Cómo proteger a su organización contra ataques de phishing dirigidos


Las empresas deberían darse cuenta de que cualquier usuario podría ser un objetivo y utilizar datos sobre amenazas para crear un programa de capacitación sobre conciencia de seguridad, dice Proofpoint.

El ingeniero social de IBM hackeó fácilmente la información de dos periodistas
Un miembro del equipo X-Force Red de IBM pirateó a dos reporteros de CBS durante tres semanas. Descubra qué información recopiló, así como qué implica el phishing.

Los correos electrónicos de phishing son uno de los medios más engañosos y engañosos del ciberataque. A menudo se escabullen los filtros automatizados, tales correos electrónicos utilizan la ingeniería social para parecer lo suficientemente reales y legítimos como para engañar a los usuarios desprevenidos para que revelen información confidencial.

Más allá de las herramientas de seguridad automatizadas, hay más estrategias centradas en las personas que las empresas deberían adoptar para protegerse contra los ataques de phishing, como se describe en el Informe sobre el estado del phish de 2020 publicado el miércoles por la firma de seguridad Proofpoint.

Basado en una encuesta de adultos que trabajan y profesionales de TI, así como otros factores, el informe de Proofpoint define el phishing como cualquier tipo de correos electrónicos de ingeniería social. La intención podría ser implementar malware, dirigir a los usuarios a sitios web peligrosos o recopilar credenciales confidenciales.

VER: Ataques de phishing: una guía para profesionales de TI (PDF gratuito) (TechRepublic)

Alrededor del 60% de los encuestados dijeron que su organización se enfrentó a menos o la misma cantidad de ataques de phishing el año pasado en comparación con 2018. Eso puede parecer una noticia positiva. Sin embargo, la tendencia es una que Proofpoint dijo que se ha visto por un tiempo.

Específicamente, significa que los ciberdelincuentes se centran en la calidad sobre la cantidad al lanzar ataques más específicos y personalizados en lugar de solo campañas masivas.

Alrededor del 55% de los encuestados lidió con al menos un ataque de phishing exitoso en 2019. Alrededor del 54% de los afectados por un ataque sufrieron pérdida de datos, el 49% vio credenciales o cuentas comprometidas, el 49% fueron infectados por ransomware, el 35% fueron víctimas de algún tipo de infección de malware, y el 34% sufrió algún tipo de pérdida financiera o fraude por transferencia bancaria.

<a href = "https://tr2.cbsistatic.com/hub/i/r/2020/01/21/eb37d28f-0112-49cd-b029-c53587e8d8fe/resize/770x/62a0a4906bb5c623b45eb8d7b09a7066/impacts-ofphishing- -attacks-proofpoint.jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Proofpoint "rel =" noopener noreferrer nofollow ">impactos-de-exitosos-phishing-ataques-proofpoint.jpg

Punto de prueba

Las organizaciones miden los costos de los ataques de phishing de varias maneras. El efecto secundario más común fue el tiempo de inactividad para los usuarios, citado por más de la mitad de los encuestados. Otros costos incluyeron tiempo de reparación para los equipos de seguridad, daños a la reputación, impactos comerciales debido a la pérdida de propiedad intelectual, pérdidas monetarias directas y problemas de cumplimiento o multas.

<a href = "https://tr2.cbsistatic.com/hub/i/r/2020/01/21/eebf4e3b-d069-4c4c-90d7-78efacc7706e/resize/770x/ad9bf73083b9109616979011e6abef2f/how-organizations-measure-the -cost-of-phishing-proofpoint.jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Proofpoint "rel =" noopener noreferrer nofollow ">cómo-organizaciones-miden-el-costo-de-phishing-proofpoint.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/01/21/eebf4e3b-d069-4c4c-90d7 -78efacc7706e / resize / 770x / ad9bf73083b9109616979011e6abef2f / how-organizaciones-medir-el-costo-de-phishing-proofpoint.jpg

Punto de prueba

El objetivo final de muchos correos electrónicos de phishing es el ransomware. Alrededor del 33% de las organizaciones encuestadas para el informe estaban infectadas con ransomware en 2019 y optaron por pagar el rescate. Otro 32% estaba infectado pero no pagaba.

Entre los que pagaron el rescate, el 22% nunca recuperó el acceso a sus datos, el 2% accedió a las demandas de rescate de seguimiento y recuperó sus datos, pero el 7% se vio afectado por demandas de rescate adicionales y nunca recuperó sus datos.

Al observar los ataques por un método específico de ingeniería social, el 88% de las organizaciones se enfrentaron a ataques de phishing, el 86% se enfrentó a un compromiso de correo electrónico comercial (BEC), el 86% de los ataques basados ​​en las redes sociales, el 84% smishing (phishing de SMS / texto), el 83% vishing (phishing de voz) y 81% de caídas USB maliciosas.

Para ayudar a su organización a defenderse mejor de los ataques de phishing dirigidos, Proofpoint ofrece los siguientes consejos:

Comprometerse a construir una cultura de seguridad.

Si realmente quiere hacer un cambio, es decir, un cambio de mentalidad y comportamiento que tenga un impacto positivo y cotidiano en su organización, debe comprometerse a poner la seguridad cibernética en primer plano.

Recuerde que cualquier persona en su organización puede ser blanco de una estafa de phishing y que cualquier persona en su organización puede ayudar o dañar su postura de seguridad.

Todos en su organización deberían saber cómo pueden ser más seguros cibernéticos. Un amplio programa de capacitación de concientización sobre seguridad en toda la empresa lo ayudará a hacerlo.

Alrededor del 78% de las organizaciones encuestadas para el informe dijeron que encontraron una reducción en su susceptibilidad de phishing debido a su capacitación en concientización de seguridad.

Responde las tres preguntas

Es posible que esté familiarizado con las "cinco W y H" que guían a periodistas, investigadores e investigadores: quién, qué, dónde, cuándo, por qué y cómo.

Como mínimo, responda estas tres preguntas primero: 1) ¿Quién en mi organización está siendo atacado por los atacantes? La respuesta no es tan simple como mirar los niveles superiores de su organigrama; 2) ¿Qué tipos de ataques enfrentan? Conocer los señuelos y trampas que usan los atacantes puede ayudarlo a posicionar mejor sus defensas; y 3) ¿Cómo puedo minimizar el riesgo si estos ataques pasan? La respuesta es utilizar la información que ha reunido para brindar la capacitación adecuada a las personas adecuadas en el momento adecuado.

Este ejercicio lo ayuda a defenderse de sus amenazas más apremiantes y oportunas. Evaluar las vulnerabilidades a un nivel más granular y compararlas con su inteligencia de amenazas le permitirá determinar dónde se están gestando tormentas perfectas.

Haz tiempo para la agilidad

Cuando nos ocupamos, es posible que queramos adoptar un enfoque de "ciérrelo y olvídese" de la ciberseguridad. Eso es comprensible. Pero no funciona en una era de técnicas de ataque en constante cambio y amenazas en evolución.

Construir una cultura de seguridad requiere esfuerzo y atención continuos. Planifique capacitación y refuerzo regulares, pero responda a los cambios en el panorama de amenazas (y su organización).

Los objetivos de los atacantes cambian con el tiempo, por lo que la empresa recomienda identificar a los empleados más activamente atacados por ataques cibernéticos de forma mensual, si no semanal.

Al combinar el análisis granular con la capacitación de toda la organización, las personas a las que se dirige tendrán una base de seguridad cibernética en la que se puede construir con capacitación adicional y específica.

Comprender las tendencias generales de phishing es importante. Tener puntos de referencia para medir a sus usuarios contra ellos es valioso. Pero los datos de otras organizaciones no son tan importantes como los de su organización. Debe comprender su propio clima de amenaza para cambiar las cosas en su entorno.

"La capacitación efectiva en concientización de seguridad debe enfocarse en los problemas y comportamientos que más le importan a la misión de una organización", dijo Joe Ferrara, vicepresidente senior y gerente general de Capacitación en concientización de seguridad para Proofpoint, en un comunicado.

"Recomendamos adoptar un enfoque centrado en las personas para la ciberseguridad combinando iniciativas de capacitación de concientización a nivel de toda la organización con educación dirigida y dirigida por amenazas. El objetivo es capacitar a los usuarios para que reconozcan y denuncien ataques".

Los datos de Proofpoint se basaron en los resultados de la encuesta de 3.500 adultos que trabajan y 600 profesionales de seguridad de TI de EE. UU., Reino Unido, Australia, Francia, Alemania, Japón y España. La información también se obtuvo de 50 millones de ataques de phishing simulados enviados por clientes de Proofpoint durante 12 meses y nueve millones de correos electrónicos sospechosos informados por los usuarios finales de los clientes de la compañía.

<a href = "https://tr4.cbsistatic.com/hub/i/r/2017/02/17/68b6f7c2-bf76-4d0c-9087-f1bd477996b8/resize/770x/fde0ee0871423143cfab338eb9493ada/danger-email.jpg" target = "_ blank" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">danger-email.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2017/02/17/68b6f7c2-bf76-4d0c-9087-f1bd477996b8/resize/770x/fde0ee0871423143cfab338eb9493ada/danger-email .jpg

Getty Images / iStockphoto



Enlace a la noticia original