이메일을 설정하면서 가장 기억에 남는 일은 무엇입니까? 강력한 암호에 관한 것이라면 이 기사는 이것과 다른 일반적인 신화를 폭로하는 데 도움이 될 것입니다. 이메일 보안은 필수적이지만 너무 많은 솔루션과 팁이 전문성보다는 편견에 기반을 두고 있습니다. 이메일 보안 정책, 솔루션 및 일부 위험 신호도 검토하고 수정할 것입니다.
가장 일반적인 이메일 보호에 대한 신화를 하나씩 살펴보겠습니다.
오해 1: 모든 것이 암호 강도에 관한 것입니다
비밀번호를 추측할 수 없으면 계정을 해킹할 기회가 없다고 합니다. 사실이야?
우선, 어떤 공격에도 견딜 수 있는 암호를 만드는 데 도움이 되는 마술 지팡이가 없습니다. 해커는 아무리 복잡해도 사람이 만든 암호와 기계가 만든 암호를 모두 훔치고 해독합니다.
증거 기반 전문 지식은 정기적으로 이메일 암호 또는 암호를 변경하는 것이 가장 실용적인 솔루션이라고 제안합니다. 최적의 비밀번호 업데이트 주기는 3개월입니다. 이것은 공격을 받을 경우 사이버 범죄자로부터 계정을 잠글 수 있는 좋은 기회를 제공합니다. 동시에 업데이트 빈도는 매우 낮습니다.
완벽함과는 거리가 멀지만 이 루틴은 놀랍게도 대부분의 경우 이메일을 보호합니다.
또한 암호 전용 회사 이메일 보호와 같은 것은 없습니다. 비즈니스 이메일 시스템에는 추가 보안 조치가 필요합니다. 각 회사의 IT 직원은 개별 전술과 도구 세트를 제시합니다. 여기에는 보안 로그인 요구 사항, 마스터 데이터 관리 준수, 다단계 인증, 이메일 필터, 보안 BYOD 절차 등이 포함됩니다.
요약하자면, 적절한 이메일 보안은 다양한 요인과 전술에 의존하기 때문에 비밀번호 자체는 빙산의 일각에 불과합니다.
통념 2: 전문적으로 제작된 기업 웹사이트를 복제하는 것은 극히 어렵습니다.
이것이 이메일 보안과 관련이 있는지 궁금할 수 있습니다. 여기에서 피싱이 올바른 단서입니다. 고급 인증 솔루션으로 이메일을 보호하고, 더욱 강력한 암호를 설정하고, 첨부 파일을 필터링하고, 스팸 가능성이 있을 수 있지만 이는 웹사이트 피싱이라고 하는 것에 대해서는 작동하지 않습니다. 신화에 따르면 해커는 유명 웹사이트를 스푸핑할 수 없습니다. 이것이 사실이라고 생각합니까?
물론 사실이 아닙니다. 정부 및 유명 기업의 웹사이트(NASA 또는 Facebook)는 스푸핑을 방지하지 않습니다. 그들은 다른 인터넷 리소스와 마찬가지로 취약하고 외부 변조에 노출되어 있습니다. 해커는 Google dorking 명령을 사용하여 정보를 훔칠 수도 있습니다.
웹사이트 피싱을 하는 공격자는 일반적으로 고급 도구와 기술을 가지고 있습니다. 블랙 프라이데이에 구매한 인형용 피싱 키트를 사용하는 해커 지망생과 공통점이 거의 없습니다. 사회 공학, 심리학, 웹 사이트 개발 및 프로그래밍은 현대 피셔가 탄탄한 경험과 지식을 가지고 있는 분야입니다.
이 범죄 전문가들은 웹사이트 취약점을 탐지하고 악용하는 방법을 알고 있습니다. 웹사이트가 자신에게 적합하다는 것을 알게 되면 복제품을 개발하고 웹에 게시하는 데 몇 시간이 걸립니다.
나는 많은 클론이 정말 완벽하다는 것을 인정할 만큼 충분히 오랫동안 웹사이트 피싱 사례를 모니터링해 왔습니다. 피해자는 사기를 의심할 이유가 없습니다. 트윈 웹사이트에서 이 CSO 기사를 읽고 피싱 공격의 다양성과 교묘함을 확인하십시오. 이는 유명 웹사이트나 기관 웹사이트를 포함한 모든 페이지가 스푸핑에 노출될 수 있음을 증명합니다.
이러한 경우를 주의하고 로그인하는 웹사이트가 정품인지 확인하는 전술을 제공하십시오. 주의를 기울이고, 미리 생각하고, 웹사이트 인증서를 확인하고, 웹사이트 URL을 주의 깊게 검사하고, 실제 웹사이트와 일치하는지 확인하십시오. 이 친숙한 페이지에서 요구하기 때문에 어떠한 경우에도 콘텐츠를 다운로드 및 설치하거나 로그인 자격 증명을 입력하지 마십시오.
사실, 브라우저에서 모든 중요한 웹사이트를 북마크하고 확인된 북마크만 사용하여 여는 것이 좋습니다.
통념 3: 직원들이 이메일을 안전하게 다루도록 교육하면 대부분의 위험을 피할 수 있습니다.
우리 대부분은 직원 온보딩 루틴을 거쳤습니다. 이것은 일반적으로 새로운 직원이 몇 가지 규칙, 절차를 읽고, 다른 직원과 리더십을 익히고, 자습서를 보는 등의 작업을 수행해야 합니다.
많은 기업에서 직원이 보안에 정통하도록 하기 위해 상당한 노력을 기울이고 있습니다. 다음 신화는 다음과 같습니다. 직원의 디지털 인식에 투자하면 이메일 위험이 크게 줄어듭니다. 이것은 단지 신화인가 현실인가?
나는 그것이 신화가 아니라고 확신합니다. 직원이 실제 사례를 연구하여 이메일 보안 교육을 받으면 직원의 기술과 습관이 바뀝니다. 잘 훈련된 직원은 사기꾼이 조작한 이메일과 진짜 이메일을 구별하고, 기업 이메일이나 웹사이트를 위조하려는 시도를 탐지하고, 악성 첨부 파일을 식별하고, 모든 비정상을 적절한 부서에 알릴 수 있습니다.
훈련은 코골이 축제가 되어서는 안 됩니다. 트레이너가 비디오 및 오디오 자습서, 실제 피싱 이메일 메시지 및 스푸핑된 웹 사이트를 많이 사용하도록 권장합니다. 가능한 한 청중을 참여시키십시오. 오락이 학습을 완전히 대체할 수는 없지만 학습을 극적으로 촉진하고 향상시킵니다. 그리고 물론 조직에 대한 가짜(IT 직원이 준비한) 피싱 공격을 시작합니다.
오해 4: 웹 브라우저는 모든 안전하지 않은 웹사이트에 대해 알려줍니다
브라우저가 웹 사이트를 로드한 후 SSL 인증서를 확인하면 방문한 페이지 보안 속성을 완전히 인식하고 있음을 의미합니다. 신화에 관해서는 다음과 같이 진행됩니다. 내 브라우저는 항상 안전하지 않은 페이지나 피싱 페이지에 플래그를 지정합니다. 신화인가 현실인가?
그것은 신화일 뿐입니다. 브라우저에는 일반적으로 웹 사이트 방문자에게 두 가지 경고가 표시됩니다. 브라우저가 사이트가 안전하다고 생각하면 자물쇠가 표시됩니다. 특정 보안 표시가 있는 경우 느낌표가 나타납니다.
야생에서는 자물쇠로 표시된 사이트라도 반드시 안전한 것은 아닙니다. Cybercrooks는 그늘진 인증 기관을 사용하거나 잘못된 정보를 제출하여 유효한 웹 사이트 인증서를 얻습니다. 그러나 일반 사용자는 일반적으로 그렇게 깊이 파고 들지 않습니다. 페이지에 자물쇠가 보이면 모든 것이 정상이라고 생각합니다.
반면에 때때로 안전하지 않은 것으로 표시된 사이트는 안전한 것으로 판명될 수 있습니다. 웹사이트 코드의 몇 가지 오류가 차이를 만들 수 있습니다. 기술 결함도 발생할 수 있습니다. 따라서 브라우저는 사용자를 보호하기 위해 최선을 다하지만 자물쇠 아이콘을 맹목적으로 신뢰해서는 안 됩니다.
어쨌든 SSL 인증서를 검사하는 동안 일부 필드가 비어 있거나 관련 없는 데이터가 포함되어 있는 경우 가장 좋은 응답은 사이트를 떠나 악의적이거나 의심스러운 동작을 보고하는 것입니다.
오해 5: 활성 악성 웹사이트를 블랙리스트에 추가하면 추가 공격에 대한 내성이 생깁니다.
예를 들어 여기에 설명된 Search Baron과 같은 일부 웹사이트가 가짜 제안이나 피싱 사이트로 리디렉션한다는 것을 알고 있다고 가정합니다. 다음에 무엇을 할 건가요? 웹사이트를 블랙리스트에 추가하시겠습니까? 어떤 사람들은 여러 악성 웹 사이트를 차단하면 추가 공격으로부터 안전하다고 생각합니다. 참인가 거짓인가?
이것은 잘못된 믿음입니다. 12개의 악성 웹사이트를 블랙리스트에 추가하더라도 해커는 여전히 피싱 트랩을 설정할 수 있는 수많은 새로운 URL을 보유하고 있습니다. 새로운 웹사이트를 등록하고 구축하는 데 몇 시간 밖에 걸리지 않는다는 사실을 알고 계셨습니까? 하나의 도메인을 차단할 수 있습니다. 그들은 또 다른 lickety-split을 등록합니다. 고양이와 쥐 게임입니다.
바이러스 백신 공급업체도 마찬가지입니다. 그들은 지속적으로 새로운 바이러스와 맬웨어를 탐지하고 검역하지만 악의적인 요소는 계속해서 새로운 바이러스를 만듭니다.
피싱 URL을 차단하는 것은 좋은 생각입니다. 한편, 그것은 반쪽짜리 해결책에 불과합니다. 귀하의 임무는 그러한 웹사이트의 행동과 특성으로 식별하는 방법을 배우는 것입니다.
마지막 생각들
이메일 보안은 관련된 당사자에 관한 것입니다. 가장 약한 연결 고리는 인적 요소입니다. 내가 검토한 다섯 가지 신화는 보안 인식 교육의 가장 중요한 중요성을 보여줍니다.
이메일 보안을 위해 소프트웨어 솔루션에 의존하는 것을 고려한다면 벤더 이메일 침해, 웜, 매크로 바이러스 등을 포함한 모든 공격 벡터를 다루어야 합니다. 동시에 인적 요소로 인한 위험을 최소화하는 데 도움이 되어야 합니다.
