من الناحية الأمنية ، أنت الحلقة الأضعف

يبعد مؤتمر Black Hat السنوي لأمن المعلومات بضعة أسابيع قصيرة. سوف يلتقي محترفي الأمن والمديرين التنفيذيين والبائعين والمتسللين في لاس فيجاس للتعلم ومشاركة أحدث نقاط الضعف والدفاعات والثقوب الأمنية وأساليب القرصنة. قبل المؤتمر ، أصدرت Black Hat نتائج استطلاع للرأي استفسر من كبار خبراء الأمن حول مخاوفهم ووجهات نظرهم. يمكنك قراءة العديد من المعاني في النتائج ، لكن الوجبات الجاهزة الخاصة بي هي: أنت الحلقة الأضعف. (نعم ، أقصدك).

تم اختيار مجموعة المشاركين في الاستبيان للخبرة والخبرة في العالم الحقيقي. من بين 460 متخصصًا ومديراً في مجال الأمن ، جاء ما يقرب من ثلثي الشركات التي تضم 1000 موظف على الأقل. تتضمن ألقاب الوظائف لأكثر من 60 في المائة منها كلمة "الأمان" ، ويعمل ربع المجموعة بشكل كامل كمدير أمان لمؤسستهم. هؤلاء الناس في الخنادق ، يعملون بلا كلل للحفاظ على أمن شركاتهم.

المخاوف ضد الواقع

قدم جزء كبير من الاستطلاع للمستطلعين 15 تهديدات وتحديات أمنية. طُلب منهم تحديد التحديات الثلاثة الأولى التي تثير قلقهم أكثر ، التحديات الثلاثة الأولى التي تشغل وقتهم ، والتحديات الثلاثة الأولى التي تحصل على أكبر حصة من الميزانية. منطقيا كنت تعتقد أن هذه تتبع عن كثب. في الممارسة العملية ، هذا ليس هو الحال.

وكان مصدر القلق الأكبر البالغ 57 في المائة هو الدفاع عن الهجمات المستهدفة ، وهي محاولات معقدة لاختراق الأمن. ومع ذلك ، أفاد 20 في المئة فقط من المستجيبين أن الاستعداد لمثل هذه الهجمات والتعامل معها المستهلكين الكثير من وقتهم.

التحدي التالي الأكثر إثارة للقلق هو التصيد وهجمات الهندسة الاجتماعية الأخرى. بنسبة 46 بالمائة ، تفوق جميع المخاوف الأخرى في الاستطلاع باستثناء الهجمات المستهدفة. لن يساعدك أفضل نظام أمان في العالم إذا أقنعت رسالة احتيالية أحد موظفيك بإيقاف تشغيله ، ويمكن أن يكون التنظيف بعد هذه المشكلات بمثابة تأثير حقيقي. في الواقع ، وبقدر ما يقضي الايجابيات الأمنية وقتهم ، فإن اثنين من أهم ثلاثة مخاوف تنطوي على خطأ بشري. تعتبر الشبكات الاجتماعية واحدة ، ولكن أهم وقت في التعامل مع المشكلات الأمنية التي تطرحها فرق التطوير الداخلية.

المخاوف الأخرى ، مثل مراقبة حكومتنا أو غيرها ، والهجمات الداخلية ، والهجمات الرقمية على أجهزة إنترنت الأشياء (IoT) ، لا تستهلك بنفس الدرجة من الموارد العقلية أو المالية. في الواقع ، فإن التكلفة الأعلى للغاية بالنسبة إلى المشاركين في هذا الاستطلاع تتضمن تسريب بيانات عرضية من قبل المستخدمين البطيئين - الأشخاص ، مرة أخرى. أيضا من بين أهم المخاوف القليلة المكلفة التعامل مع الأخطاء البشرية التي وضعت الشركة خارج الامتثال وإصلاح المشاكل الناجمة عن الموظفين الذين سقطوا في هجمات الهندسة الاجتماعية.

هل سنصبح أكثر ذكاءً؟

كما طُلب من المشاركين أن يتعاملوا مع نفس المجموعة المكونة من 15 تحدًا واختيار ثلاثة من أكبر المخاوف بعد عامين من الآن. ومن المثير للاهتمام ، أن جميع الاهتمامات القائمة على الأفراد كانت أقل في هذه القائمة. المشاكل الأمنية التي أدخلها التطوير الداخلي في الأسفل ، مع 7 في المائة. التالي هو الأخطاء التي وضعت الشركة خارج الامتثال ، مع 8 في المئة. وتأتي سرقة البيانات من قبل المطلعين الخبيثة في 9 في المئة. لا تزال المخاوف المتعلقة بالهندسة الاجتماعية مهمة ، لكن لا مكان لها بالقرب من القمة.

خلال عامين ، يشعر الخبراء (36 في المائة منهم) بأن هجمات إنترنت الأشياء ستكون مصدر القلق الأكبر ، تليها الهجمات المستهدفة (إلى 33 في المائة من 57 في المائة الحالية). لا شيء من أهم ستة مخاوف تنطوي على خطأ بشري. يبدو أننا سنصبح أكثر ذكاء!

أنت الحلقة الأضعف

يتضمن الجزء الأكبر من الاستطلاع الشامل موظفي الأمن والتوظيف والنمو الوظيفي ، وهي مواضيع أقل أهمية بالنسبة لأولئك غير المشاركين مباشرة في مجتمع الأمن. يمكنك قراءة التقرير الكامل هنا.

نقطة واحدة تستحق الاهتمام بالتأكيد. عند سؤالهم عن أضعف حلقة في أمن تكنولوجيا المعلومات الحالي ، وضع المجيبون التهديدات القائمة على الويب ، والأدوات الأمنية التي لا تتحدث مع بعضهم البعض ، ونقاط الضعف في نهاية القائمة ، حيث يحصل كل منهم على 3 بالمائة فقط من الأصوات. ما في القمة؟ قال أكثر من ثالث ، "المستخدمون النهائيون الذين ينتهكون السياسة الأمنية ويتم خداعهم بسهولة من خلال هجمات الهندسة الاجتماعية".

يخلص التقرير إلى أن معظم المؤسسات ليس لديها عدد كاف من موظفي الأمن ، ولا تركز وقت وميزانية الموظفين على أهم المشكلات. النظر في مهنة في مجال الأمن؟ مستقبلك يبدو وردية! ولكن سيتعين عليك معرفة كيفية منع الموظفين من إخراج جهودك عن طريق الخطأ أو الكسل.