Phish Besar Nyata: Phishing Seluler & Mengelola Kesalahan Pengguna

Menurut survei terbaru dari Ivanti, hampir tiga perempat (74 persen) profesional TI melaporkan bahwa organisasi mereka telah menjadi korban serangan phishing – dan 40 persen di antaranya terjadi pada bulan lalu saja. Semakin banyak, phishing seluler adalah biang keladinya.

Terlebih lagi, hampir setengah dari profesional ini menyebut kurangnya bakat TI yang diperlukan sebagai salah satu alasan utama meningkatnya risiko serangan phishing.

Jadi bagaimana organisasi dapat mengatasi peningkatan tiba-tiba dalam ancaman keamanan dan mendapatkan kembali keunggulan melawan aktor jahat dengan sumber daya yang lebih sedikit daripada sebelumnya? Semakin, sepertinya zero-trust akan menjadi pendekatan yang ideal untuk melakukan lebih banyak dengan lebih sedikit, karena pada akhirnya, pengguna dan kebersihan siber merekalah yang menjadi lini pertama dalam pertahanan phishing.

Mari kita lihat tren phishing terbaru.

Di Mana Besar Phish mengintai di mana-mana Pond

Karena organisasi di semua industri telah beralih ke lingkungan kerja terdistribusi, tim keamanan tidak lagi bertugas mengelola akses ke data dan sistem dari lokasi tertentu. Sebaliknya, karyawan mengakses informasi yang berhubungan dengan pekerjaan pada perangkat pribadi mereka dari lokasi di seluruh dunia, sehingga secara signifikan lebih menantang bagi personel TI untuk melacak dan memverifikasi setiap perangkat yang terhubung.

Karena perubahan ini, pelaku kejahatan telah mengembangkan serangan phishing mereka dan sekarang memfokuskan upaya mereka pada perangkat seluler pribadi karyawan – dan seperti yang ditunjukkan oleh hasil survei kami, menemukan kesuksesan besar dengan pendekatan ini. Peretas juga telah memanfaatkan infeksi botnet untuk mengumpulkan email yang sah guna menciptakan serangan phishing yang lebih meyakinkan dan sangat efektif. Ini mengkhawatirkan, karena serangan phishing sering berkembang menjadi serangan ransomware.

Risiko pelanggaran data tahunan akibat serangan phishing memiliki nilai rata-rata sekitar $1,7 juta, dan nilai jangka panjang sekitar $90 juta – dan risiko tinggi ini bagi organisasi Anda membuktikan penghargaan tinggi bagi pelaku kejahatan. Penelitian terbaru dari Aberdeen lebih lanjut menekankan risiko ini, menemukan bahwa penyerang memiliki tingkat keberhasilan yang lebih tinggi di titik akhir seluler daripada di server.

Sebagai siapa pun, tidak peduli seberapa cerdas secara teknis, berisiko menjadi korban serangan phishing, organisasi harus memikirkan kembali pendekatan mereka terhadap keamanan secara keseluruhan untuk memerangi ancaman ini.

Daftar Periksa untuk Pendekatan Tanpa Kepercayaan

Keamanan perusahaan Anda terletak pertama dan terutama kebersihan dunia maya karyawan – dan itulah mengapa pengalaman pengguna harus menjadi fokus inti dari setiap strategi keamanan. Karena pekerjaan jarak jauh memantapkan dirinya sebagai normal baru, memastikan bahwa praktik terbaik sesederhana mungkin untuk diselesaikan akan membuat atau menghancurkan upaya keamanan Anda. Dan pendekatan tanpa kepercayaan dapat memberi organisasi yang terbaik dari kedua dunia.

Keamanan tanpa kepercayaan mengharuskan organisasi untuk terus memverifikasi setiap dan semua perangkat yang terhubung ke jaringannya setiap saat, tanpa pengecualian. Sebagai bagian dari strategi tanpa kepercayaan, organisasi harus memperhatikan strategi berikut:

<

ul>

  • Manfaatkan pembelajaran mesin untuk melakukan penilaian postur perangkat yang berkelanjutan, kontrol akses pengguna berbasis peran, dan kesadaran lokasi sebelum memberikan akses ke data. liu

    <

    ul>iOtomatiskan pembaruan keamanan rutin – sehingga menghilangkan risiko karyawan menunda patch keamanan yang diperlukan dan pembaruan lainnya.liu

    <

    ul>iBerinvestasi dalam perangkat lunak pendeteksi ancaman seluler yang dapat mendeteksi dan menggagalkan masalah secara real time. liu

      iHapus kata sandi dari lanskap bisnis sepenuhnya dan ganti proses keamanan ini dengan otentikasi multifaktor (MFA) yang menggunakan biometrik atau informasi lain untuk memverifikasi pengguna dan menghilangkan keseluruhan “phishability” dari proses login rutin.

    Melalui taktik ini, organisasi dapat merampingkan proses keamanan utama dan terus mengamankan semua titik akhir untuk meminimalkan risiko ancaman lebih cepat dari sebelumnya.

    Banyak Phish di Laut

    Lanskap ancaman modern telah berubah sepenuhnya – dan seiring munculnya jalan dan peluang baru untuk penipuan phishing, pelaku jahat akan terus menciptakan taktik serangan baru, berharap untuk mengakali karyawan organisasi Anda dan membuat mereka mengambil umpan.

    Akibatnya, organisasi tidak dapat lagi mengandalkan protokol keamanan tradisional untuk melindungi diri mereka sendiri di lingkungan kerja dari mana saja, terutama karena pengguna terus menjadi tautan yang lemah.

    Bagaimanapun, survei Ivanti menemukan bahwa sepertiga (34 persen) dari mereka yang disurvei menyalahkan peningkatan serangan phishing pada kurangnya pemahaman karyawan, dan bahkan lebih sedikit (30 persen) mengatakan 80-90 persen dari organisasi mereka telah menyelesaikan pelatihan keamanan yang ditawarkan oleh perusahaan mereka.

    Untungnya, dengan menerapkan strategi keamanan tanpa kepercayaan – termasuk menerapkan autentikasi multifaktor, mengotomatiskan pembaruan keamanan, dan lainnya – organisasi akan lebih siap untuk mengurangi ancaman ini saat muncul dan melindungi sistem dan informasi penting bisnis mereka.

    Baik karyawan maupun aktor jahat Anda tidak berniat untuk kembali seperti dulu. Sudah waktunya strategi keamanan Anda beradaptasi dengan lanskap bisnis modern juga.

    Daniel Spicer adalah Chief Security Officer di Ivanti.

    Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi situs mikro kami.

     

     
     
    uuuuuuuuu
    Tulis komentarInfoSec BaruUliUl

  • uliVullicBagikan artikel ini:
    u
  • <

    ul>i

  • uli
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: