Udostępniony przez anonimowego czytelnika raport: Czy twój pracodawca niedawno wysłał Ci fałszywą wiadomość phishingową? Pracodawcy czasami symulują wiadomości phishingowe, aby szkolić pracowników, jak rozpoznawać zagrożenia hakerskie. Jednak jeden menedżer bezpieczeństwa w Google argumentuje, że branża IT powinna zrezygnować z tej praktyki, nazywając ją kontrproduktywną. „PSA dla specjalistów z zakresu bezpieczeństwa cybernetycznego: Nasi współpracownicy są zmęczeni byciem „oszukiwanymi” przez ćwiczenia phishingowe, i sprawia to, że nas nienawidzą bez żadnych korzyści" - napisał Matt Linton, menedżer incydentów bezpieczeństwa w Google.

Linton opublikował również wpis na blogu Google Security dotyczący wad dzisiejszych testów symulujących phishing. Firma jest zobowiązana do wysyłania fałszywych wiadomości phishingowych do swoich pracowników, aby spełnić wymagania dotyczące zgodności z bezpieczeństwem rządu USA. W tych testach Google wysyła pracownikowi fałszywą wiadomość phishingową. Jeśli pracownik kliknie link w wiadomości, otrzyma informację, że nie zdał testu i zazwyczaj będzie musiał przejść jakiś rodzaj szkolenia. Jednak Linton argumentuje, że testy symulujące phishing mogą prowadzić do szkodliwych skutków ubocznych, które mogą podważyć bezpieczeństwo firmy. „Nie ma dowodów na to, że testy te prowadzą do mniejszej liczby udanych kampanii phishingowych" - powiedział Linton, zauważając, że ataki phishingowe nadal pomagają hakerom zdobyć przyczółek w sieciach, pomimo takiego szkolenia. Wskazał także na badanie z 2021 roku, które trwało 15 miesięcy i doszło do wniosku, że takie testy phishingowe nie „sprawiają, że pracownicy są bardziej odporni na phishing."

ELI5: Niektórzy pracodawcy wysyłają fałszywe wiadomości, żeby sprawdzić, czy pracownicy potrafią je rozpoznać, ale menedżer z Google uważa, że testy te mogą więcej zaszkodzić niż pomóc. Mówi, że mimo takich szkoleń, hakerzy i tak nadal mogą atakować firmy skutecznie. To oznacza, że testy takie nie zapewniają zwiększenia odporności pracowników na takie zagrożenia.

Źródła:

• https://www.pcmag.com/news/google-stop-trying-to-trick-employees-with-fake-phishing-emails
• https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html

Anonimowy czytelnik cytuje raport z TorrentFreak: *Pod koniec stycznia, Departament Handlu Stanów Zjednoczonych opublikował ogłoszenie o planowanym tworzeniu nowych wymagań dla dostawców infrastruktury jako usługi (IaaS). Propozycja sprowadza się do stworzenia reżimu 'Znaj swojego klienta' dla firm operujących usługami chmurowymi, z celem przeciwdziałania działaniom "zagranicznych złośliwych aktorów". Mimo że skupia się na sprawach międzynarodowych, Amerykanie nie będą mogli uniknąć wymagań tej propozycji, które obejmują sieci CDN, serwery prywatne, proxy oraz usługi rozwiązywania nazw domen, między innymi. [...] Zgodnie z proponowaną regulacją, Programy Identyfikacji Klientów (CIPs) obsługiwane przez IaaS muszą zbierać informacje zarówno od istniejących, jak i potencjalnych klientów, tj. tych na etapie składania wniosku o otwarcie konta. Minimalne dane obejmują: imię i nazwisko klienta, adres, sposób i źródło płatności za każde konto klienta, adresy e-mail i numery telefonów, oraz adresy IP używane do dostępu lub administracji kontem.

Zaskakująco szeroka definicja IaaS obejmuje: "Każdy produkt lub usługę oferowaną konsumentowi, włącznie z ofertami bezpłatnymi lub "próbne", które zapewniają przetwarzanie, przechowywanie, sieci lub inne podstawowe zasoby komputerowe, a które umożliwiają konsumentowi wdrażanie i uruchamianie niepredefiniowanego oprogramowania, w tym systemów operacyjnych i aplikacji. Konsument zazwyczaj nie zarządza ani nie kontroluje większości sprzętu podstawowego, ale ma kontrolę nad systemami operacyjnymi, przechowywaniem i wszelkimi wdrożonymi aplikacjami. Termin obejmuje także produkty lub usługi "zarządzane", w których dostawca jest odpowiedzialny za niektóre aspekty konfiguracji lub konserwacji systemu, oraz produkty lub usługi "niezarządzane", w których dostawca jest odpowiedzialny jedynie za to, że produkt jest dostępny dla konsumenta."

I na tym się nie kończy. Termin IaaS obejmuje wszystkie 'uwirtualnione' produkty i usługi, gdzie zasoby obliczeniowe fizycznej maszyny są współdzielone, jak na przykład serwery wirtualne prywatne (VPS). Obejmuje nawet 'serwery baremetal', przypisane do jednej osoby. Definicja rozciąga się także na każdą usługę, gdzie konsument nie zarządza ani nie kontroluje sprzętu podstawowego, ale zawiera umowę z firmą trzecią na dostęp. "Ta definicja obejmuje usługi takie jak sieci dostarczania zawartości, usługi proxy i usługi rozwiązywania nazw domen," czytamy w propozycji. Proponowana regulacja, National Emergency with Respect to Significant Malicious Cyber-Enabled Activities, przestanie przyjmować komentarze od zainteresowanych stron 30 kwietnia 2024.

ELI5: Departament Handlu USA chce wprowadzić nowe zasady dla firm świadczących usługi chmurowe, żeby chronić się przed cyberatakami. Firmy będą musiały zbierać dane od klientów, takie jak imię, nazwisko, adres czy adresy IP. Te nowe zasady będą dotyczyć różnych usług, nawet tych darmowych. Regulacja obejmuje m.in. serwery prywatne i usługi proxy. Zasady mają zacząć obowiązywać w 2024 roku.

Źródła:

• https://torrentfreak.com/u-s-know-your-customer-proposal-will-put-an-end-to-anonymous-cloud-users-240425/
• https://www.bis.doc.gov/index.php/documents/about-bis/newsroom/press-releases/3443-2024-01-29-bis-press-release-infrastructure-as-as-service-know-your-customer-nprm-final/file
• https://www.federalregister.gov/documents/2024/01/29/2024-01580/taking-additional-steps-to-address-the-national-emergency-with-respect-to-significant-malicious