Tháng Nhận thức về An ninh mạng đã diễn ra từ năm 2004. Năm nay, Tháng Nhận thức về An ninh mạng đã kêu gọi công chúng, các chuyên gia và các đối tác trong ngành “nhìn thấy chính mình trong không gian mạng” theo những cách sau:
Công chúng, bằng cách hành động để giữ an toàn khi trực tuyến. Các chuyên gia, bằng cách tham gia vào lực lượng lao động không gian mạng. Các đối tác trong ngành công nghiệp mạng, như một phần của giải pháp an ninh mạng.
CISA đã nêu ra bốn “điều bạn có thể làm” để giữ an toàn trực tuyến cho các cá nhân và gia đình, bao gồm cập nhật phần mềm của họ, suy nghĩ trước khi họ nhấp vào, sử dụng mật khẩu mạnh và bật xác thực đa yếu tố trên các tài khoản nhạy cảm.
Ngành công nghiệp này đã dạy các thủ thuật bảo mật cho nhân viên và công chúng trong một thời gian dài. Với rất nhiều phương tiện truyền thông lặp đi lặp lại và giáo dục về nhận thức mạng qua gương chiếu hậu, sự tập trung vào tháng 10 trở lại đang đè nặng lên nhiều người. Dưới đây là một loạt các phản ứng đối với tháng mạng và lực kéo từ các chủ đề và thông điệp của năm nay sẽ cho chúng ta biết liệu chiến dịch có nhiều điều hơn là góc độ quan hệ công chúng hay không.
Tin tức hàng đầu từ Tháng nâng cao nhận thức về an ninh mạng năm nay
Cảm nhận về Tháng Nhận thức An ninh mạng 2022 bao gồm từ chánh niệm đến meme-fulness, với những lời khuyên hiền triết và những lời khuyên khôn ngoan đan xen giữa những tin tức sắc nét, thông minh và những phần quan tâm.
Ở đầu bảng xếp hạng là bài đánh giá về “Sự đáng sợ, chân thành và hài hước của Tháng Nhận thức về An ninh mạng” từ The Washington Post.
Kinh dị và hài hước chủ yếu là những dòng tweet mang tính châm biếm mà không thừa nhận chủ đề của năm nay. Ken Westin của Cybereason đã tweet rằng tháng nhận thức đã được Hallmark tạo ra để bán nhiều thiệp chúc mừng hơn.
Cũng có một số backbiting. Phóng viên an ninh mạng Sean Lyngass đã tweet rằng Tháng nâng cao nhận thức về an ninh mạng có rất nhiều chiêu trò PR lợi dụng vi phạm bảo mật. Anne Cutler, giám đốc điều hành PR tại Keeper Security, trả lời: “Bạn đã nhầm. Nó thực sự được gọi là Cybersecurity PR, nhóm PR sẽ không giam giữ tù nhân và nâng cao nhận thức cho dù bạn có muốn hay không.
Cơ quan Đăng ký đã có một cái nhìn nghiêm túc về tháng nhận thức và những thách thức vốn có của nó trong “Chương trình nâng cao nhận thức về an ninh mạng quốc gia 18 năm về: Đừng nhấp vào đó.”
Nó lặp lại sự thất vọng trong việc giữ cho nhận thức về an ninh mạng đủ kỹ thuật để hữu ích nhưng đủ đơn giản để hiểu. Những người tham gia trong ngành cần phải vượt ra ngoài “suy nghĩ trước khi bạn nhấp vào” mà không làm mất khán giả của họ và bất kỳ nỗ lực nào mà công chúng đã thực hiện để tránh lừa đảo.
Cơ quan Đăng ký bày tỏ sự cần thiết phải làm cho những nhân viên có ít kiến thức về an ninh mạng trở nên giống như các chuyên gia bảo mật chính thức. Điều đó sẽ không sớm xảy ra. Tuy nhiên, khi câu chuyện gói gọn sức đẩy của See Yourself trong Cybersecurity — mặc dù bảo mật rất phức tạp, nhưng tùy từng cá nhân để làm cho nó hoạt động — điều đó có ý nghĩa.
Cơ quan Đăng ký chỉ ra rằng con người là giải pháp vì con người là vấn đề, với hơn 80% các vụ vi phạm liên quan đến yếu tố con người, bao gồm cả những người rơi vào tình trạng tấn công lừa đảo.
Theo Đăng ký, Việc nhìn thấy Bản thân trong Lực lượng Lao động Mạng nhắc nhở các tổ chức tuyển dụng nhân viên mạng rằng kinh phí đào tạo đang tăng lên. Họ nên sử dụng nó cho những người mới tuyển dụng và những chuyên gia đã có kinh nghiệm từ khóa đào tạo năm ngoái.
Forbes đã tiết lộ một loạt các xu hướng tấn công mạng đáng tiếc trong “Tháng nhận thức về an ninh mạng (và Halloween) –Một số thống kê về mối đe dọa mạng đáng sợ”.
Tháng Nhận thức về An ninh mạng không có tác động có thể đo lường được đối với các xu hướng vi phạm. Các vụ vi phạm ngày càng phổ biến và nghiêm trọng. Lừa đảo là tồi tệ nhất trong quý 2 năm 2022, với hơn 1 triệu cuộc tấn công.
Forbes lưu ý rằng các cuộc tấn công giữa các quốc gia không chỉ dành cho cơ sở hạ tầng quan trọng của quốc gia, với 64% doanh nghiệp cho biết các quốc gia đã tấn công chúng. Tuy nhiên, các hệ thống điều khiển công nghiệp và OT đang gặp nhiều nguy hiểm hơn các tài sản CNTT thông thường.
Thực hiện lời khuyên từ Tháng nâng cao nhận thức về an ninh mạng 2022
Sáng kiến ”bốn điều bạn có thể làm” của CISA cho Tháng nâng cao nhận thức về an ninh mạng 2022, bao gồm cập nhật phần mềm, suy nghĩ trước khi họ nhấp vào để ngăn chặn lừa đảo, sử dụng mật khẩu mạnh và bật xác thực đa yếu tố nhằm tác động đến hành vi của người dùng cuối theo hướng thực hành bảo mật tốt hơn . Nhưng liệu những lời khuyên chỉ đạo như thế này có thực sự hiệu quả không?
Đăng ký làm rõ rằng sự thành công hay thất bại của Tháng Nhận thức về An ninh mạng phụ thuộc vào cách bạn đo lường nó. Tháng không gian mạng đã không hoạt động nếu bạn mong đợi vấn đề an ninh mạng được giải quyết. Nếu bạn hy vọng rằng mọi người và tổ chức sẽ nghiêm túc hơn với không gian mạng, thì tháng nâng cao nhận thức đã thành công.
Tháng Nhận thức về An ninh mạng và “những việc bạn có thể làm” đã hoạt động đủ tốt. Điều cộng hưởng nhất cần làm là tìm ra giải pháp dựa trên con người hiệu quả hơn để chống lừa đảo ngoài “suy nghĩ trước khi bạn nhấp vào”.
Dưới bề mặt của bài viết Post, các tiếng nói trên Twitter đã làm rõ rằng giáo dục lừa đảo, chẳng hạn như các bài giảng bằng ngón tay và các bài kiểm tra lừa đảo bất ngờ, là không được hoan nghênh.
CISA mong muốn các đối tác trong ngành coi mình là một phần của giải pháp, cùng nhau hợp tác để xây dựng một hệ sinh thái công nghệ an toàn và có khả năng phục hồi. Các sản phẩm kỹ thuật được đảm bảo an toàn theo thiết kế, chúng có thể cùng nhau giảm thiểu rủi ro và bảo vệ cơ sở hạ tầng quan trọng mà người Mỹ tin tưởng.
Trong bài báo trên Forbes của mình, Chuck Brooks chỉ ra rằng, bất chấp tháng nhận thức, lĩnh vực năng lượng và lưới điện có nguy cơ bị tấn công đáng kể. Bảo vệ cơ sở hạ tầng quan trọng của quốc gia chống lại các tin tặc quốc gia, chẳng hạn như những kẻ đã tấn công Đường ống Thuộc địa, là một thách thức. Nó phải là một ưu tiên của khu vực công và tư nhân, như CISA đã xác nhận.
Làm thế nào chúng ta có thể cải thiện An ninh mạng vào năm 2023 ngoài nỗ lực PR?
Vượt ra ngoài Tháng nhận thức về an ninh mạng có nghĩa là các tổ chức có trách nhiệm giáo dục an ninh mạng cho người dùng cuối của họ, nhưng cũng có các giải pháp kỹ thuật có thể giải quyết hành vi xấu của người dùng cuối và vẫn bảo vệ an ninh CNTT cho tổ chức của bạn. Một vài chiến thắng nhanh chóng để làm càng sớm càng tốt:
1 – Vá phần mềm của bạn
Các tổ chức có thể coi cập nhật phần mềm là tốn kém và nhiều người tránh cập nhật, vì vậy họ không phá vỡ các ứng dụng chạy trên phần mềm. Nhưng để đáp ứng các mục tiêu an ninh mạng vào năm 2023, các tổ chức phải vá phần mềm của họ ngay khi có bản cập nhật.
2 – Chặn việc sử dụng các mật khẩu vi phạm đã biết
Bằng cách quét Active Directory để tìm các lỗ hổng liên quan đến mật khẩu với Specops Password Auditor, các tổ chức có thể xác định việc sử dụng hơn 900 triệu điểm yếu và bị vi phạm trong Active Directory của họ. Tin tặc sử dụng thông tin đăng nhập bị đánh cắp trong các cuộc tấn công vào cơ sở hạ tầng quan trọng của quốc gia. Kiểm tra mật khẩu đảm bảo những mật khẩu vi phạm đó không được sử dụng trong tổ chức của bạn.
3 – Kiểm tra mức độ bảo mật của các ứng dụng bên thứ 3 mà bạn đang sử dụng
Một báo cáo gần đây cho thấy các ứng dụng phổ biến liên quan đến công việc có một số lỗ hổng bảo mật lớn khi nói đến mật khẩu và MFA. Kiểm kê các ứng dụng web mà tổ chức của bạn đang tin cậy và đảm bảo MFA, hoặc ít nhất là 2FA, được bật cho người dùng cuối của bạn.
