ຫນຶ່ງໃນຄວາມກັງວົນຕົ້ນຕໍສໍາລັບບໍລິສັດແມ່ນການປົກປ້ອງໄພຂົ່ມຂູ່ດ້ານດິຈິຕອນ. ແລະເຖິງແມ່ນວ່າການຮັບຮອງເອົາຊຸດຂອງມາດຕະການ, ຄໍາຮ້ອງສະຫມັກ, ແລະວິທີແກ້ໄຂນະວັດກໍາເພື່ອປ້ອງກັນການບຸກລຸກແລະການລັກຂໍ້ມູນ, ບັນຫາແມ່ນຂຶ້ນກັບບໍ່ພຽງແຕ່ກ່ຽວກັບເຕັກໂນໂລຊີກ້າວຫນ້າທາງດ້ານ, ແຕ່ຍັງກ່ຽວກັບພຶດຕິກໍາຂອງມະນຸດ. ນີ້ແມ່ນອີງຕາມຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ Leonardo Baiardi ຈາກ dataRain, ຜູ້ທີ່ຊີ້ໃຫ້ເຫັນວ່າ 74% ຂອງການໂຈມຕີທາງອິນເຕີເນັດແມ່ນເກີດມາຈາກປັດໃຈຂອງມະນຸດ. ຜູ້ບໍລິຫານເນັ້ນວ່າການຝຶກອົບຮົມພະນັກງານທີ່ພຽງພໍສາມາດເປັນສິ່ງຈໍາເປັນສໍາລັບຍຸດທະສາດຄວາມປອດໄພທີ່ມີປະສິດທິພາບ.
Baiardi ຖືວ່າມະນຸດເປັນຕົວເຊື່ອມຕໍ່ທີ່ອ່ອນແອທີ່ສຸດເມື່ອຈັດການກັບຄວາມສ່ຽງທາງອິນເຕີເນັດໃນສະພາບແວດລ້ອມຂອງບໍລິສັດ. "ທຸກໆຄົນໃນບໍລິສັດຕ້ອງເຂົ້າໃຈວ່າພວກເຂົາມີຄວາມຮັບຜິດຊອບຕໍ່ຄວາມປອດໄພຂອງຂໍ້ມູນ, ແລະນີ້ພຽງແຕ່ບັນລຸໄດ້ໂດຍຜ່ານການຝຶກອົບຮົມ, ຄວາມຮັບຜິດຊອບແລະການສື່ສານລະຫວ່າງພະແນກຕ່າງໆ. ທຸກຄົນຕ້ອງລະວັງຄວາມສ່ຽງທີ່ເຂົາເຈົ້າໄດ້ຖືກເປີດເຜີຍ."
ຄວາມຄິດເຫັນຂອງຜູ້ຊ່ຽວຊານໄດ້ເສີມສິ່ງທີ່ພົບເຫັນຢູ່ໃນບົດລາຍງານປັດໄຈມະນຸດຂອງ Proofpoint 2023, ເຊິ່ງຊີ້ໃຫ້ເຫັນເຖິງບົດບາດສໍາຄັນຂອງປັດໃຈຂອງມະນຸດໃນຄວາມອ່ອນແອດ້ານຄວາມປອດໄພ. ການສຶກສາໄດ້ເປີດເຜີຍເຖິງການເພີ່ມຂຶ້ນສິບສອງເທົ່າຂອງປະລິມານການໂຈມຕີທາງດ້ານວິສະວະກໍາສັງຄົມຜ່ານອຸປະກອນມືຖື, ປະເພດຂອງການໂຈມຕີທີ່ເລີ່ມຕົ້ນດ້ວຍຂໍ້ຄວາມທີ່ເບິ່ງຄືວ່າບໍ່ເປັນອັນຕະລາຍ, ສ້າງຄວາມສໍາພັນ. ນີ້ເກີດຂຶ້ນ, ອີງຕາມການ Baiardi, ເນື່ອງຈາກວ່າພຶດຕິກໍາຂອງມະນຸດສາມາດຫມູນໃຊ້ໄດ້. "ດັ່ງທີ່ນັກແຮກເກີທີ່ມີຊື່ສຽງ Kevin Mitnick ເວົ້າວ່າ, ຈິດໃຈຂອງມະນຸດແມ່ນຊັບສິນທີ່ງ່າຍທີ່ສຸດທີ່ຈະ hack. ຫຼັງຈາກທີ່ທັງຫມົດ, ມະນຸດມີຊັ້ນອາລົມທີ່ມີຄວາມສ່ຽງສູງຕໍ່ອິດທິພົນຈາກພາຍນອກ, ເຊິ່ງສາມາດນໍາໄປສູ່ການກະທໍາທີ່ເປັນອັນຕະລາຍເຊັ່ນການຄລິກໃສ່ການເຊື່ອມຕໍ່ທີ່ເປັນອັນຕະລາຍຫຼືແບ່ງປັນຂໍ້ມູນທີ່ລະອຽດອ່ອນ," ລາວເວົ້າ.
ຊຸດ phishing ອອກແບບມາເພື່ອຂ້າມຜ່ານການກວດສອບຫຼາຍປັດໃຈ (MFA), ແລະການໂຈມຕີໃນເມຄ, ເຊິ່ງປະມານ 94% ຂອງຜູ້ໃຊ້ຖືກເປົ້າຫມາຍໃນທຸກໆເດືອນ, ຍັງເປັນໄພຂົ່ມຂູ່ທີ່ບັນທຶກໄວ້ເລື້ອຍໆທີ່ສຸດໃນບົດລາຍງານ.
ຄວາມຜິດພາດທົ່ວໄປທີ່ສຸດ
ໃນບັນດາຄວາມຜິດພາດທົ່ວໄປທີ່ສຸດທີ່ນໍາໄປສູ່ການລະເມີດຄວາມປອດໄພ, Baiardi ລາຍຊື່: ບໍ່ກວດສອບຄວາມຖືກຕ້ອງຂອງອີເມວ; ເຮັດໃຫ້ຄອມພິວເຕີປົດລັອກ; ການນໍາໃຊ້ເຄືອຂ່າຍ Wi-Fi ສາທາລະນະເພື່ອເຂົ້າເຖິງຂໍ້ມູນຂອງບໍລິສັດ; ແລະການຊັກຊ້າການປັບປຸງຊອບແວ.
"ພຶດຕິກໍາເຫຼົ່ານີ້ສາມາດເປີດປະຕູສໍາລັບການບຸກລຸກແລະການປະນີປະນອມຂອງຂໍ້ມູນ," ລາວອະທິບາຍ. ເພື່ອຫຼີກເວັ້ນການຫຼຸດລົງສໍາລັບການຫລອກລວງ, ຜູ້ຊ່ຽວຊານແນະນໍາໃຫ້ຫຼີກເວັ້ນການຄລິກໃສ່ການເຊື່ອມຕໍ່ທີ່ຫນ້າສົງໄສ. ດັ່ງນັ້ນ, ລາວແນະນໍາໃຫ້ກວດເບິ່ງຜູ້ສົ່ງ, ໂດເມນອີເມລ໌, ແລະຄວາມຮີບດ່ວນຂອງຂໍ້ຄວາມ. "ຖ້າຄວາມສົງໃສຍັງຄົງຢູ່, ຄໍາແນະນໍາແມ່ນໃຫ້ອອກຈາກຕົວຊີ້ຫນູຜ່ານການເຊື່ອມຕໍ່ໂດຍບໍ່ມີການຄລິກ, ໃຫ້ທ່ານເບິ່ງ URL ທີ່ສົມບູນ. ຖ້າມັນເບິ່ງຄືວ່າຫນ້າສົງໄສ, ມັນອາດຈະເປັນອັນຕະລາຍ," ລາວແນະນໍາ.
ຟິດຊິງ
Phishing ແມ່ນຫນຶ່ງໃນໄພຂົ່ມຂູ່ທາງອິນເຕີເນັດທີ່ໃຫຍ່ທີ່ສຸດ, ການນໍາໃຊ້ອີເມລ໌ຂອງບໍລິສັດເປັນ vector ການໂຈມຕີ. ເພື່ອປ້ອງກັນມັນ, Baiardi ແນະນໍາວິທີການເປັນຊັ້ນໆ: ການປູກຈິດສໍານຶກແລະການຝຶກອົບຮົມພະນັກງານ, ນອກເຫນືອໄປຈາກມາດຕະການດ້ານວິຊາການທີ່ເຂັ້ມແຂງ.
ການຮັກສາຊອບແວ ແລະລະບົບປະຕິບັດການໃຫ້ທັນສະໃໝແມ່ນມີຄວາມສຳຄັນໃນການຫຼຸດຜ່ອນຄວາມອ່ອນແອ. "ຊ່ອງໂຫວ່ໃຫມ່ເກີດຂື້ນປະຈໍາວັນ. ວິທີທີ່ງ່າຍທີ່ສຸດທີ່ຈະຫຼຸດຜ່ອນຄວາມສ່ຽງແມ່ນໂດຍການຮັກສາລະບົບການປັບປຸງ. ໃນສະພາບແວດລ້ອມທີ່ສໍາຄັນ, ບ່ອນທີ່ການປັບປຸງຢ່າງຕໍ່ເນື່ອງແມ່ນບໍ່ເປັນໄປໄດ້, ຕ້ອງມີຍຸດທະສາດທີ່ເຂັ້ມແຂງກວ່າ."
ລາວໃຫ້ຕົວຢ່າງທີ່ແທ້ຈິງກ່ຽວກັບວິທີການຝຶກອົບຮົມທີ່ມີປະສິດທິພາບຊ່ວຍປ້ອງກັນການໂຈມຕີ. "ຫຼັງຈາກປະຕິບັດການຈໍາລອງ phishing ແລະການຝຶກອົບຮົມ, ພວກເຮົາໄດ້ສັງເກດເຫັນການເພີ່ມຂື້ນຢ່າງຫຼວງຫຼາຍໃນບົດລາຍງານຂອງຄວາມພະຍາຍາມ phishing ຈາກພະນັກງານ, ສະແດງໃຫ້ເຫັນເຖິງຄວາມຮູ້ສຶກທີ່ສໍາຄັນທີ່ຫລອມໂລຫະໃນການປະເຊີນຫນ້າກັບໄພຂົ່ມຂູ່."
ເພື່ອວັດແທກປະສິດທິພາບຂອງການຝຶກອົບຮົມ, Baiardi ແນະນໍາການກໍານົດຂອບເຂດທີ່ຊັດເຈນແລະດໍາເນີນການຈໍາລອງແຕ່ລະໄລຍະທີ່ມີ metrics ທີ່ກໍານົດໄວ້ກ່ອນ. "ມັນເປັນສິ່ງຈໍາເປັນເພື່ອວັດແທກປະລິມານແລະຄຸນນະພາບຂອງການຕອບສະຫນອງຂອງພະນັກງານຕໍ່ກັບໄພຂົ່ມຂູ່ທີ່ອາດເກີດຂື້ນ."
ຜູ້ບໍລິຫານໄດ້ອ້າງເຖິງບົດລາຍງານຂອງບໍລິສັດການສຶກສາດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ Knowbe4, ເຊິ່ງສະແດງໃຫ້ເຫັນວ່າປະເທດບຣາຊິນຊ້າກວ່າບັນດາປະເທດເຊັ່ນ: ໂຄລໍາເບຍ, ຊິລີ, ເອກົວດໍ, ແລະເປຣູ. ການສໍາຫຼວດປີ 2024 ຊີ້ໃຫ້ເຫັນບັນຫາຂອງພະນັກງານທີ່ເຂົ້າໃຈຄວາມສໍາຄັນຂອງຄວາມປອດໄພທາງອິນເຕີເນັດ, ແຕ່ບໍ່ໄດ້ເຂົ້າໃຈຢ່າງແທ້ຈິງວ່າໄພຂົ່ມຂູ່ດໍາເນີນງານແລະເຮັດວຽກແນວໃດ. ດັ່ງນັ້ນ, ມັນເນັ້ນຫນັກເຖິງຄວາມສໍາຄັນຂອງວັດທະນະທໍາອົງການຈັດຕັ້ງໃນການສົ່ງເສີມການປະຕິບັດທີ່ປອດໄພ: "ຖ້າບໍ່ມີໂຄງການວັດທະນະທໍາຄວາມປອດໄພທາງອິນເຕີເນັດທີ່ປະຕິບັດໄດ້ດີ, ມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະວັດແທກລະດັບຂອງການເຕີບໂຕທີ່ບໍລິສັດມີໃນລັກສະນະນີ້."
ຜູ້ຊ່ຽວຊານຍັງຮັບຜິດຊອບໃນການນໍາພາການສະຫນອງການສະຫນອງຄວາມປອດໄພທາງອິນເຕີເນັດທີ່ສົ່ງເສີມໂດຍ dataRain, ເຊິ່ງສະຫນອງການແກ້ໄຂທີ່ເຂັ້ມແຂງແລະໄວໃນການປະຕິບັດເຊັ່ນ: ຄວາມປອດໄພທາງອີເມວ, ການປະເມີນຄວາມສອດຄ່ອງແລະຄວາມອ່ອນແອ, Endpoint Security, ແລະ Cloud Governance. "ການຮັກສາຄວາມປອດໄພທາງອິນເຕີເນັດແມ່ນສິ່ງທ້າທາຍຢ່າງຕໍ່ເນື່ອງ, ແລະປະຊາຊົນແມ່ນພື້ນຖານເພື່ອຮັບປະກັນການປົກປ້ອງຂໍ້ມູນແລະຄວາມສົມບູນຂອງລະບົບ. ການລົງທຶນໃນການຝຶກອົບຮົມແລະການຮັບຮູ້ແມ່ນການລົງທຶນໃນຄວາມປອດໄພຂອງອົງການຈັດຕັ້ງທັງຫມົດ.
