Осведомленность об интернет-безопасности или осведомленность о кибербезопасности означает, насколько конечные пользователи знают об угрозах кибербезопасности, с которыми сталкиваются их сети, о рисках, которые они представляют, и о передовых методах снижения безопасности, которые определяют их поведение. [1] [2] Конечные пользователи считаются самым слабым звеном и основной уязвимостью в сети. [1] [3] [4] Поскольку конечные пользователи являются основной уязвимостью, технических средств для повышения безопасности недостаточно. Организации также могут стремиться снизить риск человеческого фактора (конечных пользователей). Этого можно достичь, предоставив рекомендации по передовому опыту обеспечения безопасности, чтобы конечные пользователи были осведомлены о кибербезопасности. Сотрудников можно было бы научить распространённым угрозам и тому, как их избежать или смягчить. [4]
Программа снижения рисков кибербезопасности для конечных пользователей может состоять из комбинации нескольких подходов, включая осведомленность о кибербезопасности, обучение кибербезопасности и обучение кибербезопасности. В соответствии с [1] см. таблицу ниже, в которой представлено сравнение подходов.
Агенты угроз или субъекты угроз являются виновниками угрозы и обычно ищут самый простой способ получить доступ к сети, которая часто является человеческим фактором. [5] Однако эти киберугрозы можно смягчить. [6] Некоторые распространенные угрозы включают, помимо прочего, перечисленные ниже.
Социальная инженерия — это когда кто-то использует убедительную историю, авторитет или другие средства, чтобы убедить кого-то передать конфиденциальную информацию, такую как имена пользователей и пароли. [7] [8] Конечный пользователь, осведомленный о кибербезопасности, будет иметь возможность распознавать эти типы атак, что повышает его способность избежать их.
Фишинг — это форма социальной инженерии. [9] Это популярная атака, направленная на то, чтобы заставить пользователей щелкнуть ссылку в электронном письме или на веб-сайте в надежде, что они разгласят конфиденциальную информацию. Эта атака обычно основана на массовом рассылке писем и низкой стоимости отправки фишинговых писем. Немногие цели обмануты, но их так много, что это по-прежнему прибыльный вектор.
Целевой фишинг — это электронное письмо, созданное и отправленное конкретному человеку, которому оно может показаться законным. [10] Это форма фишинга, но она более убедительна и имеет больше шансов на успех, чем традиционные фишинговые электронные письма, поскольку письмо адаптируется к жертве. Его развертывание может варьироваться от массового автоматизированного процесса, такого как доступ к адресной книге прошлой жертвы и отправка простых фишинговых атак на ее контакты (таким образом, создается впечатление, что исходит от признанного прошлого контакта), до более сложных рукописных сообщений для конкретных целей. получатели.