ソーシャル エンジニアリング攻撃が増加しています。 ハッカーが従業員を操作して企業のサービスやデータへのアクセスを許可するこれらのローテクではあるが影響力の大きい攻撃は、昨年 3 倍近くに増加し、Twilio や Mailchimp から Revolut まで、今年これまでにいくつかの著名な被害者を出しています。 . 、そして最近では Uber. これらのビッグ ネームが示すように、この種の攻撃は、最も設備の整った組織であっても保護するのが難しい場合があります。
現在、サイバーセキュリティのスタートアップである Nudge Security は、組織がサイバーセキュリティの最大の弱点であると考えているもの、つまり人々に取り組むのを支援するために、ステルスから抜け出しています。
テキサス州オースティンとワイオミング州ジャクソンに前哨基地を持つ完全に遠隔地の会社は、元 AlienVault ソフトウェア エンジニアのラッセル スピットラーとハイメ ブラスコによって 2021 年に設立されました。ソリューション。 その名前が示すように、この製品は、多要素認証 (MFA) を有効にしたり、侵害に関与した場合にパスワードを変更したりするなど、最適なセキュリティ行動に向けて従業員を「プッシュ」することによってそれを行います。
同社のセキュリティ製品は、ネットワーク インフラストラクチャ、エンドポイント エージェント、ブラウザ拡張機能、または API 統合に依存することなく、SaaS サプライ チェーンや OAuth 付与など、組織内の過去および新しいサービスとしてのソフトウェア資産を継続的に明らかにします。 新しいアカウントの作成や新しいアプリのインストールなど、新しい「セキュリティ クリティカル」なイベントが発生すると、Nudge はその従業員と連携して、従業員が適切なセキュリティの選択を行っていることを確認します。 たとえば、従業員が Dropbox をダウンロードし、組織が Google ドライブを使用している場合、Nudge はその決定が下された理由を理解するために対話を開始します。
「私たちは、従業員がセキュリティ チームとやり取りできるようにし、中央のチームが何が起こっているのかを理解し、ポリシーを設定し、従業員がその一部になることを可能にする方法で、サイドカーとして機能します。」 彼らの仕事を妨げない方法でそのプロセスの 「すべての従業員は、組織のサイバーセキュリティ体制をサポートおよび強化する方法で行動する可能性があると信じていますが、そうするのは必ずしも簡単または単純ではありません。」
従業員がこれらの手がかりを確実に守れるようにするために、Nudge はデューク大学の心理学教授である Aaron Kay とチームを組み、心理学の基礎研究が製品とエンドユーザーとの関係を確立するためにどのように必要であるかをスタートアップに示しました。 「私たちは従業員を巻き込み、拍手や大きな赤い警告バナーを振っているように見えないようにしています」とスピトラー氏は付け加えました.
Nudge は、Uber のハッキングや Revolut の侵害を防ぐことができたとは主張していません — Spitler は TBEN に、「私たちはこのような大胆な事例を作るにはあまりにも長い間この業界にいました」と語っています — しかし、同社は、組織がリスクに対する姿勢を改善するのに役立つと信じています. 誰がアクセスできるかだけでなく、誰が何に、なぜアクセスできるかについても通知します。
「Uber の場合と同様に、ここ数か月で崩壊に向かっていることの 1 つは、これらの組織の複雑さです」と Spitler 氏は述べています。 「ソーシャル エンジニアリングと複雑さは、たとえ 1 人のユーザーが侵害されたとしても、組織が突然崩壊し始めることを意味します。」
Nudge の共同設立者で最高技術責任者の Blasco 氏は、次のように述べています。 「あなたの組織が Slack を使用し、Twilio を使用している場合、Twilio が侵害されたと言えます。」
Nudge は、初期のサイバーセキュリティ スタートアップへのアドバイスと資金提供のみを目的とした新しい VC 組織である Ballistic Ventures から 700 万ドルのシード投資を確保してから 6 か月後に製品を発売します。 この投資以来、Nudge は 10 のクライアントを獲得しており、さらに約 10 が大企業向けのパイロット段階にあります。
Splinter 氏は、「今週お届けする製品は、まさに今の私たちの焦点です。その後、マーケティングと販売の取り組みを拡大していきます」と述べています。 「その面で拡大し始めれば、おそらく別のラウンドで資金調達を試みるでしょう。」