社会工程攻击呈上升趋势。这些技术含量低但影响力大的攻击——黑客操纵员工授予他们访问公司服务和数据的权限——去年增加了近三倍,今年迄今为止已经造成了几名备受瞩目的受害者,从Twilio和Mailchimp到Revolut和最近的 Uber。正如这些知名人士所证明的那样,即使是资源最充足的组织也很难防范这类攻击。
现在,网络安全初创公司 Nudge Security 正在悄然兴起,帮助组织解决他们认为最大的网络安全弱点:人。
这家完全偏远的公司——在德克萨斯州奥斯汀和怀俄明州杰克逊设有前哨——由前AlienVault软件工程师 Russell Spitler 和 Jaime Blasco 于 2021 年创立,他们相信解决“人员问题”的唯一方法是让员工成为解决方案。顾名思义,其产品通过“推动”员工采取最佳安全行为来做到这一点,例如打开多因素身份验证(MFA) 或在涉及违规时更改密码。
该公司的安全产品不断发现整个组织的历史和新的软件即服务资产,包括SaaS供应链和 OAuth 授权,而不依赖于网络基础设施、端点代理、浏览器扩展或 API 集成。当出现新的“安全关键”事件时,例如创建新帐户或安装新应用程序,Nudge 会与该员工互动,以确保他们做出良好的安全选择。例如,如果员工下载 Dropbox,但组织使用 Google Drive,Nudge 将启动对话以了解做出该决定的原因。
“我们充当边车,允许员工与安全团队互动,并允许集中的团队仍然可以了解正在发生的事情,制定政策,并让员工以一种不扰乱他们的工作,”Nudge 的 Spitler 告诉 TechCrunch。 “我们相信每个员工都有可能以支持和加强组织的网络安全态势的方式行事,但这并不总是那么简单或直接。”
为了确保员工参与这些提示,Nudge 与杜克大学的心理学教授 Aaron Kay 合作,他向这家初创公司展示了如何利用心理学基础研究来建立我们的产品和最终用户之间的关系。 “我们正在努力让员工参与进来,并确保我们不会以拍打你的手或挥舞大红色警告横幅的方式出现,”斯皮特勒补充道。
Nudge 并没有声称它可以阻止 Uber 的黑客攻击或 Revolut 的违规行为——Spitler 告诉 TechCrunch,“我们在这个行业已经太久了,无法做出这样的大胆案例”——但该公司相信它可以帮助组织了解他们的风险状况不仅在于谁可以访问,还在于谁可以访问什么以及为什么。
斯皮特勒说:“就像优步的情况一样,在过去几个月里,这些组织的复杂性一直是崩溃的趋势之一。” “社会工程加上复杂性意味着即使一个用户受到威胁,组织也会突然开始分崩离析。”
“我们还提供供应链信息,”Nudge 的联合创始人兼首席技术官 Blasco 补充道。 “假设您的组织正在使用 Slack,而他们正在使用 Twilio,我们能够告诉您 Twilio 已被入侵。”
Nudge 在从 Ballistic Ventures 获得 700 万美元的种子投资六个月后推出其产品,Ballistic Ventures 是一家专门为早期网络安全初创公司提供咨询和资助的新风险投资机构。自从这项投资以来,Nudge 已经吸引了 10 家客户,另外还有十几家处于大型企业试点阶段。
“我们将在本周交付的产品确实是我们现在的重点,然后我们将扩大我们的营销和销售工作,”斯普林特说。 “当我们开始在这方面扩展时,我们可能会寻求再筹集一轮。”
Nudge Security 从隐身中出现以解决网络安全的人员问题Carly Page最初发表在TechCrunch上
原文: https://techcrunch.com/2022/10/13/nudge-security-stealth/