Webinars

Webinar: The Evolution of Phishing & How We Fight It

By 17 oktober 2018 Geen reacties

Voorbij de Nigeriaanse prins

In 2017 schatte de FBI dat verliezen als gevolg van zakelijke e-mailcompromissen toenamen met 88% in vergelijking met 2016. Toch associëren veel eindgebruikers phishing nog steeds met de prototypische e-mail uit Nigeria.

In dit webinar dmarcian Algemeen directeur Tim Draegen en GreatHorn CEO Kevin O'Brien zal de geschiedenis van phishing-aanvallen doorlopen - van de vroege dagen van de wijdverbreide Nigeriaanse prins-schema's tot de geavanceerde en zeer gerichte spear phishing-bedreigingen van vandaag.

We zullen onderzoeken hoe we onze filosofische benadering actueel houden voor deze bedreigingen als ze zijn veranderd, en bespreken hoe de technologie die we gebruiken is geëvolueerd om bij te blijven. Ten slotte lichten we de multidimensionale benadering toe die organisaties moeten overwegen om phishing te bestrijden en hoe ze samenwerken - inclusief verificatiekaders, relatiegrafieken, machine learning en meer.

Je verlaat het webinar met begrip voor:

  • De meest schadelijke bedreigingen van vandaag
  • De voors en tegens van legacy tools
  • Nieuwe benaderingen om deze bedreigingen aan te pakken

Tim Draegen
Algemeen directeur
dmarcian

Kevin O'Brien
Algemeen directeur
GreatHorn

“Eerdere benaderingen om zich te verdedigen tegen phishing waren gericht op websitebeveiliging en op firewall / perimeter gebaseerde verdedigingen. Een effectieve benadering van phishing gaat niet over een nieuwe en betere muizenval, maar over het opnemen van betere bedrijfsprocessen om met de veranderende omgeving om te gaan en ervoor te zorgen dat personen over betere tools en training beschikken.

In plaats van ingewikkelde dingen te behandelen die verschillende relaties aangaan, zoals statische activa die moeten worden beschermd, richt deze nieuwe aanpak zich op hoe mensen zich binnen hun organisatie gedragen en hoe organisaties online werken (buiten hun branche). Een effectief antwoord op phishing bouwt voort op de vorige aanpak en erkent de dynamische aard van mensen en het feit dat organisaties online tot ver buiten hun eigen muren met elkaar communiceren. " – Tim Draegen, DIRECTEUR dmarcian

Transcriptie is hier beschikbaar:

Lorita Ba:

Dag iedereen. Bedankt voor je deelname aan ons webinar vandaag: "Beyond the Nigerian Prince: The Evolution of Phishing en How We Fight Against It." Ik ben Lorita Ba. Ik ben de vice-president van marketing voor GreatHorn en ik word vandaag vergezeld door Kevin O'Brien, CEO van GreatHorn, en Tim Draegen, CEO van onze partner, dmarcian. Voordat we beginnen, wil ik gewoon een paar logistiek behandelen. Het webinar duurt ongeveer 40 naar 45 minuten. Je bent tijdens het webinar gedempt, maar je hebt de mogelijkheid om vragen te stellen op elk gewenst moment in het V & A-paneel aan de rechterkant van je scherm in het webinar-configuratiescherm. Het webinar wordt opgenomen en is beschikbaar voor alle registranten, evenals de dia's. En daarmee ga ik zonder verder oponthoud door en geef ik het door aan Kevin om een ​​korte introductie van zichzelf te geven, gevolgd door Tim, die zichzelf ook zal introduceren.

Kevin O'Brien:

Bedankt, Lorita. Leuk om hier te zijn. Kevin O'Brien, CEO en mede-oprichter van GreatHorn. Ik kijk uit naar het gesprek [01: 00]. Een klein beetje korte biografische informatie. Ik ben een serial entrepreneur in de cybersecurity-ruimte. Ik doe dit al ongeveer 20 jaar. We zullen het vandaag hebben over de evolutie van e-mailbeveiligingsbedreigingen. Ik ben erg opgewonden om samen met Tim te zijn. Tim, ik laat je jezelf ook voorstellen.

Tim Draegen:

Oké, bedankt, Kevin. Hallo allemaal, ik ben Tim Draegen, de CEO van dmarcian. Hé, heel erg bedankt dat je vandaag de tijd hebt genomen om te luisteren. Vandaag is een speciale dag, want dit webinar is de eerste samenwerking tussen GreatHorn en dmarcian. De twee bedrijven nemen allebei deel aan de e-mailindustrie, maar op zeer verschillende manieren, en dus samenwerking en het vergelijken van notities heeft al tot een echt geweldig inzicht geleid en het delen hiervan op dit webinar maakt de dag speciaal, voor mij en hopelijk voor u. OK, volgende dia.

Ik krijg de eer ons vandaag af te trappen. Dit ben ik zelf. Dit is een foto van mezelf als een baby, kijkend naar de kristallen bol van mijn toekomst. Ik had toen geen idee dat ik zoveel tijd zou besteden aan het werken aan e-mail. [02: 00] Ik denk graag dat de baby niet op het punt staat te huilen, maar dat hij in plaats daarvan een blik vol ontzag toont. Dat is wat ik zou willen denken, tenminste. Ik ben een software-ingenieur van beroep. Ik bracht de eerste 30 door - iets van mijn leven in Silicon Valley en probeerde te werken aan de moeilijkste technologische problemen die ik kon vinden. Toen mijn vrouw en ik besloten te vertragen en een gezin te stichten, nam ik natuurlijk een baan bij een e-mailbedrijf, want zoals we allemaal weten, is er niet veel te e-mailen. Dit was al in de vroege 2000s. Het zou een grap zijn. Tijdens een vrijdagmiddag bier bash weg terug, toen werd ik opzij getrokken door een VP om mijn gedachten te krijgen over de plannen van het bedrijf om het beste anti-spam filter ter wereld te maken. Destijds had het bedrijf een supersnel platform voor het verzenden van e-mail, omdat het bedrijf een plan nodig had om in te breken in de onderneming. In die tijd begonnen mensen zich net het belang van beveiliging te realiseren. Dus waarom zou u niet profiteren van deze markt voor bedrijfsveiligheid met een antispamoplossing? Makkelijk geld.

Laten we eens kijken. [03: 00] Ik maakte destijds een kant-en-klare opmerking in de trant van: "We zullen veel geld verdienen, maar het zal het probleem niet oplossen." Het probleem toen, zoals ik het zag, was er een van basis-e-mailidentiteit. Mensen kunnen niet gemakkelijk zien of een e-mail echt is of niet. Die off-the-manchet opmerking schopte mijn eigen betrokkenheid bij een enorme sectoroverschrijdende inspanning die uiteindelijk resulteerde in de publieke release van de DMARC technische specificatie rond 2012. Sindsdien heb ik er alles aan gedaan om de wereld te laten adopteren DMARC. Maar het webinar van vandaag draait niet allemaal om DMARC. Volgende dia, alsjeblieft.

Waar ik vandaag nog steeds mee worstelt, is de omvang en het bereik van e-mail in de wereld van vandaag. Iedereen gebruikt de hele tijd e-mail, overal. Het is nog steeds verbijsterend groot. De schaal van e-mail komt volgens mij op hetzelfde niveau als een hulpprogramma als water, elektriciteit, maar wat e-mail gecompliceerd maakt, is dat het niet één ding is. Het wordt beter beschouwd als een enorme stapel technische specificaties die beschrijven hoe alle stukjes samen kunnen werken. [04: 00] Wat e-mail mooi maakt, is naar mijn mening dat iedereen zijn eigen versie van de stukken kan maken en deze samen met het bestaande ecosysteem kan samenvoegen. Het eindresultaat is 's werelds grootste online communicatiemedium en het is volledig in handen van niemand, waarvan ik denk dat het de moeite waard is om aan te werken. Ik moet zo denken, anders zou ik waarschijnlijk al lang geleden gek geworden zijn.

Oké, dus met al deze achtergrond uit de weg - bedankt voor het volhouden - kunnen we op het punt komen van dit webinar: waarom is phishing nog steeds een probleem en wat kan eraan gedaan worden? Om deze vraag te beantwoorden, moet je rekening houden met de grotere context. Naarmate het internet blijft evolueren en kansen creëert voor mensen, criminelen, evolueerden ze ook om nieuwe kansen te benutten. Als e-mail wordt gezien als een ecosysteem met veel stukjes, die allemaal met elkaar samenwerken, en niet als een monolithisch ding, wordt hopelijk duidelijk dat de stukjes zelf met verschillende snelheden evolueren, en dat er industrieën zijn die zich richten op specifieke stukken. Vanwege dit soort stukjes evolutie, heeft e-mail de afgelopen decennia aanzienlijke [05: 00] investeringen gekend. Volgens een analist van, denk ik, ongeveer vijf jaar geleden, brachten de jaarlijkse uitgaven aan antispamtechnologie ergens tussen $ 7 en $ 10 miljard per jaar uit, en dat is alleen voor de technologie die is gericht op het blokkeren van spam, en dat is gedateerde informatie. Maar ondanks deze enorme en voortdurende investering in e-mailbeveiliging, blijven bepaalde bedreigingen door bestaande e-mailbeveiligingsoplossingen varen. Ik wil echt vooruit springen, maar dat doe ik niet. Dus voordat we ons afvragen hoe dit kan, kijken we naar hoe de bedreigingen eruit zien. En Kevin, jij staat hier vooraan, dus voor de volgende dia is het allemaal van jou.

Kevin O'Brien:

Bedankt, Tim. Het is een goed verhaal, en aangezien je het idee van analisten en hun inbreng hierin aan de orde hebt gesteld, sta me toe om te citeren van een van mijn favoriete analisten die aan de ruimte werken. In een presentatie die ze gaven in een balzaal, ergens in een hotel, zeiden ze: "E-mail is een van de weinige bedrijfssystemen die echt als eerbiedwaardig maar toch uiterst kwetsbaar kan worden gedefinieerd." Ik vind dat een heel opvallend punt [06: 00] voor het gesprek dat we vandaag voeren, omdat e-mail bijna 47 jaar oud is, en toch heeft het nog steeds de grootste impact op de totale cyberbeveiligingsindustrie, en bij uitbreiding, op de organisaties voor wie die cyberveiligheidseffecten de meest directe bottom-line consequenties hebben. En toch, als u de gemiddelde organisatorische gebruiker van e-mail vraagt, zoals we in de zomer deden, hebben we een enquête bij ongeveer 300-professionals gehouden, ongeveer 50 / 50 verdeeld tussen professionals op het gebied van informatiebeveiliging en professionals op het gebied van niet-informatiebeveiliging. De meeste mensen zeggen dat ze de grootste spam hebben. Dat is een intrigerend misverstand, want het is niet een dat wordt gespiegeld aan de info sec kant.

Als u een enquête uitvoert - en u kunt deze hier op de dia, de linkerkolom - zien [07: 00] is de gebruiker van de organisatie verantwoordelijk voor het denken over cybersecurity. De meesten van hen zeggen dat we begrijpen dat er een continuüm van bedreiging is dat we via het communicatiemedium van e-mail ontvangen, gaande van phishing tot gerichte phishing, van directe financiële verzoeken van frauduleuze afzenders via malwaredistributie, zogenaamde payload-aanvallen. Bovendien omzeilen 20 procent van de tijd alle hacks alle bestaande beveiligingsoplossingen die deze organisaties hebben ingevoerd, wat betekent dat een herstelstap nodig is. In de wereld van info sec denken we aan twee belangrijke statistieken: tijd tot detectie, hoe lang duurt het voordat je ontdekt dat er iets ergs aan de hand is en wat de tijd is om te reageren, hoe lang duurt het voordat je dit probleem aanpakt?

E-mail is alomtegenwoordig. Elke professional heeft het en [08: 00] 100 procent van de ondervraagde professionals opent al hun zakelijke e-mail. Ze reageren er misschien niet op of doen er iets mee, maar je kunt wel garanderen dat je iemand kunt bereiken door hem of haar een e-mail te sturen in een professionele context. De rechterkolom hier wijst er echter op dat de leek, dat wil zeggen de niet-info sec-professional, in het algemeen al de, aanhalingstekens, slechte e-mail categoriseert die ze als spam ontvangen. En dus hebben we dit echt intrigerende moment dat is begonnen te gebeuren in de sector info sec, waar we erkennen dat e-mail in feite deze primaire bedreigingsfactor is, en toch hebben we nog steeds dit misverstand, door de meeste mensen die direct beïnvloed door dat ze een spamprobleem oplossen. In de loop van de rest van onze tijd vandaag gaan we in detail bespreken hoe dat er echt uitziet, waarom spam slechts een deel van het probleem is, [09: 00] en hoe je kunt beginnen na te denken over het maken van een reactie van info sec die enige nuance heeft, en kan reageren op de echte dreigingen die je krijgt.

Maar ik wil daar eerst wat context rond plaatsen, en dat is dat dit geen technisch probleem is. Je hebt twee CEO's van twee technologiebedrijven die je presenteren, maar dit is geen productpitch en je kunt het e-mailbeveiligingsprobleem of het phishing-probleem niet oplossen door simpelweg tech in te zetten of iets te kopen. In plaats daarvan is er hier een continuüm, en dat continuüm varieert van controles op bedrijfsniveau, waarvan we sommige zullen bespreken, tot organisatieproces, tot individuele verantwoordelijkheid [in context?]. Het hebben van een responsplan dat het gamma van de industrie naar het individu leidt, is een essentieel onderdeel van hoe we dit e-mailprobleem oplossen. [10: 00] Voordat we daar aankomen, wil ik het aan Tim overdragen, gezien de achtergrond die hij deelde. Tim, je bent in de loopgraven geweest. Je hebt deze evolutie van dreiging gezien. Als we nadenken over dit idee van dit continuüm van reactie, kun je ons dan meenemen in de geschiedenis van wat het probleem is geweest en waar we nu zijn en hoe we hier zijn gekomen?

Tim Draegen:

Ja, dat kan ik, maar voordat we daar naartoe gingen, wilde ik gewoon een zijbalk toevoegen. Tijdens hun samenwerking op dit webinar, GreatHorn en dmarcian, wilden we een duidelijk beeld vormen van hoe te denken over e-mailbeveiliging in de moderne wereld van vandaag. Daarbij werd duidelijk dat een effectief antwoord op phishing meer moet zijn dan alleen technologie, zoals Kevin zojuist zei. De effectieve reactie moet kijken naar de verschillende actoren in het spel. Er zijn individuen binnen organisaties. Er zijn organisaties die naast elkaar bestaan ​​op het open internet, weergegeven op de vorige dia als de industrie. Traditioneel gebruiken beveiligingsmensen het concept van defensie diepgaand, en passen ze het concept grotendeels toe op zaken die binnen het domein van de organisatie vallen: [11: 00] firewalls, gateways, pakketinspectie, logboekregistratie, gebeurtenisanalyse. Door het perspectief te verbreden en de relatie tussen individuen en organisaties, tussen organisaties en industrieën te bekijken, hebben we een vrij duidelijk beeld kunnen vormen van hoe we kunnen denken over e-mailbeveiliging op een manier die de geavanceerde bedreigingen van vandaag aanpakt.

We kunnen echter niet ver komen, tenzij we kijken hoe het risico zich naast internet heeft ontwikkeld. Dat brengt ons bij de man die uit de envelop komt, precies in het midden van de dia daar. Wat we e-mailbeveiliging noemen en hoe we het huidige risico beheren, begon echt als iets anders. Lang geleden gebruikten mensen e-mailservers op echte hardware, in een kast of onder iemands bureau, geloof het of niet. De mensen die dit deden waren grotendeels bekend als sys-admins. Dit waren de slimme mensen die alle machines draaiden. Ze werden grotendeels gezien als mensen die daglicht schuwden en in raadsels spraken, ook bekend als beste vrienden. Destijds werden spam [12: 00] en ongewenste e-mail grotendeels als hinderlijk gezien. Er waren op dat moment enkele commerciële aanbiedingen, maar die waren meestal verkocht aan mensen die geen sys-beheerder hadden. Ik denk dat dat wordt gerepresenteerd door de rafelige kabels in de IT-kast daar. Maar wat er gebeurde was, na verloop van tijd, hinderlijke e-mail, het evolueerde om te worden bediend door professionele spammers, en de taak van het omgaan met alle waardeloze e-mail die ze stuurden, daalde naar toegewijde IT-professionals binnen een bedrijf. In plaats van hinderlijk te zijn, de hoeveelheid ontvangen spam, werd het een nadelige invloed op de bedrijfsvoering en werd het gezien als een belemmering voor het bedrijfsleven. Begrotingen kwamen beschikbaar en de commerciële antispamindustrie begon in feite. Bij het beheren van crap-e-mail was het een probleem dat kon worden opgelost door een filter aan te schaffen dat dingen opschrobde terwijl het in je netwerk stroomde.

Maar op een gegeven moment begrepen professionele spammers dat de technologie en de operationele expertise die ze tijdens het spammen ontwikkelden, ook op een andere [13: 00] manier konden worden gebruikt. Geen e-mails voor voorraad, zwendel of sekspillen verzenden, maar e-mail sturen naar mensen met de intentie om te misleiden. Het was toen dat de economische drijfveer achter het e-mailbeveiligingsrisico, het veranderde van het gebruik van e-mail als een goedkoop marketingkanaal naar het gebruik van e-mail als een manier om grote aantallen mensen te ontmaskeren, tegen in principe geen kosten voor de crimineel. Dit is het verhaal van hoe onzin e-mail is geworden van overlast tot wapentuig. Om echt te begrijpen waarom de situatie van vandaag slecht is, moeten we kijken naar wat technologie voor ons heeft gedaan. Dat zou ons naar de volgende dia moeten brengen, die heel lang geleden is.

De meeste antispamtechnologie is ontwikkeld om spamgolven te blokkeren, zoals u hier kunt zien, vier van hen. De golven zijn verschillend en ze gebeuren op verschillende tijdstippen. Maar als je goed kijkt, kun je patronen gaan zien. Volgende dia, alsjeblieft.

De [14: 00] antispamtechnologie die is ontwikkeld, werkt grotendeels door grote hoeveelheden spam te verzamelen, enorme hoeveelheden niet-spam te verzamelen, ook wel ham genoemd, en vervolgens technieken voor het leren van machines te gebruiken om patronen te identificeren die alleen overeenkomen met spam . Die patronen, ze zijn dan productized, en ze zijn gewend om deze golven van spam te blokkeren terwijl ze op het internet rondsluipen. Hoe beter je het doet, hoe meer geld je kunt verdienen. Maar toen spammers zich realiseerden dat het gebruik van misleidende e-mail veel lucratiever kon zijn dan het verkopen van sekspillen aan een paar sukkels, speelden de antispamtechnologieën nog steeds een rol. GreatHorn had hier een geweldige uitdrukking voor die ik ga adopteren. Noem het volumetrisch phishing. Dat is de volgende dia. Dank je.

Dit is waar anti-spamtechnologie echt begint af te breken. De slechte acteurs, ze blijven evolueren voorbij deze verdediging. Dit zijn enkele voorbeelden. Kevin, ik weet niet zeker of je met deze dia wilde praten of niet.

Kevin O'Brien:

Ja. Ik denk dat [15: 00] als we het hebben over volumetrische phishing, een van de dingen die we zien is dat we allemaal dergelijke berichten hebben ontvangen naar onze persoonlijke adressen. Als je e-mail hebt gehad, heb je dit gezien. Het is een culturele grap geworden, gebaseerd op hoe vaak het was. De Nigeriaanse prins, de titel van het webinar zelf, komt van een bijzonder virulente streng van dit soort phishing. Maar we zagen deze start ook in de bedrijfswereld komen en je ziet dit nog steeds. De datums op deze e-mails zijn reëel. Dit zijn echte screenshots, en deze komen naar echte professionals van onze klantenset, en in sommige gevallen (onhoorbare) organisaties. Nu, ik denk dat we aanspraak kunnen maken op het feit dat we behoorlijk goed zijn in volumetrische phishing-detectie. Je kunt ook zien dat veel van deze zich in ongewenste mappen bevinden, en dat is omdat dit probleem, naar het eerdere punt van Tim, nu bijna 20 [16: 00] jaren van spam en hamverzameling heeft om te blokkeren wat er binnenkomt dat ongewenst is wanneer het is iets dat erg op een van deze berichten lijkt. Dat is natuurlijk niet het hele probleem. Terug naar jou, Tim.

Tim Draegen:

Ja. Volgende dia. Dit is de grote uh-oh. Als er maar één slechte e-mail is, kun je er geen voorbeelden van verzamelen, kun je geen regels schrijven en heeft de slechtheid een kans om voor een mens te verschijnen. Dit soort kleine batches, noem het ambachtelijk, phishing, mensen noemen spear phishing. Het is één ding om een ​​breed net te gebruiken om te proberen een groep mensen tegelijkertijd te bedriegen, zoals volumetrisch phishing, maar wanneer de nadruk ligt op het misleiden van een specifiek individu om iets te doen dat ze niet zouden moeten doen, is dat een speciale categorie van phishing, vandaar de speer-phishing-naam. Het is echter de norm geworden, dus mensen noemen dit type aanval nu alleen maar phishing, in plaats van het phishing te noemen. Maar Kevin ziet veel meer van deze voorbeelden dan ik dmarcian, en dat zou de volgende dia moeten zijn, onze voorbeelden.

Kevin O'Brien:

Toen ik [17: 00] voor het eerst met GreatHorn begon, was onze eerste iteratie van het bedrijf om alleen naar spear-phishing te kijken en zich te concentreren op dat ene aspect van e-mailbeveiliging. We doen nu meer, maar dat was het uitgangspunt. Ik was in New York City en presenteerde een kamer vol mensen over dit probleem, en vier, vier en een half jaar geleden was spear phishing nog steeds de term die in de industrie werd gebruikt om de uitdaging te beschrijven. Ik herinner me dat de durfkapitalist met wie ik sprak, een poosje beleefd naar me had geluisterd, en toen haar gezicht omhoog wrong en me vroeg hoe we een technologiebedrijf begonnen dat iets te maken had met de maritieme handel. Het was duidelijk een misverstand en ik wist toen dat dat waarschijnlijk niet de belegger voor ons was. We hadden tenminste niet voldoende indruk op haar gemaakt om haar te laten investeren in wat ze dacht dat we aan het doen waren. Maar de realiteit was dat de term er een was die iedereen had gezien; ze wisten het gewoon niet.

Denk terug aan de enquête die we aan het begin van deze presentatie hebben opgesteld. [18: 00] Er is nog steeds een misverstand en mis-differentiatie tussen spam en spear-phishing. Dus wat is het? Laten we het ophelderen. Gerichte phishing, gerichte aanvallen, spear phishing: ze vertegenwoordigen een aanval waarbij iemand zich meestal als een leidinggevende in een bedrijf voordoet, via e-mail, via een verscheidenheid aan technieken om iemand anders binnen dat bedrijf iets te laten doen. Geef ze toegang tot gevoelige gegevens, geef ze geld, geef ze misschien extra informatie voor een volgende en meer geavanceerde aanval. Het kan ook worden weergegeven als een imitatie van een vertrouwde service. Jullie hebben waarschijnlijk allemaal ooit zoiets gezien op een gegeven moment, waar je krijgt wat eruit ziet als een door de cloud gehost bestand - dat wil zeggen, een bestand dat op een Dropbox-account zit, of een Google Drive-account, of een SharePoint-account - en iemand vraagt jij om het te openen. Het is mogelijk dat, zoals u linksonder kunt zien, Microsoft [19: 00] zelf beweert dat u zich moet aanmelden om berichten vrij te geven die worden vertraagd of niet worden afgeleverd. Dit zijn natuurlijk niet echt berichten van Microsoft of uw leidinggevenden. Het zijn spear phishing-aanvallen, ontworpen om uw gegevens te verzamelen of om u iets te laten doen.

Ik vind vooral die in de rechterbovenhoek leuk, omdat we dat echt hebben ontvangen, en Lorita, die dit webinar opende en de introducties deed, kreeg een zogenaamd bericht van mij. Ik ben in mijn carrière veel dingen genoemd, maar Earl Jordan 114 is niet een van hen, en dit was een complete fraude. Maar het toont de soorten aanvallen waarop mensen vertrouwen en daarom is deze deurklopaanval die dit vertegenwoordigt indicatief voor iemand die probeert uit te voeren wat in de toekomst vermoedelijk een complexere aanval zal zijn, met gebruik van zoiets als een lookalike-domein, zoals je ziet rechts onderaan, waar een DocuSign-document staat dat zogenaamd ondertekend moet zijn. Maar die "U" heeft een umlaut, en die twee kleine puntjes zijn het verschil tussen het ondertekenen van een verkoopcontract en het geven van uw referenties [20: 00] aan een aanvaller.

Wat doen we hieraan? Zoals Tim opmerkt, kunnen we niet alleen op technologie vertrouwen om dit probleem op te lossen, en de traditionele benadering van het denken over spam. Dat wil zeggen, het consumeren van grote hoeveelheden gegevens, en als je eenmaal dat corpus van gegevens hebt, het afstemmen van een machine om ernaar te kijken en erachter te komen waar de spam is en waar de ham is. [Laten we werken?] Bij deze lage en langzame aanvallen. En dus, zoals we al eerder hebben gezinspeeld, is er een samenloop van procestechnologie en investeringen van mensen die leidende organisaties nu het spear-phishing-probleem proberen te verklaren, en over het e-mailbeveiligingsprobleem dat grootschalig is. Ik wil hier kort over spreken, en ik denk dat we eerst moeten begrijpen wat we bedoelen met deze drie dingen.

Proces is de formele, afgeschreven set regels die u rond uw bedrijf hebt opgesteld. Wanneer iemand zegt: "Ik wil dat je op mijn e-mail reageert" of "Ik wil dat je [21: 00] geld stort via een openstaande rekening", of "Je moet gaan klik op deze link en laat deze berichten vrij , "Een controle op procesniveau zou zeggen:" We verspillen geen geld zonder een verbale bevestiging en een telefoongesprek "of" Als u de afzender niet herkent, klikt u niet op de koppeling. Dit is goed. De meeste organisaties op schaal hebben controlevereisten die in feite vereisen dat hun processen worden afgestemd op bepaalde normen, en dat zij, op een typisch jaarlijkse basis, moeten aantonen dat deze worden gecommuniceerd aan het personeel.

Een van de uitdagingen daarbij is dat dit proces niet altijd wordt gevolgd, en dus is het tweede niveau van het responskader dat we voorstellen een investering in technologie, maar technologie die niet probeert het probleem op te lossen door dingen te blokkeren, maar liever om de eindgebruiker eraan te herinneren en te bewapenen wat het proces is en hoe hij zich moet gedragen. Ik zal Tim daar nog even in meer detail laten spreken in [22: 00], omdat contextualiseren en nadenken over technologie en hoe het op e-mail is gericht een belangrijk onderwerp is, en een dat we enige tijd gaan besteden op, zowel vandaag als in de toekomst.

Maar het laatste deel van deze ontlasting is de mensencomponent, en natuurlijk heb je de voorbeelden gezien die we hebben, waar iemand Lorita of een lid van een team benadert en zegt: "Ik wil dat je iets doet." Er is een misverstand en een misvatting tussen beveiligingsprofessionals die, citeren, mensen de zwakste schakel zijn. Het is echt een ongelukkige manier om angst te gebruiken om software en technologie te verkopen. We denken dat een eindgebruiker je beste kans is om een ​​aanval te blokkeren of te voorkomen en dat een sterke afstemming tussen proces en mensen, door het gebruik van technologie, die zogenaamd zwakste schakel verandert in een van je sterkste middelen. Tim, wil je hier een klein beetje [23: 00] kleur in plaatsen, en misschien specifiek naar dat concept van verdediging in de diepte waar we het over hadden?

Tim Draegen:

Ja. Het gaat hier om het punt dat dit meer is dan alleen technologie, er is een gevoel van gedeelde verantwoordelijkheid door over deze dingen te praten. Toen we aan het samenwerken waren, dachten we op deze manier. We probeerden een nette manier te vinden van hoe proces en technologie en mensen, hoe ze omgaan op het niveau van individuen, organisaties en tussen verschillende industrieën. Als we dit samenvoegen, hadden we niet het gevoel dat een matrix met rijen en kolommen echt tot inzicht leidde. De sleutel lag in de relaties, in tegenstelling tot de traditionele manier van verdediging die diepgaand werd toegepast op specifieke doelgebieden. Een betere manier om daar te komen, is volgens mij, dat we vergelijken en contrasteren wat mensen hebben gedaan met wat ze hebben gekregen, versus wat effectief is wanneer ze vanuit een breder perspectief worden benaderd, dat breder [24: 00] perspectief zijn, overweeg hoe industrieën onderling samenwerken, overweeg wat de organisatie doet en overweeg individuen die een organisatie vormen. Dus het bekijken van het hele perspectief, in tegenstelling tot verdediging in de diepte om mensen te beschermen, een organisatie te beschermen en het grote publiek te onderwijzen. Ik denk dat we daarmee bij het eerste deel komen, namelijk gebruikersbetrokkenheid, de volgende dia.

Kevin O'Brien:

Een van de interessante dingen, Tim, over gebruikersbetrokkenheid is dat we, zoals je net zei, diep nadenken over de verdediging dat het voorkomt dat mensen toegang krijgen tot gegevens. Het is een echt misverstand en verkeerd gebruik van de term. Verdediging in de diepte is een concept dat we voor het eerst zien ontstaan ​​uit het National Institute of Standards and Technology, NIST, grotendeels uit academisch onderzoek, en later in formele beleidsaanbevelingen in het midden van '90's en vroege 2000's. [25: 00] Het idee is dat 'defense in depth' een concept is dat je toepast op een beveiligingsprogramma om ervoor te zorgen dat je geen enkel storingspunt hebt. De implementatie is helaas dat we een idee hebben dat gebruikers niet vertrouwd kunnen worden, dus we zullen zoveel niveaus van, citaten, verdediging tussen hen plaatsen en hun werk doen als mogelijk. Als je gebruikers als het probleem beschouwt, en je blokkeert gebruikers, en je gebruikt technologieën die zijn ontworpen voor een tijdperk waarin het primaire probleem dat je zou hebben vanuit een e-mailperspectief is dat je zou krijgen, citeren, ongewenste e-mail, spam - Rechtsaf? - dan met een beveiligingsmodaliteit die zei: "Laat de gebruikers dat soort dingen niet zien, plaats het gewoon in de map met ongewenste e-mail, plaats het in quarantaine en laat het aan het info sec-team over om erachter te komen wanneer iets zaken heeft gebroken proces ', komt echt niet overeen. Ik denk dat wanneer we kijken naar de evolutie van de cloudinfrastructuur, het voor gebruikers vandaag de dag mogelijk is [26: 00] een taak te laten zien met hun persoonlijke tablet, telefoon, de mogelijkheid om gemakkelijk toegang te krijgen tot wat zakelijke e-mailsystemen zouden zijn geweest 10 of 15 jaar geleden, met niets meer dan een vijf minuten durende aanmelding om een ​​Gmail-account te krijgen, of een modern e-mailaccount ergens op internet, verschuift het landschap echt en blokkeert het blokkeren van gebruikers gewoon niet. Tim, wil je een beetje praten over de moderne aanpak, en een beetje meer over wat we vandaag zien werken?

Tim Draegen:

Ik moet er gewoon eerst mee eens zijn dat het isoleren van gebruikers vanuit mijn perspectief gewoon niet heeft gewerkt. Er is veel begeleiding rond het trainen van mensen om niet op te klikken, te citeren, slechte dingen, maar de bedrijven die zijn gespecialiseerd in het uitvoeren van dit soort trainingen, melden dat gebruikers voortdurend de slechte dingen niet voorkomen. Zo'n benadering, het is goed in termen van een trainingsprogramma, maar het is niet echt effectief in het voorkomen van de scherpste soorten e-mail die binnenkomen en dingen echt beschadigen. Dus naar mijn mening hebben duidelijk mensen [27: 00] betere hulpmiddelen nodig bij het doornemen van hun e-mail. En dus, de moderne aanpak daar onderaan de dia, we beginnen nu veel meer functionaliteit te zien waarbij gebruikers zelf betere tools krijgen bij het verwerken van e-mail, zodat ze een veel betere reactie kunnen krijgen als ze iets vreemds zien . Het is niet het model van het duwen van een e-mail naar een quarantaine die uiteindelijk door een expert wordt vrijgegeven, maar de gebruikers krijgen zelf genoeg visueel signaal om - ik wil niet zo ver gaan als zeggen dat ze hun eigen onderzoek uitvoeren, maar veel de scherpe randen zijn versleten door het technologische gedeelte, zodat er minder dingen zijn waar gebruikers zich aan kunnen bezeren.

Kevin O'Brien:

Dat is natuurlijk een prima manier om te praten over waar technologie een rol kan spelen, natuurlijk. Ik hou van het idee dat we de scherpe randen afronden. Waar ik denk dat technologie in de moderne benadering wel enig vermogen heeft om te helpen, is het halen van [28: 00] wat categorisch slechte e-mails uit mailboxen zijn. Dit is een gebied waar dat goede / slechte binaire classificatiebeeld van de wereld goed werkt, net zoals het goed werkt op een eindpuntapparaat, of het werkt goed bij een netwerkfirewall. Sommige dingen - malware, opsporing van bestandshashruimte of statische analyse van bedreigingen, kwaadwillende URL's die voorkomen op meerdere real-time blacklists - dit soort dingen kunnen we verwijderen. Ik denk dat je moet erkennen dat beveiligingsprofessionals niet slecht geïnformeerd zijn. Ze zijn niet dom. Deze dingen werken heel goed op alle andere gebieden van beveiliging. Maar wat niet werkt, is om dat idee van binaire classificatie vanuit een technologisch perspectief te nemen, en denken dat je het kunt toepassen op het probleem dat we beschrijven. Ik denk, op de dia van Tim, kijkend naar [29: 00] de ene vis die uit de golven springt, dat geïsoleerde, goed gemaakte en gevaarlijke aanvalsboodschap het soort dingen omzeilt die zouden werken als je oplost voor volumetrische malware distributie.

Dus het tweede dat we bedrijven zagen doen, was zeggen: "Oké, we weten dat we 100 geen procent van de slechte dingen zullen vangen. Laten we onze gebruikers trainen. ' Het trainen van gebruikers heeft zijn eigen uitdaging. Ten eerste is een van de dingen die heel moeilijk te doen is, van invloed op het gedrag van eindgebruikers. Mensen zijn resistent tegen verandering, ongeacht of we het nu hebben over professionals in een kantoor of ergens anders. En dus mensen vertellen dat ze geen e-mail kunnen gebruiken - onthoud, 47-jaar oud systeem. Bijna iedereen gebruikt het voor minstens een decennium of twee. Dat gaat niet werken. En ten tweede, het soort dingen dat we mensen vragen te doen, komt niet overeen met onze infrastructuurverwachtingen [30: 00] zoals ze bestaan ​​in 2018. Als u iemand vertelt: "Beweeg uw muiscursor over een link waarvan u denkt dat deze verdacht is", vraagt ​​u ze om een ​​beveiligingsdeskundige te zijn en te begrijpen of die koppeling verdacht is en twee, beweeg de muiscursor. Wat als ze op een iPad staan? Wat als ze op een luchthaven zijn? Wat als ze thuis zijn, naar hun smartphone kijken, en het is 9: 00 PM, en ze controleren hun e-mail voordat ze de nacht in gaan? Welke muisaanwijzer? Dus dit idee dat technologie en training samen zullen oplossen voor het phishing-probleem is volkomen onjuist, en het leidt er echt toe waarom dit probleem tegenwoordig zo belangrijk en groot is. Maar er is een betere manier. Tim?

Tim Draegen:

Ja, ik denk gewoon een kanttekening, in de info sec-gemeenschap is er de perceptie dat gebruikers het probleem zijn, en ik ben het er in zekere mate mee eens dat gebruikers een probleem zijn. Maar mensen als statische activa behandelen is volgens mij niet de meest effectieve manier om [31: 00] met de gebruikers om te gaan als een probleem. Mensen zijn geen statische activa. Volgens Kevin's punt, bewegen ze de wereld rond. Ze zijn in wezen een dynamische relatie met de organisatie, en dus moet je ze behandelen als dingen die over de hele wereld bewegen. Dus de traditionele manier om een ​​gebruiker te omringen met een laag pantser om te voorkomen dat slechte dingen bij hem terechtkomen, we moeten gewoon erkennen dat mensen in het wild zullen zijn en (onhoorbaar) anticiperen. Dus een betere manier zou zijn om mensen in te bedden in een proces dat kan worden afgestemd om het risico te verminderen. Het is beter om het als een combinatie te behandelen, in plaats van te denken dat er één technologie-oplossing is die alles gaat oplossen. De -

Kevin O'Brien:

Neem niet - ga je gang, Tim, het spijt me.

Tim Draegen:

Oh, nee, jij.

Kevin O'Brien:

Neem niet ons woord te geloven. Kijk naar die enquête waarmee we de presentatie begonnen. Als het idee dat technologie en training alleen al voor dit probleem zouden kunnen oplossen waar was, [32: 00], dan zou je niet vinden dat 20 procent van de respondenten van de info sec-zijde rapporteerde dat ze wekelijks deelnamen herstelactie. Dat is een hoge mate van mislukking als je bedenkt dat voor een doorsnee organisatie, die misschien wel 100 miljoen e-mailberichten krijgt in de loop van een week. Het hebben van een 20 percentage mislukkingen, waarbij ze moeten gaan en handmatige actie moeten ondernemen op berichten die op hun gebruikers zijn gericht, en elk individueel incident van een inbreuk op de cyberveiligheid kan tienduizenden tot honderdduizenden dollars kosten, dat is geen acceptabele marge voor fouten. Het idee dat technologie voldoende is, speelt misschien een rol, maar we kunnen niet toestaan ​​dat onjuist inzicht in wat werkt voor spam, werkt voor phishing en gerichte phishing. Gelukkig zijn er echter enkele dingen die we kunnen doen. Tim, waarom praat je er niet vanuit vanuit het oogpunt van de industrie om te beginnen?

Tim Draegen:

Dit is mijn favoriete [33: 00] -film. Dank je. Deze is mij nabij en dierbaar. De meeste organisaties maken geen gebruik van technologieën die nu beschikbaar zijn en die worden gebruikt om vertrouwen op te bouwen en te behouden via internet. Ik heb het niet over het beveiligen van een online item, zoals een website, het gebruik van SSL-certificaten of het beschermen van een perimeter met behulp van firewalls of iets dergelijks. Er zijn op dit moment aanzienlijke inspanningen gaande om organisaties technologie te laten inzetten waarmee alle anderen op internet op betrouwbare wijze kunnen vertrouwen wat online is dat u lijkt te zijn. Als e-mail een indicatie is, zal het lang duren voordat organisaties deze technologieën overnemen, maar het moet gebeuren. Het verschil is samenwerken op het open internet, het is geen product. Het is eigenlijk een set technische specificaties, net als e-mail. Dus als u een bedrijf bent en op internet bent, moet u erachter komen hoe u het zo kunt maken dat iedereen die met u gaat communiceren, dit op een veilige manier kan doen. [34: 00] Je kunt bedrijven vinden. Er zijn enkele producten die u zou kunnen volgen die u zullen helpen deze technologieën te implementeren, maar nogmaals, de technologieën zelf houden allemaal verband met interoperabiliteit. En dus met behulp van deze technologieën zodat iedereen op het open internet daadwerkelijk kan vertellen dat je het probleem echt op een nieuwe manier benadert, en het is minder een defensieve houding, en het is meer alsof je jezelf toestaat vertrouwd te worden op het internet. Laat mensen dus niet raden. Maak het echt zo dat je een gevestigde en stabiele aanwezigheid online hebt. Kevin (overlappende dialoog, onhoorbaar)

Kevin O'Brien:

Ja dat doe ik. Ik denk dat wat daarop aansluit, vanuit het oogpunt van informatiebeveiliging is - en laten we differentiëren dat er een standaard technologieontwikkelingsprobleem is dat organisaties kunnen oplossen door een aantal van deze standaarden te gebruiken. U kunt dan ook een info-sec perspectief nemen en naar diezelfde uitdaging kijken en beginnen te bepalen of [35: 00] uw organisatie in een goede staat verkeert of niet met betrekking tot dat soort normen. Waarom is dit belangrijk? Neem iets als de voorbeelden van de nabootsingen van mij die we enkele ogenblikken geleden hebben gezien. Ik maakte een grapje over het feit dat het e-mailadres de naam van iemand anders was. Dat is moeilijk te zeggen als eindgebruiker. Als Kevin O'Brien, gespeld op de manier waarop ik mijn naam spellen, een e-mail stuurt naar iemand van mijn staf, en we hebben niet het werk gedaan om dat soort industriële bescherming op zijn plaats te krijgen, kan die aanvaller niet alleen de vriendelijke gebruiken naam die je ziet als je naar je e-mail op je telefoon kijkt - Kevin O'Brien - het kan ook mijn domeinnaam gebruiken, op GreatHorn dot com. En dat is een probleem, want nu kan mijn eindgebruiker geen onderscheid maken tussen de echte Kevin en de bedrieger. Maar als je deze standaarden implementeert - en het zijn geen technologieën, zijn het geen dingen [36: 00] die je koopt - het zijn standaarden - je kunt niemand binnen dat bedrijf letterlijk worden op dezelfde manier als de echte afzender, en dus wordt het de valse naam van iemand. Je krijgt uiteindelijk iemands Gmail-adres. Ik denk dat het leuk is om die benadering te volgen, dat de deur wordt geopend om vervolgens vanuit het spectrum perspectief terug te gaan naar het personeel en na te denken over hoe je jezelf kunt beschermen met meer dan slechts één verdedigingslaag. Tim, voor jou.

Tim Draegen:

Ik kan geen genoeg krijgen van deze foto. We hebben tot nu toe veel meegemaakt in het webinar. Wanneer GreatHorn en dmarcian ging zitten en begon samen te werken, we hebben veel meegemaakt, veel materiaal gegenereerd. Ik geloof dat dit deel een van de drie gaat worden. Maar deze foto is kort samengevat: er zijn drie categorieën op hoog niveau waaraan aandacht moet worden besteed: de industrie, de organisatie en het individu. [37: 00] Traditioneel worden deze gezien als silo's, maar naar onze ervaring vereist een effectievere reactie op phishing het kijken naar de ruimte tussen deze gebieden. Dat wil zeggen, de relaties tussen individuen en hun organisatie, en tussen organisaties en hun industrieën. Het relatie-onderdeel maakt echt uit. Vanuit een industrieperspectief zijn er op standaarden gebaseerde manieren om op internet te werken, zodat u uw organisatie iets kunt maken dat vertrouwd kan worden. Je hoeft niet te raden of iets echt is of niet. Je moet op zoek gaan naar alle technologieën om als organisatie correct met internet te kunnen samenwerken. Dit is vanuit een info sec perspectief. Een organisatie moet dit eerst en vooral doen, zichzelf betrouwbaar maken op internet. Vanuit het individuele perspectief is GreatHorn baanbrekend geweest, in termen van kijken naar de relaties tussen individuen en tussen individuen en hun organisatie. En kijkend naar het hele spectrum van de probleemruimte die phishing vertegenwoordigt, [38: 00], is dit het meest beknopte soort diagram dat we tot nu toe hebben kunnen maken.

Kevin O'Brien:

Wat ik belangrijk vind om te horen is dat er een overlapping is tussen deze, en een deel van de reden dat Tim en ik elkaar wederzijds enthousiast maken door het vooruitzicht een partnerschap tussen onze organisaties op te bouwen, is omdat we verschillende kanten van deze vergelijking oplossen, maar ze hebben een sectie in het midden waar ze samenkomen. Om de industrie te beschermen en vervolgens de context voor de gebruiker te plaatsen, is organisatorische betrokkenheid vereist, en het is vaak een organisatorisch engagement van dezelfde groep mensen. Als u verantwoordelijk bent voor e-mail, als u denkt aan informatiebeveiliging, als u uw bedrijf beschermt tegen geavanceerde cyberdreigingen die worden ingezet tegen uw leidinggevenden, gerelateerd aan waar u zich bevindt, de soorten gegevens die u heeft, financiering en informatie die op het openbare internet wordt geplaatst, met een [industrieel?] individueel responsplan op het niveau van de organisatie [39: 00], is de enige manier om uzelf effectief te beschermen. Ik vind het echt een goede kans voor ons om te beginnen praten over hoe dat er in de praktijk uitziet. We zullen volgende webinars houden die meer in detail gaan over hoe een dergelijk plan bij elkaar komt, maar zodat je weet waar we vandaan komen, Tim, wil je een paar woorden zeggen over wat je doet? Ik zal het hebben over GreatHorn, en dan kunnen we het misschien openstellen voor enkele vragen.

Tim Draegen:

Oh, ja, gewoon heel snel. Dmarcian zelf is het direct daarna gemaakt DMARC werd openbaar gemaakt, en de enige missie is om te folden DMARC op internet. DMARC zelf, alleen een technologie. Het is een bouwsteen, of liever een fundament, waarop vertrouwen kan worden gebouwd via internet. Het is een van die stukjes van interoperabiliteit waarmee je e-mail kunt verzenden, zodat andere mensen niet hoeven te raden of het echt is of niet. Onze focus ligt vierkant in die ruimte tussen de organisaties en hun industrieën.

Kevin O'Brien:

En omgekeerd, GreatHorn is een e-mail [40: 00] beveiligingsprovider, en wat we doen, is organisaties helpen die cloud-e-mailsystemen hebben gebruikt om te begrijpen waar de bedreigingen in hun postbussen zijn, en dan, via die automatische, maar ook onmiddellijke reactie -gedreven beleid, actie ondernemen, wat betekent dat we een eindgebruiker context kunnen bieden over de vraag of een bepaald bericht al dan niet frauduleus is, en we kunnen een informatiebeveiligingsteam helpen om binnen enkele seconden op die bedreigingen te reageren in plaats van uren of dagen.

Lorita Ba:

Grote. Bedankt aan jullie beiden voor zowel je tijd als de inhoud die je tot nu toe hebt verstrekt. Ik wil iedereen eraan herinneren dat het vragenoverzicht op uw go-to webinar-configuratiescherm beschikbaar is voor vragen. We hebben een nummer dat al binnen is gekomen. Ik ga er zo naar toe. Maar ter herinnering, we gaan de opname en de dia's die beschikbaar zijn na het webinar via e-mail verzenden, [41: 00] en beide CEO's hebben gezegd dat we meerdere webinars gaan doen. De volgende twee staan ​​hier vermeld. We zijn nog steeds bezig met het afronden van de datums, maar we laten het u zeker weten. De bedoeling is dat het tweede webinar een tactische bespreking zal hebben van enkele van de filosofische discussies hier, en de derde zal een soort diepgaand begrip zijn van wat de twee bedrijven doen.

Met betrekking tot de vragen, is de eerste hier: "Hoe denken jullie dat phishing-campagnes worden uitgevoerd op je eigen werknemers om het bewustzijn te vergroten?"

Kevin O'Brien:

Natuurlijk, ik zal daar een eerste scheur in maken, en dan Tim, als je er wat kleur aan wilt toevoegen. [Zie ik?] Waarom je zoiets zou doen. De eerste is dat een phishing-campagne tegen uw eigen werknemers u een benchmark kan geven over waar u zich bevindt. Benchmarking is een goede gewoonte, en weten wat u probeert te veranderen en begrijpen hoe de statistieken zijn die u probeert te verplaatsen eruitzien, geeft u [42: 00] op zijn minst een basislijn om te weten waar u zich bevindt. Wat niet logisch is, is te denken dat er een verband bestaat tussen phishing van je eigen werknemers en het oplossen van het feit dat ze ervoor zullen vallen in een mate die voor jou van belang zal zijn als je de resultaten ziet. Helaas zijn de budgetten beperkt, de tijd is eindig en we zien dat informatiebeveiligingsteams soms denken dat ze onze medewerkers gewoon kunnen blijven phishingen, en doen vaak genoeg dat we content naar ze pushen, we laten ze een video bekijken elke keer dat ze klikken op een link, en nu (onhoorbaar) handen af, we zijn klaar, we hebben het probleem opgelost. Werkt niet. Statistieken tonen aan dat binnen zes maanden na uw meest recente phishing-simulatie, uw cijfers teruggaan naar wat de basislijn was. Je hebt werknemersafwijkingen, waarbij mensen van rol veranderen, en erger nog, je hebt uiteindelijk een beveiligingsteam dat gelooft dat het effectieve actie heeft ondernomen tegen het phishing-probleem, [43: 00] maar in werkelijkheid heeft het het onder de grond gedreven of een bedrijf opgericht - afkeer van het beveiligingsteam om ze dwaas te laten lijken. Een goede techniek om te begrijpen waar je begint, maar het is maar een beginpunt en geen stopplaats. Wil je daar iets aan toevoegen, Tim?

Tim Draegen:

Ja. Ik denk dat ik naar mijn mening een geweldige manier vind om een ​​organisatie bewust te maken van een probleem. Veel mensen, vooral als ze niet in de technische industrie zitten, weten misschien niet dat hun e-mailclients niets doen om hen tegen fraude te beschermen, en alleen de schokkende hoeveelheid zeer gevaarlijke en scherpe dingen die in de e-mail terechtkomen. inbox van mensen. De meeste info sec of niet-e-mail mensen waarmee ik spreek, ze gaan er gewoon van uit dat de mailboxprovider, of het IT-personeel, of wie dan ook, bezig is met het veilig maken van dingen. Dus als ze in hun inbox gaan en ze beginnen links te klikken, is de aanname - er is een auto gelanceerd in de ruimte, we hebben mensen op de maan geland, we hebben satellieten in een baan om de aarde; hoe komt het dat ik iets kan doen met mijn pc [44: 00] die iemand daadwerkelijk kan schaden, toch? Je drukt gewoon op knoppen. Veel mensen weten dus gewoon niet dat de e-mailruimte eigenlijk heel gevaarlijk is voor eindgebruikers. Ik denk dat het als een manier om het bewustzijn te verhogen, zeker nuttig is. Het lost het probleem niet echt op, maar het kan het bewustzijn vergroten, het kan toekomstige actie rechtvaardigen. Het is een beetje een info sec business case builder, als je wilt.

Lorita Ba:

Geweldig bedankt. De volgende vraag: "Een van onze klanten is onlangs gepest door iemand die zich voordeed als ons. Hoe kunnen we dat voorkomen? "

Kevin O'Brien:

Tim, waarom neem je de eerste pas niet?

Tim Draegen:

Laat me ervoor zorgen dat ik de vraag goed heb begrepen. Iemand heeft een e-mail gestuurd naar een klant die zich voordeed als jij. Wat u moet doen, is het heel gemakkelijk maken dat uw e-mail identificeerbaar is Er zijn technologieën zoals DMARC die u kunt gebruiken. Het is uitgevonden om e-mail gemakkelijk te identificeren. Dat zou waarschijnlijk de eerste stap zijn die ik zou aanbevelen. [45: 00] Er zijn echter meer robuuste dingen die u zou kunnen doen, zodat u niet hoeft te vertrouwen op de persoon die u e-mail stuurt om het juiste te doen, en ik denk, Kevin, daar kunt u waarschijnlijk tegen praten.

Kevin O'Brien:

Een van de dingen die we zien wanneer een dergelijke aanval plaatsvindt, is meestal dat een organisatie zoiets niet heeft geïmplementeerd DMARC en alle dingen die met e-mailverificatie te maken hebben, schrijven groot, of dat ze het slechts gedeeltelijk hebben gedaan. Als ik bijvoorbeeld een Fortune 500-bedrijf bekijk met wie we samenwerken, en ze hebben bijna duizend domeinen die bij hun merk zijn aangesloten, en ontwikkelaars in hun technische teams creëren nieuwe services en nieuwe instanties van machines die e-mail kunnen verzenden als ze hebben hun werk goed gedaan door hun fundamentele e-mailinfrastructuur weer te geven, maar dat vervolgens op een continue manier te monitoren en na te denken over nieuwe bedreigingskansen gezien de normale operationele [cadans?] van het bedrijf, dat is een enorme uitdaging taak als u het handmatig probeert te doen. Als je een aanpak hebt waarmee je [46: 00] alle e-mails kunt ophalen die door je systeem gaan en die nadenken over bescherming tegen een mogelijk beveiligingslek dat wordt gecreëerd, is daar de tweede helft van de vergelijking. Als je beide dingen samen doet - welke legacy-benaderingen overigens niet doen, trouwens. Als je het slechte spul-model gewoon in quarantaine neemt, denk je eraan dat slechte dingen naar je gebruikers komen, je hebt geen zicht op waar Tim het over heeft. Hoe zien we er voor de buitenwereld uit? Je kunt dat meten. Er zijn technologieën en processen die u kunt installeren die u zullen helpen om dat probleem op te lossen. Als u dat doet, is de kans veel kleiner dat u een bedrijf bent dat zich voordoet als uw klanten, wat betekent dat u geen e-mails op de markt hebt.

Lorita Ba:

Dank je. De volgende vraag is volgens mij voornamelijk voor Kevin. Er is een scenario: “Volledig afwijzen met DMARC al op zijn plaats. G Suite is de e-mailbackend, maar de meeste gebruikers geven de voorkeur aan Outlook als [47: 00] e-mail bekijkt en gebruikt. Ze gebruiken de Gmail-webclient niet. Dus werkt de aanpak van het leveren van extra context aan gebruikers voor verdachte e-mails in deze hybride situatie? "

Kevin O'Brien:

Het antwoord is dat je het kunt laten werken. Je kunt het niet doen met precies wat de platformprovider - in dit geval Google - je geeft. Enorm gat daar, en het is er een die niet voor de hand ligt, tenzij je de situatie bent tegengekomen die de vraagsteller naar voren bracht. Google, als u Google gebruikt, hetzij voor uw persoonlijke e-mail, hetzij als u het op het werk gebruikt, heeft een behoorlijk robuuste set anti-spamfilters en zij zijn begonnen met het verlengen van sommige waarschuwingen op basis van contextanalyse om te zeggen: "Hé, dit bericht gaat over financiële informatie. Het kan frauduleus zijn. Zorg ervoor dat u de afzender kent. " Dat is geweldig, als je voor Chrome staat en bent aangemeld bij Google. Als u een gebruikersdatabase hebt, zoals veel organisaties die zich in Outlook bevinden, krijgt u opeens niet dat niveau van bescherming. Het is mogelijk - en dit is iets specifieks voor [48: 00] GreatHorn, maar er zijn verschillende manieren om dit te doen - om die context in het bericht zelf te brengen, en niet dat het iets is dat je moet vertrouwen op de platformprovider om voor u te doen. Als u een dergelijk proces uitvoert, op dezelfde manier waarop u al een volledig afwijzingsbeleid hebt gekregen DMARC, dus u hebt preventieve stappen ondernomen om ervoor te zorgen dat uw merk wordt nagebootst, u kunt nu ook preventieve stappen ondernemen om iemand op uw gebruikers te richten bij het omzeilen van de beveiligingen die in theorie van uw provider komen. U kunt dat agnostisch doen met betrekking tot wat de eindgebruikerservaring is: een iPhone, een iPad, Outlook of een browser die naar webmail kijkt.

Lorita Ba:

Bedankt, Kevin. Deze volgende vraag is voor jullie beiden. Ik ga met Tim beginnen, en dan, Kevin, kun je eventuele aanvullende gedachten opvolgen. "Als een organisatie geen actueel trainingsprogramma of technologie voor het detecteren van phishing-aanvallen heeft, hoe zou u dan beginnen? Wat zou de eerste prioriteit zijn? "

Tim Draegen:

[49: 00] Oh, dat is een goede vraag. Laat me de vraag opnieuw formuleren, en Lorita, misschien help ik me ervoor te zorgen dat ik het goed heb. Nog geen trainingsprogramma, dus hoe kom je bij het eerste deel over bewustwording? Misschien om de achtergrond een beetje te kleuren, info sec professional bij een bedrijf, geen budget, kloppend op de drum, maar niemand luistert. Lorita, is dat een eerlijke beslissing?

Lorita Ba:

Ja. Ik denk dat het klinkt alsof, als je begint bij ground zero en je geen training of technologie hebt, dus je wilt de phishing-bedreiging aanpakken, waarmee begin je? Hoe begin je het proces?

Tim Draegen:

Oh ja, oké. Ik denk dat zichtbaarheid het eerste is. Om het bewustzijn te vergroten, moet je iets hebben om naar te kijken en te rapporteren. Je kunt gebruiken DMARC om gratis gegevens te verzamelen. Dat zal u vertellen hoe mensen uw domeinen gebruiken via het open internet. Vaak kunnen info sec professionals dat [50: 00] als uitgangspunt gebruiken. U kunt gegevens verzamelen. Je kunt het verwerken. U kunt het aan andere mensen presenteren om hen te laten zien dat er een probleem is, dat er mensen op het open internet zijn die zich voordoen als uw eigen organisatie. Normaal gesproken is dat voldoende om het eerste gesprek op gang te krijgen, maar er zijn andere technieken om dergelijke informatie te verzamelen. Je kunt ook naar je eigen e-mailservers kijken, proberen uit te zoeken hoeveel spam wordt geblokkeerd. U kunt dit gebruiken als een eenvoudige statistiek om managers en collega's te laten weten dat er op het open internet een echt probleem is. Dat zijn enkele heel basale dingen die je zou kunnen doen, met heel weinig hulp van iemand anders. Info sec professionals konden aan de slag om zichtbaarheid op te bouwen.

Kevin O'Brien:

Ik denk dat het andere dat je daar kunt beginnen te zien is, wanneer je een gebruikersbestand hebt en je berichten ontvangt die gevaarlijk of potentieel phish zijn, en je hebt geen programma geïnstalleerd rond training, hoe bouw je op bewustzijn? Nou, [51: 00] we hebben veel over context gesproken, toch? Een info-sec-team hoeft geen budget te krijgen om goed beleid te schrijven en te zeggen dat we een reeks processen hebben over hoe we overboekingen verwerken, hoe we verzoeken om gevoelige informatie behandelen, en hoe we willen dat gebruikers reageren op mogelijk gevaarlijke afzenders, met name degenen die zich voordoen als een van beide kernmanagers in het bedrijf, zoals vaak het geval is met een spear phishing-aanval of zakelijke services die het bedrijf gebruikt. U kunt dat soort beleid op zijn plaats zetten en de context vervolgens voor de gebruiker plaatsen.

Dit is heel anders dan wat u zult zien met een traditionele benadering van e-mailbeveiliging, waarbij u een technologie moet gaan kopen, uw e-mailroutering moet wijzigen om al uw e-mail er doorheen te duwen, gebruikers leert hoe u met de quarantaine kunt omgaan. Dat is een zware lift. Ze zeggen: "Hé, je hebt net een bericht gekregen van iemand van wie je nog nooit e-mail hebt ontvangen. Het vraagt ​​naar draadinhoud en het gebruikt de weergavenaam van iemand in het bedrijf en het kan een bedreiging vormen, omdat het een imitatie-aanval kan zijn. [52: 00] En trouwens, hier is het beleid dat we hebben wanneer dat gebeurt. " Dat soort dingen zijn geweldige uitgangspunten, en op sommige manieren effectiever dan proberen te beginnen met een algemeen gesprek over phishing met een gebruikersbestand dat misschien nog niet begrijpt wat dat betekent, omdat ze niet is verteld: "Dat e-mail die je zojuist hebt gekregen, daar hebben we het over als we het hebben over voorzichtig zijn met e-mailbeveiliging. "

Lorita Ba:

Geweldig bedankt. We komen aan de top van het uur, dus ik ga nog een andere vraag stellen. Voor iemand anders die ook vragen heeft, aarzel dan niet om door te gaan en deze in te dienen. We beantwoorden vragen die we niet per e-mail persoonlijk konden beantwoorden. Deze is echt, denk ik, meer voor jou, Tim. Het is: "Hoe is het?" DMARC anders dan zoiets DKIM? "

Tim Draegen:

DMARC zelf is een overlay bovenop DKIM. DKIM is een technologie waarmee iemand in wezen een domein kan koppelen aan een stuk [53: 00] e-mail, en die bijlage reist mee met het bericht in de vorm van een DKIM handtekening. DMARC is heel anders. Het is meer een kader dat DKIM kan zo aansluiten DKIM zelf wordt nuttiger. DMARC is een overlay. Het geeft u feedback als u de eigenaar van het domein bent, zodat u daadwerkelijk kunt zien hoe uw domein op internet wordt gebruikt. Wanneer u het proces doorloopt om de wereld te vertellen dat u bezig bent uw e-mail gemakkelijk te identificeren, gebruikt u DKIM, en u gebruikt een andere technologie genaamd SPF om die daadwerkelijke link tussen een e-mail en een domein te krijgen. DMARC zelf is het opnieuw een overlay die je feedback geeft en ook het beleidsmechanisme biedt. Het beleidsmechanisme maakt deel uit van DMARC kunt u de wereld vertellen: “Hé, we hebben al het werk doorstaan. Al onze legitieme e-mail kan met beide worden geïdentificeerd SPF or DKIM. ' Als je dat eenmaal hebt gedaan, kun je een schakelaar omdraaien om de wereld te vertellen: “Hé, we hebben al het werk gedaan. Als u iets krijgt dat beweert dat [54: 00] van ons is, maar het is niet compatibel met DMARC, voel je vrij om het te laten vallen. " En dus zijn het verschillende technologieën, maar ze bouwen op elkaar.

Lorita Ba:

Geweldig, bedankt, Tim. Zoals ik al zei, zijn we een beetje meer dan de 45-notulen die ik beloofde aan het einde van het uur, maar hopelijk waren de aanvullende vragen die we konden beantwoorden nuttig voor ieders tijd. Ik wil jullie allemaal nogmaals bedanken voor de tijd genomen te hebben om naar Tim en Kevin te luisteren terwijl jullie door de evolutie van phishing liepen en moedig je echt aan om deze volgende twee webinars in de gaten te houden. Zoals ik al zei, zal de volgende, 'Een handleiding voor het moderniseren van je phishing-verdediging', meer tactisch van aard zijn, een beetje prescriptiever, en dan de derde, we zullen het hebben over beide bedrijven. Let ondertussen ook op onze follow-up e-mail die een link naar de dia's en de webinar-opname bevat en neem gerust contact op met beide bedrijven als [55: 00] u nog vragen heeft. We zullen ze graag beantwoorden. Nogmaals bedankt voor uw tijd, en ook Tim en Kevin voor uw tijd, evenals de inhoud, en ik hoop dat iedereen een geweldige dag heeft. Dank je wel. Tot ziens.

EINDE VIDEO BESTAND