NIST-Updates, über die Sie Bescheid wissen sollten

Von Perry Carpenter, KnowBe4-Chefevangelist und Strategiebeauftragter. Wenn Sie schon länger in der IT- oder IT-Sicherheitsbranche tätig sind, haben Sie wahrscheinlich schon einmal vom NIST (National Institute of Standards and Technology) gehört. Tatsächlich gilt die NIST 800-Serie weithin als die wichtigste Ressource für Anleitungen zu den meisten Aspekten eines Sicherheitsprogramms, einschließlich Schulungen zum Sicherheitsbewusstsein.
NIST hat vor kurzem die Sonderveröffentlichung 800-53, Security and Privacy Controls for Information Systems and Organizations, aktualisiert und einige wichtige neue Formulierungen zu den Abschnitten über das Sicherheitsbewusstsein hinzugefügt. Hier ist die Kurzfassung.

Der relevante Text befindet sich in Abschnitt 3.2 (siehe Seite 60).

NIST Control Requirements

Beachten Sie, dass der aktualisierte NIST-Standard nun häufige simulierte Social-Engineering-Tests vorsieht. Konkret heißt es dort: „Zu den praktischen Übungen gehören unangekündigte Social-Engineering-Versuche, um Informationen zu sammeln, sich unbefugten Zugang zu verschaffen oder die nachteiligen Auswirkungen des Öffnens bösartiger E-Mail-Anhänge oder des Aufrufs bösartiger Weblinks über Spear-Phishing-Angriffe zu simulieren.“

Dies ist ein bedeutender Zusatz des NIST und eine formale Anerkennung, dass Anbieter von Phishing-Simulationen wie KnowBe4 eine dringend benötigte Sicherheitskontrolle anbieten. Dieses verhaltensbasierte Training ist der Schlüssel zum Aufbau einer effektiven letzten Verteidigungslinie. Schauen wir uns also die Empfehlung der NIST im Detail an.

Die NIST-Empfehlung lautet, dass Sicherheitstests „no-notice“ sein sollen. Das bedeutet, dass die Benutzer zwar wissen, dass sie einen Test zu erwarten haben, dass sie aber nicht über die Einzelheiten des Tests informiert werden. Mit anderen Worten, es gibt keine Ankündigung, die besagt: „Hey! Seid auf den Phishing-Test diese Woche vorbereitet!“
Das NIST sagt, dass die Phishing-Tests nicht eindimensional sein sollten. Es geht nicht nur darum, dass man nicht auf einen Link klicken muss. Es wird empfohlen, zu testen, ob Ihre Mitarbeiter anfällig für Angriffe zum Abfangen von Anmeldeinformationen sind, bösartige Anhänge herunterladen, Makros aktivieren und vieles mehr.
Das NIST fügt hinzu, dass Sie auch hochentwickelte Spear-Phishing-Angriffe einbeziehen sollten. Jeder Bedrohungsakteur, der es wirklich auf Ihr Unternehmen abgesehen hat, wird sich die Zeit nehmen, um einen wirksamen Angriff zu planen. Das ist es, worauf Sie testen müssen. Und das ist es, was das NIST hier anerkennt.
Kurz gesagt, NIST sagt, dass Ihre simulierten Social-Engineering-Tests reale Bedrohungen widerspiegeln müssen, damit Sie ein echtes Verständnis Ihrer Anfälligkeit für solche Bedrohungen haben.

KnowBe4 hat es sich zur Aufgabe gemacht, Ihre Mitarbeiter in die Lage zu versetzen, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Und das tun wir seit zehn Jahren durch eine Kombination aus simulierten Social-Engineering-Tests, höchst ansprechenden Inhalten und modernster Automatisierung. Es ist ermutigend zu sehen, dass das NIST die Bedeutung von simuliertem Social Engineering offiziell anerkennt, und wir freuen uns darauf, unseren Kunden weiterhin dabei zu helfen, ihre letzte Verteidigungslinie zu stärken.

Recommended Posts