Ich beobachte gerne, wie die Vermarkter von Sicherheitsanbietern den Monat des Sicherheitsbewusstseins als Gelegenheit nutzen, um das Bewusstsein der Fachleute für Cybersicherheit zu schärfen. Ich finde das lustig und frustrierend, denn ist es nicht der Zweck des Cybersecurity Awareness Month, die Endnutzer für Cybersecurity und Cybersicherheit zu sensibilisieren? Die Letzten, die mehr Bewusstsein für Cybersicherheit brauchen, sind die Verteidiger, die jeden Tag damit zu tun haben. Kennen Sie Ihr Publikum, bitte.
Zwei Seiten der Medaille für das Cyber-Bewusstsein der Endnutzer
Im Einführungsblog zu dieser Serie habe ich unsere Auffassung dargelegt, dass es zwei Seiten der Medaille für die Sensibilisierung der Endnutzer für das Thema Internet gibt. Auf der einen Seite steht die Sensibilisierung der Endbenutzer für sichere Cyberpraktiken, und auf der anderen Seite die Sensibilisierung der Endbenutzer für die direkten menschlichen Auswirkungen, wenn sie dies nicht tun. Jeder unschuldige Fehler eines Endbenutzers, jede Fehleinschätzung oder jeder Fehltritt bei der Umsetzung von Richtlinien hat einen anderen Menschen zur Folge - den Verteidiger - der die Aufgabe hat, das Unternehmen als Ganzes davor zu schützen, Opfer eines Cyberangriffs zu werden.
Wir nennen es das "Dilemma der Verteidiger".
In unserer Studie "State of Threat Detection 2023" haben wir quantifiziert, was wir als "Sicherheitsspirale" bezeichnen, und was Endanwendern vielleicht nicht bewusst ist, ist, wie ihre Handlungen diese Spirale oft auslösen und verstärken.
Mehr Angriffsfläche, mehr Gefährdung
Angreifer sind clever. Sie wissen, dass einer der besten Wege, ein Unternehmen zu infiltrieren, darin besteht, die menschliche Natur auszunutzen. Nennen Sie es Social Engineering, Phishing oder Vishing - selbst der wohlmeinendste, sicherheitsbewusste Endbenutzer kann dem Charme eines Angreifers zum Opfer fallen. Scattered Spider hat sich als erfolgreich erwiesen, wenn es darum geht, IT-Administratoren zu überlisten, um sich Zugang zu verschaffen, und mit Technologien wie generativer KI und großen Sprachmodellen (LLMs) wird die Fähigkeit der Angreifer, Endbenutzer davon zu überzeugen, sich zu binden, zu klicken und/oder Anmeldedaten preiszugeben, nur noch besser. Wenn Sie der Cleverness der Angreifer zum Opfer fallen, beginnt die Spirale. Sie sind drin und Sie haben sie eingeladen.
Mehr Sichtlücken, tote Winkel
Einige Endbenutzer sagen vielleicht "oops" und vertrauen darauf, dass das Sicherheitsteam den Angreifer erkennt und ihn aufhält. Schließlich ist es "ihr Job". Ich bin sicher, dass Ihre Mitarbeiter (Verteidiger) das Vertrauen und die Zuversicht zu schätzen wissen, aber das ist nicht immer der Fall. Endbenutzer müssen wissen, dass Angreifer sehr gut darin sind, wie Sie auszusehen, das zu tun, was Sie tun, und sich als Sie zu tarnen, um sich im Unternehmen zu bewegen. Sie sind wirklich gut darin, die Rollen von Personen mit höheren Privilegien als Sie zu übernehmen, und das ist der Punkt, an dem die Dinge noch schlimmer werden. Sie haben sie hereingebeten, und jetzt haben sie Sie benutzt, um einen All-Access-Pass zu bekommen.
Mehr Warnmeldungen, mehr Fehlalarme
Diesmal werden einige Endbenutzer vielleicht sagen: "Das ist schon in Ordnung, ich bin sicher, dass die Sicherheitsbehörden eine Art von Warnung oder Vorwarnung erhalten - ich habe Filme darüber gesehen." Die wenigsten Endbenutzer wissen, dass Ihre Mitarbeiter - die Verteidiger - im Durchschnitt 4.484 Warnmeldungen pro Tag erhalten. 4.484 Dinge, die überprüft werden müssen. Stellen Sie sich vor, Ihre Aufgabenliste wäre jeden Tag 4.484 Punkte lang. Nun ist es selbst für den klügsten Verteidiger unmöglich, 4.484 Alarme zu überprüfen, also tut Ihr Sicherheitsteam sein Bestes, um etwa ein Drittel davon zu überprüfen, und raten Sie mal - 83 % dieses Drittels der Alarme sind Fehlalarme, haben keine Priorität und sind reine Zeitverschwendung. Stellen Sie sich die Frustration vor. Jeder von uns kennt das: Man arbeitet an einem Projekt, das jemand anderes als vorrangig eingestuft hat, und stellt fest, dass es zu keinerlei Ergebnissen geführt hat. Stellen Sie sich vor, dass Sie das jeden Tag tun, den ganzen Tag lang, und sich auf den Schutz des Unternehmens konzentrieren, nur um festzustellen, dass 17 % der von Ihnen geleisteten Arbeit einen Sinn haben.
Weitere unbekannte hybride Angriffe
Ich weiß, dass einige Endnutzer vielleicht denken: "So schlimm kann es nicht sein. Wenn meine Handlungen so schlimm wären, würden wir dann nicht ständig in die Schlagzeilen geraten?" Nicht so schnell. Was Endbenutzer vielleicht nicht wissen, ist, was die Verteidiger hinter den Kulissen tun, um das Unternehmen aus den Schlagzeilen herauszuhalten. Das ist keine leichte Aufgabe. Angreifer sind geschickt darin, sich einzuschleichen, sich als Mitarbeiter zu tarnen und sich in einer Warteschlange mit Tausenden von Meldungen zu verstecken. Tatsächlich machen sich 97 % der Verteidiger Sorgen darüber, ein relevantes Sicherheitsereignis zu verpassen, weil es in den Warnmeldungen untergeht. Darüber hinaus sind 71 % der Meinung, dass das Unternehmen wahrscheinlich kompromittiert wurde und sie es noch nicht wissen. Eine Sache, die die Arbeit der Verteidiger so schwierig macht, ist die Tatsache, dass sie es oft mit Unbekannten zu tun haben - bis sie bekannt werden, dann beginnt die eigentliche Arbeit. Den Endbenutzern ist kaum bewusst, dass die Verteidiger hinter den Kulissen unermüdlich daran arbeiten, die Zusammenhänge herzustellen. Sie sammeln, aggregieren und analysieren unterschiedliche Datensätze, um das Problem zu diagnostizieren und Maßnahmen zu ergreifen, um eine Schlagzeile zu verhindern.
Mehr neue, fortgeschrittene hybride Angreifer
Die Schlagzeile "Sicherheitslücke abgewendet, Ruf, Betrieb und Umsatz intakt, also alles gut. Hut ab vor dem Sicherheitsteam, das seinen Job gemacht hat", könnte ein eher eigenwilliger Endnutzer sagen. Ich würde sagen, zeigen Sie etwas Einfühlungsvermögen. Für jede Nacht, jedes Wochenende im Kriegsraum, jede geopferte Familienzeit gibt es einen neuen Angriff, einen weiteren Angriff, den es abzuwehren gilt. Die Cyber-Angreifer versuchen immer, Ihnen einen Schritt voraus zu sein. Sie recherchieren über Sie - über Ihr LinkedIn-Profil, Ihre Aktivitäten in den sozialen Medien, öffentlich zugängliche Informationen, alles, was ihnen in die Hände fällt, um Sie dazu zu bringen, sie hereinzulassen, und wenn Sie das tun, setzt sich diese Spirale fort, wächst und beschleunigt sich.
Mehr Arbeitsbelastung, Stress, Ängste, Burnout
Ich weiß, was Endnutzer denken: "Wir alle leiden in gewissem Maße unter zunehmender Arbeitsbelastung, Stress, Ängsten und Burnout", und ich verstehe das und stimme dem zu - ein Grund mehr, etwas Empathie für die Verteidiger aufzubringen. Wenn so viel auf dem Spiel steht wie bei den Verteidigern, hilft es, das Bewusstsein für Cybersicherheit ernst zu nehmen und sichere Cyberpraktiken anzuwenden. "Aber ich bin nur eine Person". Es braucht nur einen unschuldigen Fehler, eine Fehleinschätzung oder eine Abweichung von den Richtlinien, um die Spirale in Gang zu setzen und Ihre Mitarbeiter zu verletzen. Tragen Sie also Ihren Teil dazu bei, denn schließlich ist der Schutz des Unternehmens vor Angreifern ein Teamsport.