに行けばよいか、どのように行動すべきかを正確に知っています。

しかし、ネットワーク侵害の場合、正式なトレーニングを受けたことがないため、人々はパニックに陥ったり、問題を完全に見過ごしたりする傾向があります。そのため、企業はサイバーセキュリティ訓練を実施して従業員を教育する必要があります。

サイバー犯罪の増加

ハッキング率は 2020 年に爆発的に増加し、それ以来着実に上昇しています。 2020年だけでも、 FBI は 42 億ドルを報告したサイバー犯罪による企業と個人の合計損失。これは、前年よりも 7 億ドル多く盗まれたことに相当します。

今日、これまで以上に多くの人々が自宅で仕事をしており、その多くは脆弱なセキュリティ対策を使用しており、一般的により多くの人々がオンラインになっています.

これにより、攻撃者がフィッシング攻撃、ソーシャル エンジニアリング、およびその他の悪意のある戦略を使用して人々を搾取するための扉が開かれます。ハッカーコンピュータシステムにアクセスする可能性がありますネットワーク、エンドポイント、アプリケーション、またはサーバー レベルで。

サイバー攻撃が発生するかどうかではなく、いつ発生するかが問題です。 2021年、 16 の重要インフラ セクターのうち 14ランサムウェア攻撃の被害に遭いました。インフラストラクチャを標的とするハッカーは、個々の HVAC システムから国全体の食品サプライ チェーンまで、あらゆるものを混乱させる可能性があります。

個人データや財務データを扱う組織にとって、強力なネットワーク セキュリティは最優先事項です。

機密性の高いデータベースの保護について従業員を教育することで、企業はセキュリティ侵害に対処する準備を整え、重大な損害が発生するのを防ぐことができます。

サイバーセキュリティ訓練の実施方法

ここでは、セキュリティ違反を含むさまざまなシナリオに取り組むための演習をいくつか示します。それらのいくつかは、従業員がそれらに取り組むのに十分な時間を必要とし、通常のオフィス機能を混乱させるため、スケジュールされている場合に最適に機能します.他の人は、人々の不意を突くために自発的であるべきです。

従業員は 2 つのチームに分かれ、1 つはハッカーを演じ、もう 1 つはセキュリティ違反を修正または防止しようとします。

ドリルを完了した後、雇用主はトレーニング セッションを実施して、全員が適切なサイバーセキュリティ プラクティスについて理解できるようにする必要があります。彼らは、従業員がうまくやった点と、別の方法でできた点について話し合う必要があります。

1. サービス拒否 (DoS) 攻撃

この演習は、特に IT 部門を対象としています。 DoS ドリルは、システムの損傷やデータの損失を引き起こすことなく、Web サイト、ネットワーク、またはホストに対する攻撃をシミュレートできます。

これは、実際の DoS 攻撃中に発生する状況を再現します。つまり、システムが耐えられないほど遅くなったりアクセスできなくなったりして、パフォーマンスが大幅に低下します。

IT チームはドリルにすぐに気付き、対応する必要があります。雇用主は、状況をどれだけ迅速に解決できるかを監視し、将来のシナリオに役立つツールを提供できます。

2. 物理的侵入

ハッカー チームは、コンピューターに挿入すると偽の悪意のあるコードをアップロードする USB ドライブを持っています。他のチームのコンピューターのメンバーが無人のままになっている場合、ハッカーはソフトウェアをそのコンピューターにアップロードするために最善を尽くす必要があります。

これは、ユーザーが外出中にコンピューターのロックが解除されたままになっている場合にのみ機能するため、ユーザーが自分のワークステーションをどれだけ適切に保護しているかをテストします。

3. 卓上エクササイズ

このドリルは簡単です。従業員はテーブルの周りに集まり、紙に書かれたセキュリティ訓練を実行し、サイバー攻撃中に何をすべきかを説明します。

その後、マネージャーと IT 部門は、最適なプロトコルと攻撃の連絡先を提示できます。テーブルトップ ドリルはほとんど時間がかからず、オンライン サービスを中断しません。

4. 不正なデバイスの追加

ハッキング チームは、コンピューターやタブレットなどの外部デバイスを持ち込み、ネットワークに追加します。 IT 部門は、許可されていないデバイスにすぐに気付き、それを取り除く作業を行う必要があります。また、物理デバイスを見つけてプラグを抜く必要もあります。

許可されていないデバイスは、目立たないように建物内に持ち込まれた悪意のあるコンピューターを表し、セキュリティを脅かす可能性があります。

5. フィッシング演習

フィッシング攻撃では、誰かに悪意のあるリンクを送信します。疑いを持たない人がリンクをクリックすると (通常は無害に見えるか、知人からのように見えます)、コンピューターが感染する可能性があります。

または、そのリンクは、ハッカーが盗むことができる個人の情報を要求する、正当に見えるページにつながります。

サイバーセキュリティ訓練では、リンクを含む電子メールをスタッフに送信し、それをクリックした人数を確認するか、さらに悪いことに、ランディング ページに情報を入力する必要があります。このリンクは、誰かがリンクを開くと、テスト チームに警告を発します。

6. スピアフィッシング演習

これは標的型フィッシングの一種です。ハッキング チームは、誰かのマネージャーになりすまして電子メールで従業員の名前と個人情報を使用するなど、特定の人をだますためにメッセージを調整する必要があります。

一般的なフィッシング演習と同様に、テスト チームは誰がリンクをクリックしたか、フォームに資格情報を入力したかどうかを知ることができます。

このサイバーセキュリティ訓練は、受信者が知らない場合に最も効果的です。当然のことながら、スケジュールされた時間に到着する電子メールは、だれもだまされそうにありません。

適切なセキュリティ プラクティス

サイバーセキュリティ訓練の実施に加えて、企業は次の戦略を使用して、ハッキングされる可能性を最小限に抑える必要があります。

• データを頻繁にバックアップし、バックアップのオフライン コピーを保持します。
• すべてのアカウントに一意で推測しにくいパスワードを使用します。
• パスワードを頻繁に変更します。
• 管理アカウントを定期的に監査します。
• パスワード マネージャーを使用して、文字、数字、記号、大文字と小文字が混在する暗号化されたパスワードを生成します。
• 二要素認証を有効にします。
• リモート アクセスと未使用の RDP ポートを無効にします。
• 組織外の電子メール アドレスからのハイパーリンクを無効にし、不明な送信者にバナーを追加します。
• ネットワーク セグメンテーションを使用します。
• 公衆 Wi-Fi ではなく、安全なネットワークを使用してください。
• すべてのデバイスにウイルス対策ソフトウェアをインストールし、最新の状態に保ちます。
• 埋め込むゼロトラスト セキュリティ モデル最小特権の原則で。

これらの方法は絶対確実というわけではありませんが、総合すると、攻撃者にとって手ごわい課題となります。

サイバー攻撃の防止

データ侵害の防止は、IT 部門だけの仕事ではありません。誰もが警戒しなければなりません。

堅牢なサイバーセキュリティ手法を実装し、訓練を実施することで、企業はサイバー犯罪者が攻撃を仕掛けようとした場合に備えることができ、従業員は IT スキルに自信を持てるようになります。