You N ou Never K Nrf rf Note oteo Tnol r Know Tnol now Unuiy - - PowerPoint PPT Presentation
You N ou Never K Nrf rf Note oteo Tnol r Know Tnol now Unuiy Until Y ntil You F uiy Wou ou Find Out! ou Viy ind Out! iyd Euk Euk! ! Tim Sanden VP of Informa0on Technology, CIO Cass County
Tim ¡Sanden ¡ VP ¡of ¡Informa0on ¡Technology, ¡CIO ¡ Cass ¡County ¡Electric ¡Coopera0ve ¡ Fargo ¡ND ¡
Being ¡Informa(on ¡Security ¡Aware ¡means ¡we ¡understand ¡there ¡are ¡ people ¡ac0vely ¡trying ¡to ¡steal ¡our ¡data. ¡
¡ ¡ ¡ ¡ ¡ ¡
“Amateurs hack systems, professionals hack people.”
~ Bruce Schneier ¡
“ALL compromises were a direct result of human
OS, or application failure.”
~ Calvin Weeks
People ¡are ¡the ¡best ¡defense ¡to ¡defeat ¡cyber ¡criminals. ¡
ac0ons ¡or ¡divulging ¡confiden0al ¡informa0on. ¡
luring ¡email, ¡to ¡tempt ¡users ¡into ¡clicking ¡on ¡malicious ¡links ¡or ¡aOachments ¡ Phishing ¡has ¡become ¡the ¡weapon ¡of ¡choice ¡to ¡lure ¡vic0ms. ¡
aOachments ¡in ¡email, ¡or ¡by ¡browsing ¡to ¡compromised ¡web ¡sites ¡and ¡ becoming ¡infected ¡by ¡a ¡“drive-‑by ¡download”. ¡ ¡ ¡ How ¡cyber ¡criminals ¡gain ¡access ¡or ¡control. ¡
¡
Technology ¡can’t ¡do ¡that. ¡
Q: ¡What ¡are ¡the ¡people ¡in ¡Mission ¡Control ¡really ¡like? ¡ ¡Weren't ¡
there ¡0mes ¡when ¡everybody, ¡or ¡at ¡least ¡a ¡few ¡people, ¡just ¡panicked? ¡
A: ¡"No, ¡when ¡bad ¡things ¡happened, ¡we ¡just ¡calmly ¡laid ¡out ¡all ¡the ¡
never ¡gave ¡up ¡on ¡finding ¡a ¡solu7on.“ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡~ ¡Apollo ¡13 ¡Flight ¡Controller ¡Jerry ¡Bos0ck ¡
The ¡organiza0on ¡conducts ¡no ¡security ¡awareness ¡training ¡and ¡relies ¡on ¡automated ¡systems ¡to ¡ protect ¡against ¡phishing ¡and ¡malware. ¡
Employees ¡are ¡gathered ¡during ¡lunches ¡or ¡mee0ngs ¡and ¡are ¡told ¡what ¡to ¡look ¡out ¡for ¡in ¡emails, ¡ web ¡surfing, ¡etc. ¡
Employees ¡are ¡shown ¡short ¡videos ¡that ¡explain ¡how ¡to ¡keep ¡the ¡organiza0on ¡safe ¡and ¡secure. ¡
Certain ¡employees ¡are ¡pre-‑selected ¡and ¡sent ¡simulated ¡phishing ¡aOacks, ¡IT ¡determines ¡whether ¡ they ¡fell ¡prey ¡to ¡the ¡aOack, ¡and ¡those ¡employees ¡get ¡remedial ¡training. ¡
Everyone ¡in ¡the ¡organiza0on ¡is ¡tested, ¡the ¡percentage ¡of ¡employees ¡who ¡are ¡prone ¡to ¡phishing ¡ aOacks ¡is ¡determined, ¡and ¡then ¡everyone ¡is ¡trained ¡on ¡major ¡aOack ¡vectors. ¡Simulated ¡phishing ¡ aOacks ¡are ¡sent ¡to ¡all ¡employees ¡on ¡a ¡regular ¡basis. ¡
Phy hysical ical Tec echnical hnical Adminis dministrativ ive Prevent entiv ive X Det etect ectiv ive Cor
ectiv ive
email, ¡cell ¡phones, ¡tex0ng, ¡laptops, ¡iPads, ¡ Internet, ¡web ¡sites, ¡ ¡ Wi-‑Fi, ¡cloud, ¡online ¡banking, ¡Amazon, ¡Google, ¡
content ¡filters, ¡email ¡spam ¡filters, ¡DLP, ¡mul0-‑ factor ¡authen0ca0on. ¡
good ¡and ¡evil. ¡
more, ¡faster ¡and ¡more ¡efficiently. ¡ ¡It ¡also ¡ enables ¡criminals ¡to ¡do ¡the ¡same ¡thing.” ¡
intertwined ¡with ¡all ¡our ¡lives. ¡
hackers ¡for ¡hire, ¡organized ¡cyber ¡syndicates, ¡and ¡terrorists. ¡ ¡ They ¡seek ¡our ¡state ¡secrets, ¡our ¡trade ¡secrets, ¡our ¡technology, ¡and ¡
strike ¡our ¡cri0cal ¡infrastructure ¡and ¡our ¡economy. ¡The ¡threat ¡is ¡so ¡ dire ¡that ¡cyber ¡security ¡has ¡topped ¡the ¡Director ¡of ¡Na0onal ¡ Intelligence ¡list ¡of ¡global ¡threats ¡for ¡the ¡second ¡consecu0ve ¡year. ¡We ¡ want ¡to ¡predict ¡and ¡prevent ¡aOacks ¡rather ¡than ¡reac0ng ¡aFer ¡the ¡ fact.” ¡
danger ¡to ¡U.S. ¡na0onal ¡security, ¡ahead ¡of ¡terrorism. ¡
against ¡a ¡vulnerable ¡American ¡internet ¡infrastructure, ¡chipping ¡away ¡ at ¡U.S. ¡wealth ¡and ¡security ¡over ¡0me. ¡
frequency, ¡scale, ¡sophis0ca0on, ¡and ¡severity ¡of ¡impact. ¡
first ¡this ¡year ¡for ¡the ¡first ¡0me. ¡
an ¡effort ¡to ¡lay ¡the ¡groundwork ¡for ¡aOack. ¡
industrial ¡control ¡systems ¡that ¡run ¡electric ¡power ¡grids, ¡urban ¡mass-‑ transit ¡systems, ¡air-‑traffic ¡control ¡networks ¡and ¡oil ¡and ¡gas ¡pipelines. ¡ ¡
chains ¡of ¡three ¡(control ¡system) ¡vendors ¡so ¡that ¡customers ¡download ¡ exploita0ve ¡malware ¡directly ¡from ¡the ¡vendors' ¡websites ¡along ¡with ¡ rou0ne ¡soFware ¡updates. ¡
you ¡need ¡not ¡fear ¡the ¡result ¡of ¡a ¡hundred ¡baAles. ¡ ¡ If ¡you ¡know ¡yourself ¡but ¡not ¡the ¡enemy, ¡for ¡every ¡victory ¡ ¡ gained ¡you ¡will ¡also ¡suffer ¡a ¡defeat. ¡If ¡you ¡know ¡neither ¡ ¡ the ¡enemy ¡nor ¡yourself, ¡you ¡will ¡succumb ¡in ¡every ¡baAle.” ¡
the ¡enemy ¡– ¡the ¡only ¡way ¡we ¡will ¡ever ¡succeed ¡is ¡by ¡luck. ¡
enemy’s, ¡we ¡will ¡win ¡some ¡and ¡lose ¡some. ¡ ¡
will ¡immediately ¡gain ¡full ¡familiarity ¡with ¡them”. ¡
q ¡Thomas ¡Edison ¡ q ¡Nikola ¡Tesla ¡ q ¡George ¡Wes0nghouse ¡ ¡ q ¡Benjamin ¡Franklin ¡
¡krebsonsecurity.com ¡
¡blog.knowbe4.com ¡
¡securingthehuman.org/resources/newsleOers/ouch/2015 ¡
¡securingthehuman.org/blog ¡
acquisi0on ¡of ¡computerized ¡data ¡when ¡access ¡to ¡personal ¡ informa0on ¡has ¡not ¡been ¡secured ¡by ¡encryp0on ¡or ¡by ¡any ¡
files, ¡media, ¡or ¡databases ¡unreadable ¡or ¡unusable. ¡ ¡
employee ¡or ¡agent ¡of ¡the ¡person ¡is ¡not ¡a ¡breach ¡of ¡the ¡ security ¡of ¡the ¡system, ¡if ¡the ¡personal ¡informa0on ¡is ¡not ¡ used ¡or ¡subject ¡to ¡further ¡unauthorized ¡disclosure. ¡
last ¡name ¡in ¡combina0on ¡with ¡any ¡of ¡the ¡following, ¡when ¡the ¡name ¡and ¡ the ¡data ¡are ¡not ¡encrypted ¡
transporta0on ¡under ¡sec0on ¡39-‑06-‑14; ¡
the ¡department ¡of ¡transporta0on ¡under ¡sec0on ¡39-‑06-‑03.1; ¡
card ¡number ¡in ¡combina0on ¡with ¡any ¡required ¡security ¡code, ¡access ¡code, ¡or ¡ password ¡that ¡would ¡permit ¡access ¡to ¡an ¡individual's ¡financial ¡accounts; ¡
q ¡Smith, ¡477-‑12-‑3456 ¡ q ¡John ¡S., ¡477-‑12-‑3456 ¡ q ¡J. ¡Smith, ¡477-‑12-‑3456 ¡
regarding ¡electronic ¡records ¡and ¡signatures ¡set ¡forth ¡in ¡sec0on ¡7001 ¡of ¡0tle ¡15 ¡of ¡ the ¡United ¡States ¡Code; ¡or ¡
would ¡exceed ¡$250,000, ¡or ¡that ¡the ¡affected ¡class ¡of ¡subject ¡persons ¡to ¡be ¡ no0fied ¡exceeds ¡500,000, ¡or ¡the ¡person ¡does ¡not ¡have ¡sufficient ¡contact ¡
SocialEngineeringRedFlags.pdf) ¡
ac0vely ¡trying ¡to ¡steal ¡our ¡data. ¡
“If ¡you ¡know ¡the ¡enemy ¡and ¡know ¡yourself, ¡ ¡ you ¡need ¡not ¡fear ¡the ¡result ¡of ¡a ¡hundred ¡baAles.” ¡ ¡