Domanda:
Quand'è che l'educazione al phishing va troppo oltre?
Anthony
2019-04-14 20:58:39 UTC
view on stackexchange narkive permalink

Attualmente lavoro nel team di sicurezza IT sul posto di lavoro in un ruolo senior. Recentemente, ho assistito il management nella progettazione delle campagne di formazione sul phishing / ingegneria sociale, tramite le quali la sicurezza IT invierà e-mail di "prova" di phishing per vedere quanto i dipendenti dell'azienda siano consapevoli di individuare tali e-mail.

Abbiamo adottato una strategia altamente mirata basata non solo sul ruolo lavorativo dell'utente ma anche sui contenuti che tali dipendenti probabilmente vedranno. I contenuti sono stati variati per includere e-mail che chiedono contenuti sensibili (ad esempio: aggiornamento di una password), post falsi sui social media, pubblicità mirata.

Abbiamo ricevuto risposte da utenti finali che non avevano modo di distinguere un'e-mail legittima che riceverebbero giorno per giorno da e-mail di phishing veramente dannose. Sono state richieste al nostro team di ridurre la difficoltà di questi test.

Modifica per rispondere ad alcuni commenti che dicono che le simulazioni di spear phishing sono un design troppo estremo / pessimo delle simulazioni

Analizzando i risultati passati delle simulazioni di phishing, gli utenti che hanno cliccato tendevano a mostrare determinati schemi. Inoltre, un particolare tentativo di phishing riuscito che ha provocato una perdita finanziaria (acquisto online non necessario) è stato fingere di essere un membro dell'alta dirigenza.

Per rispondere ai commenti sulla profondità del targeting / GDPR, i metodi di personalizzazione si basano su dati dell'azienda pubblica (es .: funzione lavorativa), piuttosto che dati di utenti privati ​​noti solo a quella persona. Il "contenuto che gli utenti vogliono vedere" si basa su " scenari tipici ", non quali contenuti vedono gli utenti sul nostro posto di lavoro specificamente

Domande

  1. Quand'è che l'educazione al phishing va troppo oltre?

  2. Il pushback dagli utenti finali che dimostrino che la loro consapevolezza è ancora carente e necessitano di ulteriore formazione, in particolare l'incapacità di riconoscere le email legittime da quelle dannose?

Vorrei riformulare il titolo da "istruzione" a "test" o "simulazioni"
Questa domanda mi sembra priva di dettagli chiave.* Perché * i tuoi utenti affermano che le email di phishing che invii loro non sono distinguibili da quelle legittime?È perché lo sono veramente (almeno con gli strumenti a disposizione di un normale utente) o perché stanno facendo un casino?Ricevere un'e-mail da una persona con cui non hai avuto contatti in precedenza non è intrinsecamente sospetto, quindi è importante come stai misurando il fallimento.Sulla base del fatto che consegnano effettivamente informazioni sensibili?O semplicemente sulla base del fatto che hanno fatto clic su un collegamento in un'e-mail che non potevano ragionevolmente sapere fosse falso in anticipo?
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/92473/discussion-on-question-by-anthony-when-is-phishing-education-going-too-far).
Dodici risposte:
#1
+101
schroeder
2019-04-14 23:33:42 UTC
view on stackexchange narkive permalink

Penso che ci sia un problema di fondo che dovrai affrontare. Perché agli utenti interessa che stanno fallendo?

Le simulazioni di phishing dovrebbero, prima di tutto, essere uno strumento educativo non uno strumento di test.

Se il fallimento ha conseguenze negative, sì, i tuoi utenti si lamenteranno se i test sono più difficili di quanto li hai preparati. Ti lamenterai anche tu.

Quindi, la tua risposta dovrebbe essere:

  • istruirli di più (o in modo diverso) in modo che possano superare i test (o meglio, il test di comprensione, che è quello che dovrebbero essere)
  • rimuovere le conseguenze negative in caso di fallimento

Ciò potrebbe non richiedere modifiche ai contenuti del materiale didattico, ma potrebbe richiedere solo un ri-inquadratura delle simulazioni di phishing per utenti, gestione e team di sicurezza.

Un'altra tattica da provare è graduare le simulazioni di phishing in modo che diventino più difficili man mano che gli utenti riescono a rispondere con successo al phishing. L'ho fatto con i miei programmi personalizzati. È più complesso sul back-end, ma i guadagni sono enormi se puoi farlo.

Il tuo obiettivo deve essere la maturità in evoluzione della capacità della tua organizzazione di resistere agli attacchi di phishing, non fare in modo che tutti siano perfetti su test. Una volta presa questa prospettiva, la cultura attorno a questi test e ai reclami cambierà.

Fallo bene e i tuoi utenti chiederanno che le simulazioni di phishing siano più difficili non più facili. Se miri a quel risultato finale, avrai un'organizzazione molto più resiliente.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/92525/discussion-on-answer-by-schroeder-when-is-phishing-education-going-too-far).
#2
+59
Blrfl
2019-04-15 01:13:29 UTC
view on stackexchange narkive permalink

Gli utenti finali ci hanno respinto che non hanno modo di distinguere un messaggio di posta elettronica legittimo che riceverebbero giorno per giorno da messaggi di phishing veramente dannosi.

Questa è un'indicazione che i test che potrebbero essere sradicati come falsi da professionisti della sicurezza qualificati vengono utilizzati per valutare persone che non lo sono. Potresti avere le capacità per scegliere un'e-mail e interpretare le intestazioni, ma Dan in Accounting probabilmente non lo fa e la sua direzione non è probabile che sia d'accordo sul fatto che una master class in RFC 822 è un buon uso del suo tempo.

La creazione di e-mail mirate per aumentare il tasso di successo deve essere eseguita sulla base delle informazioni raccolte sui tuoi utenti e sul tuo presunto mittente. Non si tratta di informazioni di cui sarà a conoscenza un phisher e, come ha sottolineato Michael Hampton nel suo commento, si alza allo spearphishing. È un gioco con la palla diverso giocato su un campo diverso.

Se ci sono avversari (reali o potenziali) capaci di spearphishing sufficientemente buono da danneggiare la tua attività, tutte le contromisure e la formazione di phishing non saranno di aiuto. Il tuo compito è implementare strumenti che daranno a Dan in Accounting un modo per distinguere quelli veri dai falsi. Ciò potrebbe significare sicurezza sull'estremità di invio come una firma crittografica che i client di posta degli utenti possono controllare e pubblicare un avviso evidente quando qualcosa non è firmato o la firma non corrisponde. Non puoi dipendere dagli esseri umani per ottenere queste cose giuste il 100% delle volte, soprattutto quando la tua organizzazione diventa più grande e le persone non si conoscono così bene.

Ciò sembra suggerire che la soluzione sia avere un processo automatizzato in grado di verificare la presenza di questi tipi di segni e avvisare l'utente.Gmail lo fa, mettendo un banner rosso di avviso se la posta sembra sospetta, ad es.intestazioni false.
RFC822 è stato sostituito molto tempo fa da RFC5322.
@PatrickMevzek RFC 2822 esisteva tra i due, ma alcuni di noi vecchietti si aggrapperanno ai vecchi numeri finché non li strapperai dalle nostre mani fredde e morte.
Il che è contrario al modo in cui IETF fa le cose.Se un RFC sostituisce un altro, non ci sono motivi per aggrapparsi alla versione precedente.Tranne che per ragioni storiche e per mostrare conoscenza.Le versioni più recenti includono correzioni di bug e disambiguità.Ma questo è per lo più estraneo alla domanda.
@PatrickMevzek Clingage è solo di nome;Certamente non implementerei qualcosa basato su un RFC obsoleto.
#3
+36
James_pic
2019-04-15 16:02:08 UTC
view on stackexchange narkive permalink

È possibile sottolineare un punto che non ho visto in altre risposte, ma che ho visto nel mondo reale.

Gli utenti affermano di "non avere modo di distinguere un'email legittima che riceverebbero giorno per giorno da email di phishing veramente dannose ". Ciò che questo potrebbe dirti è che le email legittime sul rinnovo delle password, sulle modifiche ai servizi e simili non obbediscono alle regole che gli utenti dovrebbero seguire.

Ho sicuramente visto organizzazioni i cui materiali di formazione dicono agli utenti di non farlo fare clic sui collegamenti nelle e-mail e sicuramente non inserire le proprie password nei siti a cui puntano i collegamenti o installare software da essi. E i team di assistenza di tali organizzazioni inviano quindi email di massa sugli aggiornamenti del servizio che richiedono un'azione (come aggiornamenti della password, installazioni di software, ecc.), Con link utili su cui fare clic.

Una cosa che potrebbe aiutare sarebbe per chiarire che gli utenti dovrebbero segnalare queste email legittime . Potrebbe non aiutare direttamente gli utenti, ma può essere utile ricordare al team di assistenza che le loro e-mail hanno regole da seguire, il che dovrebbe rendere le cose più chiare per gli utenti a lungo termine.

Questo.Ho lavorato in un'organizzazione che invia e-mail di prova di phishing simili, ma poi invia regolarmente e-mail "legittime" indistinguibili da spam / phishing, spesso contenenti collegamenti a siti esterni (a volte che richiedono accessi) con cui la mia azienda non aveva precedentemente alcun collegamento.Il problema potrebbe benissimo essere che i messaggi legittimi sono troppo spam, piuttosto che i tuoi test vanno troppo lontano.
Questo è assolutamente un problema.Se l'organizzazione invia messaggi di posta elettronica legittimi in cui gli utenti dovrebbero fare clic sui collegamenti e non si identificano esplicitamente tali messaggi di posta elettronica come legittimi * e * si insegna agli utenti come identificarli, i messaggi di posta elettronica legittimi stanno attivamente lavorando contro e annullando la formazionestai cercando di fornire.
Ero solito segnalare le e-mail dalla sicurezza IT alla sicurezza IT come apparenti tentativi di phishing.Non gli è mai piaciuto.
@MichaelKay: Mi infastidisce davvero che così tante organizzazioni inviano messaggi reali che sono indistinguibili dai tentativi di phishing.Se la carta VISA di Acme si sposta da BankCorp a MegaBank, non dovrebbe informare i clienti al riguardo lasciando messaggi telefonici chiedendo loro di visitare `AcmeViSAupdate.com` [un dominio che i clienti non hanno mai usato prima] ma avevo un vero e proprio che faceva proprio questonomi modificati per proteggere i colpevoli), ma informarli invece su come ottenere le informazioni utilizzando il numero di telefono o il sito web stampato sulla loro carta.
È noto che ricevo ordini di acquisto da un mittente precedentemente sconosciuto che dice semplicemente "trova il nostro ordine di acquisto allegato".E ovviamente il filtro antispam potrebbe eliminarli prima che io debba prendere una decisione.
In altre parole: probabilmente il successo di un attacco di pesca subacquea non è principalmente il fallimento del destinatario / bersaglio / vittima nel riconoscere un particolare messaggio di posta elettronica in quanto tale, ma piuttosto una forte indicazione che le altre procedure e processi non sono attualmente seguiti, sconosciuto o insufficiente per impedire loro di avere successo.- La linea di condotta richiesta per l'attacco di pesca subacquea è "normale" e non deviante "come al solito".
#4
+15
gowenfawr
2019-04-14 22:26:47 UTC
view on stackexchange narkive permalink
  1. Quand'è che l'educazione al phishing va troppo oltre?

Quando il costo supera il vantaggio. Il vantaggio è generalmente misurato in percentuali di clic inferiori e percentuali maggiori di segnalazione di e-mail di phishing autentiche. Il costo può essere misurato in:

  • sforzo per implementare il test
  • segnalazione di falsi positivi di e-mail (non) phishing
  • tassi di coinvolgimento inferiori su messaggi legittimi email
  • cattiva volontà nei confronti del gruppo di sicurezza.

L'ultima è la più difficile da misurare e spesso ignorata, ma se il tuo compito è ingannare la tua stessa gente, non dovresti sorprenderti se iniziano a guardarti con sospetto.

  1. Il respingimento da parte degli utenti finali dimostra che la loro consapevolezza è ancora carente e necessita di ulteriore formazione, in particolare l'incapacità di riconoscere le email legittime da quelle dannose?
  2. ol>

Ehm, forse?

Se le percentuali di clic rimangono elevate, la consapevolezza è ancora carente e hanno bisogno di ulteriore formazione.

Se clic- le percentuali in generale sono diminuite, ma le email di prova le ingannano costantemente, quindi le loro preoccupazioni per il test potrebbero essere legittime.

Sembra che i tuoi contenuti siano abbastanza strettamente adattati ai tuoi utenti e persino ai loro ruoli lavorativi. Questo potrebbe essere ciò che sta generando la reazione negativa. Idealmente, un test di phishing non dovrebbe basarsi sulla conoscenza o la comprensione delle pratiche di posta elettronica interne, proprio come un utente malintenzionato non dovrebbe avere accesso a quelle. (E nota, la tua messaggistica interna non dovrebbe assomigliare alla tua messaggistica esterna, per lo stesso motivo).

Potresti prendere in considerazione l'idea di esternalizzare i tuoi test di phishing. Le organizzazioni che si dedicano a offrire questo servizio hanno un'idea migliore dell'aspetto "in natura" e i loro strumenti per misurare e generare rapporti sui tassi di coinvolgimento sono generalmente migliori di quanto tu possa fare da solo.

Personalmente, non mi piace il test di phishing, perché credo che erode la fiducia tra gli utenti e la sicurezza. Ma il nocciolo della questione è che è uno dei modi migliori per migliorare le difese dei tuoi utenti.

Perdonami se sbaglio, ma se alcune persone cliccassero, non sarebbe un fallimento?
L'eradicazione di @VipulNair non è un obiettivo realistico per l'addestramento al phish.Credo di aver visto il 10-20% di clic descritto come miglioramento ideale.Ho visto organizzazioni festeggiare spingendo al di sotto del 50%.
La ricerca più recente di @gowenfawr mostra che scendere al di sotto del 10% non è realistico.Anche i CISO fanno clic su e-mail di phishing (un CISO che conosco riceve 600 e-mail al giorno e talvolta fa clic su un phishing ben congegnato).
Dove state ottenendo queste statistiche sugli obiettivi per il click-through?Non faccio parte del nostro gruppo IS, ma faccio parte del loro team direttivo, facciamo regolarmente circa il 5-6% di clic per una forza lavoro abbastanza non tecnica di circa 500 dipendenti, e ciò che considererei email di prova molto realistiche.Sono sorpreso che i tuoi commenti sembrino implicare che siamo molto più avanti della media (o la mia interpretazione di quanto siano difficili le nostre email simulate è totalmente sbagliata).
@dwizum Lance Spitzner, che è una PMI in questo settore, [afferma che <5% è "buono"] (https://www.sans.org/security-awareness-training/blog/why-phishing-click-rate-0-male).Tuttavia, i miei commenti circa il 10-20% e l'inizio> 50% derivano dall'esperienza personale con una manciata di organizzazioni.Il mio istinto dice che Lance ha una popolazione che si auto seleziona ("persone che si preoccupano abbastanza di questo da assumerlo") e che il 10-20% è un punto di abbandono realistico per le buone organizzazioni.Potresti benissimo stare meglio della media :)
@dwizum queste sono statistiche del settore da un ampio spettro.Al 5%, sei * molto * bravo e probabilmente andresti a beneficio degli altri essendo un caso di studio per come stai ottenendo quei numeri.Potresti anche trarre vantaggio da qualcuno che scava nelle tue campagne per vedere se quei numeri sono affidabili.Personalmente ho visto numeri più bassi, ma c'erano una serie di fattori specifici che hanno facilitato quel livello di successo.
Penso che il futuro abbia un client di posta elettronica che semplicemente non ha collegamenti cliccabili ...
@dwizum - Parliamo nella chat della comunità nella DMZ.Quello che la tua azienda sta facendo per ottenere percentuali di clic così basse sembra promettente ... adoro sapere quali pratiche stai utilizzando
I siti di chat SE non funzionano sulla rete in cui mi trovo di solito.Non so se stiamo facendo qualcosa di nuovo, davvero.Teniamo solo l'idea del phishing "in faccia".Inizia con alcune ore di formazione durante l'orientamento dei nuovi dipendenti.Quindi MOLTO materiale didattico, regolarmente, via e-mail, sessioni di formazione di persona, formazione online, sito intranet e così via.Test regolari con feedback specifico per gli individui e gestione delle aree che ottengono scarsi risultati (il feedback è di natura educativa, non punitiva).Abbiamo persino segni sugli specchi nei bagni e nelle sale relax.
Esternalizziamo la creazione delle e-mail di phishing ma proviamo a collegare la formazione con le e-mail di prova: sono progettate per non soddisfare i criteri su cui istruiamo (pensa come: addestriamo il personale a passare il mouse su un collegamento e guardare l'URL primafacendo clic, anche se ti fidi della fonte. Quindi possiamo testarlo inviando un'e-mail da quella che sembra una fonte legittima, ma l'URL è sospetto).E assicuriamo che il personale di supporto interno sia addestrato a non fare le cose che insegniamo alle persone a non fare, ad esempio chiedere una password via e-mail, ecc.
#5
+8
Cliff AB
2019-04-15 05:54:18 UTC
view on stackexchange narkive permalink

C'è un modo in cui questo potrebbe essere andato troppo oltre:

Abbiamo adottato una strategia altamente mirata basata non solo sul ruolo lavorativo dell'utente ma anche sui contenuti che tali dipendenti potrebbero vedi.

Devi chiederti se i dipendenti della tua azienda saranno effettivamente soggetti a questo livello di spearphishing. Se la risposta è no, allora sei andato troppo oltre. Ovviamente tutto dipende da ciò che fa il gruppo. Se è il DNC, la risposta è sì.

#6
+5
Tom
2019-04-16 14:22:20 UTC
view on stackexchange narkive permalink

Sembra che tu abbia commesso un errore molto comune tra noi professionisti della sicurezza: sei entrato troppo nella mentalità dell'aggressore e ti stai sforzando troppo di sconfiggerlo i tuoi colleghi, invece di renderli tuoi alleati.

La tua campagna di phishing dovrebbe essere basata sul tuo modello di minaccia e analisi dei rischi . È probabile che i tuoi dipendenti siano l'obiettivo di attacchi di spearphishing accuratamente predisposti o il rischio maggiore è la campagna di phishing di massa non mirata e più comune di moderata capacità di attacco?

ai tuoi dipendenti che sono eccezionalmente improbabili secondo la tua analisi dei rischi. Semplicemente non puoi spiegare alla direzione perché lo stai facendo e sembrerà che tu stia cercando di ottenere il massimo dall'apparire più intelligenti e "battere" i dipendenti regolari. (cosa che ovviamente puoi fare nel tuo campo di competenza, proprio come potrebbero batterti a mani basse nella definizione del budget, nella gestione dei reclami dei clienti o nella gestione delle forniture).

Se lo hai preso di mira , campagne di spearphishing ad alta abilità nel tuo modello di minaccia, quindi devi intensificare gradualmente e pianificare una campagna in più passaggi. Perché il tuo obiettivo è insegnare , non sconfiggere e imbarazzare. Quindi fai quello che fa ogni insegnante: inizi con il semplice esercizio di base e poi segui quelli più difficili.

Esempio

Ad esempio, in un processo in tre fasi, tu inizierebbe con una mail che è abbastanza facile da individuare come falsa, ma contiene anche elementi più difficili da vedere. Quando un utente lo identifica correttamente come un messaggio di phishing, ti congratuli con lui e poi fai notare tutti gli indizi, compresi quelli meglio nascosti . Questa è la parte di apprendimento: ottengono un rinforzo positivo per gli indizi che hanno individuato e vengono insegnati ulteriori indizi che hanno perso.

Nella seconda fase, invii un messaggio di phishing che è più o meno mirato (ad esempio, a un dipartimento o funzione) e ha meno indizi ovvi e più difficili da individuare. Almeno la metà di essi dovrebbe includere quelli insegnati nella posta precedente. Ancora una volta, quando un utente individua correttamente il tentativo di phishing, ti congratuli e indichi tutti gli indizi, compresi quelli nuovi che hai introdotto. Questo rafforza, insegna nuovi indizi e aumenta la consapevolezza che alcuni indizi possono essere più difficili da individuare di quanto l'utente pensasse prima.

Nel terzo round, invii le tue e-mail mirate personalmente, senza indizi evidenti, ma a almeno la metà degli indizi nascosti deve essere nel set che all'utente è stato insegnato in precedenza. Ancora una volta, se un utente identifica correttamente, ti congratuli ed evidenzi tutti gli indizi, in modo che possa imparare ancora di più.

casi, se un utente identifica erroneamente il messaggio di phishing, anche indichi tutti gli indizi, quindi ripeti quel passaggio finché non lo riceve. Non passare a lezioni più difficili mentre la persona che apprende è ancora alle prese con quella attuale.

Questo è molto più lavoro da parte tua, ma fornirà un rinforzo molto più forte e un maggiore coinvolgimento da parte dei dipendenti e alla fine lo fai per loro.

#7
+1
Roostercrab
2019-04-15 00:00:44 UTC
view on stackexchange narkive permalink

La questione "spingersi troppo oltre" richiede contesto; quale parte sta andando troppo oltre?

La cosa che i test di phishing cercano di fare è rendere le persone sospettose della loro posta elettronica, perché quando non lo sono sono a rischio di invitare letteralmente in rete utenti non autorizzati.

Quindi non dovrebbe esserci una quantità enorme di messaggi di posta elettronica al punto che stanno setacciando messaggi di posta elettronica dannosi noti per arrivare a quelli di cui hanno bisogno per svolgere il loro lavoro, ma dovrebbe essercene abbastanza noto che qualcuno nell'organizzazione interpreta un aggressore e cerca di convincerlo a fare clic sul link sbagliato perché ci sono già persone esterne all'organizzazione che cercano di convincerli a farlo .

La domanda diventa quindi quando qualcuno fa lo stratagemma, sei contento di averlo catturato invece di un attore malvagio? Come altre persone hanno menzionato qui (e secondo me @BoredToolBox non avrebbe dovuto essere sottovalutato) si tratta di istruzione .

Se lo metti nella formulazione della domanda, sono sicuro che non è inteso come "Quanta istruzione sta andando troppo lontano?" giusto?

Ciò che probabilmente sta andando troppo oltre nella maggior parte delle organizzazioni è la reazione alle persone che fanno clic a fondo, e soprattutto se c'è un aspetto punitivo in questo. Dovresti essere contento quando sei tu ad aver colto l'azione, perché è un'opportunità per te per aiutare l'utente a capire cosa potrebbe essere successo e perché stai eseguendo questo esercizio. Le persone non dovrebbero essere punite o svergognate.

Immagina che questo fosse un esercizio su come impedire che una malattia si diffonda dal lavoratore al lavoratore. Un virus mortale che rimarrà dormiente finché non avrà trovato un host appropriato e quindi probabilmente ucciderà tutti, ma non sanno che è diffuso da persone che entrano casualmente dalla porta principale consegnando loro i pacchi.

Abbiamo abbastanza buon senso da sapere di non accettare solo pacchetti da persone che entrano nell'edificio, ma ciò che le persone non vedono è che questo è esattamente ciò che sta accadendo con le loro email. Quindi si tratta di un cambiamento nella cultura e nella prospettiva e non vedo quale parte della conoscenza di questo vada troppo oltre quando parli di istruzione.

Lo scopo delle simulazioni di phishing non è quello di sospettare le persone, ma di mettere in pratica le procedure e i comportamenti insegnati in una simulazione sicura di un attacco.
Giusto ... ma se lasciano quella simulazione senza essere sospettosi delle e-mail, allora qual era il punto?Dovrebbero essere sospettosi di tutto ciò che sembra diverso, e lo scopo dell'addestramento è renderli così, giusto?
No. Questo è tutto il mio punto.L'obiettivo è * non * sospetto.Temo che spiegare ulteriormente sarà semplicemente ripetere il mio primo commento.
Immagino che la domanda sia quindi cosa * fare * vuoi che pensino quando guardano attraverso la loro casella di posta elettronica se non sospetto ... So che sono sospettoso delle e-mail e che gli utenti condividano il mio sospetto è l'obiettivo principale.
#8
  0
BoredToolBox
2019-04-14 22:24:36 UTC
view on stackexchange narkive permalink

Ha affrontato qualcosa di simile e attualmente fa parte di una squadra che gestisce qualcosa di simile. Ecco i miei due centesimi:

L'istruzione è un concetto molto complicato poiché il modo in cui le persone apprendono è diverso da individuo a individuo. Ma quello che ho visto è che se provi a sintetizzare le informazioni che vuoi trasmettere in 2-4 punti, nel minor numero di parole possibile questo aiuta sempre. Facciamo qualcosa del genere quando si tratta di istruire le persone:

Ogni volta che ricevi un'email da qualcuno al di fuori dell'organizzazione fai queste domande:

  • Conosci personalmente questo ID email ?
  • L'ID e-mail e il nome di dominio ti sembrano sospetti?
  • Vuoi davvero fare clic su quel link o vuoi fornire a questo ragazzo le tue informazioni personali?

E infine lo menzioniamo sempre:

  • se non sei sicuro, inoltra questa email a {email id that verifies this}@{yourorg}.com

    1. Sicuramente. Dal momento che tutto ciò che devono fare (immagino) è ignorare quell'email o forse inoltrarla al tuo team di sicurezza interno per la revisione.

Immagino che ciò che deve essere fatto qui sia più sull'istruzione. Perché i dipendenti devono sapere come un phishing riuscito non solo può danneggiare l'azienda ma anche il dipendente.

La domanda è: quando le campagne di phishing per istruire i dipendenti superano il limite. Stai rispondendo su "come istruirli meglio"
Downvoted per il motivo dichiarato da @VipulNair
@VipulNair Non è "non essere in grado di educare" l'istruzione è andata troppo oltre?
E il primo ha votato, dice la stessa identica cosa.
#9
  0
Zoltan
2019-04-15 16:58:45 UTC
view on stackexchange narkive permalink

Non so se questo si applica o meno al tuo caso, ma un potenziale problema potrebbe essere se le tue aspettative sulla consapevolezza degli utenti sono superiori alle norme di sicurezza messe in uso. Ad esempio:

  • Puoi istruire gli utenti a controllare sempre i certificati https, ma allo stesso tempo alcuni siti web interni potrebbero utilizzare certificati autofirmati o scaduti, o addirittura richiedere l'invio di nomi utente e password tramite semplice http non crittografato.
  • Oppure puoi informare gli utenti che tutti gli strumenti interni ufficiali risiedono nel dominio della tua azienda, ma in realtà utilizzi servizi di terze parti popolari come Gmail o Slack connesso a OAuth.

Mentre il primo esempio è un vero problema con l'infrastruttura, il secondo è una pratica sicura abbinata a raccomandazioni non aggiornate. Ho visto entrambi accadere in natura e in questi casi i principi che stai cercando di insegnare non possono essere applicati nella pratica quotidiana e alla fine possono portare a confusione e mancato rispetto.

#10
  0
subs
2019-04-16 02:01:05 UTC
view on stackexchange narkive permalink

Non sono sicuro delle dimensioni della tua organizzazione, ma il consiglio più pratico che posso darti è che puoi andare troppo oltre quando ci pensi troppo. - Crea alcune email contraffatte, inviale agli utenti, guarda cosa fanno gli utenti.

Usiamo uno strumento (KnowBe4): eseguiamo alcune prove contro gli utenti e usiamo quello per istruirli / renderli consapevoli. Catturiamo chi è passato, chi ha fallito e utilizziamo l'intero processo per educare e dimostrare che istruiamo.

Non pensare troppo al pubblico con il targeting personalizzato; non fare analisi dei dati complicate ... Se lo sei, probabilmente stai perdendo tempo che potresti dedicare alla prossima sfida.

Se vedi che c'è lo spear phishing nei tuoi dirigenti o in alcune persone, coinvolgili personalmente e spesso, e magari fai qualcosa di operativo per assicurarti che se vengono ingannati, lo prendi. Con un cambiamento operativo, ad esempio, se qualcuno sta cercando di convincere il tuo CFO a rilasciare i pagamenti tramite bonifico, è meglio che il CFO disponga di un ulteriore processo di creazione / verifica o ottenga una conferma secondaria non e-mail (vocale?) Che un bonifico dovrebbe uscire.

#11
  0
Jay
2019-04-16 18:59:52 UTC
view on stackexchange narkive permalink

Mi sembra che qui possano esserci due problemi:

  1. Gli utenti sono frustrati dal fatto di essere regolarmente criticati perché falliscono un test che considerano impossibile.

  2. Gli utenti sono infastiditi dal fatto che l'IT stia sprecando il loro tempo con infiniti test di dubbia utilità.

RE # 1, lì ci sono tre possibilità:

R: Stai facendo richieste impossibili ai tuoi utenti. Almeno, impossibile nel senso che stai chiedendo che dimostrino un livello di sofisticazione ben al di là di ciò che ci si può ragionevolmente aspettare da persone che non sono esperti di sicurezza. Per fare un'analogia, potrebbe essere ragionevole pretendere che tutti i dipendenti siano pronti a eseguire il primo soccorso di base: indossare una benda, dare un'aspirina a qualcuno, ecc. . Se inizi a dare loro esercitazioni pratiche sulla chirurgia cardiaca d'urgenza e fai esplodere i dipendenti che non sono in grado di descrivere adeguatamente come impianterebbero uno stent o che non possono elencare correttamente tutti i 182 passaggi in un trapianto di cuore, chiaramente sarebbe irragionevole. Fare richieste irrealistiche e poi rimproverare i dipendenti per non essere riusciti a soddisfarle non porta a nulla se non a creare risentimento e uccidere il morale.

B: Le tue aspettative sono completamente ragionevoli e i dipendenti non sono sufficientemente formati. Se è così, la risposta ovvia è fornire formazione. Se non hai mai fornito alcuna formazione e ora stai rimproverando i dipendenti per non sapere qualcosa che non è mai stato insegnato loro, di nuovo, sei irragionevole. Tieni presente che ciò che è "ovvio" per un professionista della sicurezza informatica non è necessariamente ovvio per qualcuno senza tale background. Sono sicuro che ci sono molte cose sulla contabilità che sono ovvie per i contabili professionisti ma non per me, o cose sulla manutenzione dell'auto che sono ovvie per i meccanici professionisti, ecc.

C: Le tue aspettative sono completamente ragionevoli e i dipendenti sono troppo pigri o irresponsabili per fare lo sforzo. Se è così, è un problema di gestione. Qualcuno deve dare ai dipendenti il ​​giusto incentivo a lavorare di più, che potrebbe variare da un incoraggiante discorso di incoraggiamento al licenziare coloro che non sono all'altezza.

RE # 2: Quando ero nell'aeronautica militare, ovviamente la sicurezza era una delle principali preoccupazioni. Avevamo persone che volevano distruggere il nostro aereo e ucciderci. Ma anche in quella situazione estrema, gli addetti alla sicurezza erano ben consapevoli che una sicurezza più rigorosa non è sempre la migliore. Lo standard era che la sicurezza dovrebbe essere il più efficace possibile per affrontare rischi realistici, interferendo il meno possibile con le persone che svolgono il proprio lavoro.

In questo caso, ovviamente è una brutta cosa se qualche hacker ostile si impossessa delle password e ruba o vandalizza i tuoi dati. Questo potrebbe costarti un sacco di soldi, forse persino farti fallire. Ma a meno che la minaccia non sia enorme, non ci si può aspettare che i dipendenti trascorrano il 90% del loro tempo a scongiurare le minacce e solo il 10% a svolgere lavori che portano reddito all'azienda. Questa è anche una ricetta per andare in rovina. Devi avere un ragionevole equilibrio tra la protezione dalle minacce e l'impossibilità per chiunque di svolgere il proprio lavoro.

#12
-2
BoarGules
2019-04-16 02:16:44 UTC
view on stackexchange narkive permalink

Sospetto che la tua simulazione stia utilizzando una conoscenza dei tuoi obiettivi prefissati che nessun vero phisher potrebbe mai conoscere. Questo è il motivo per cui si lamentano che i tuoi falsi sono troppo difficili da distinguere dalla realtà. In una parola, stai barando .

Non necessariamente, possono esserci attori dannosi all'interno di un'organizzazione.
Si prega di rivedere il Maxim di Shannon: _Il nemico conosce il sistema._
Quali cose potrebbe * non * sapere un "vero phisher"?
aggiungendo ad @meowcat, rimarrai sorpreso anche di quante informazioni puoi trovare online su qualcuno (varia a persona).
Se un malintenzionato all'interno del sistema può inviarmi un'e-mail che MS Exchange mi assicura proviene dal mio datore di lavoro, ma ha falsificato il mittente, quindi sembra provenire dal mio manager, ma non lo fa, allora nessuna quantità di formazione è destinatapermettetemi di distinguere in modo affidabile il bene dal male.Posso dedicare sforzi all'esame delle e-mail dall'esterno dell'organizzazione per vedere se sono affidabili.Se devo dedicare lo stesso sforzo su ogni singola email interna, la battaglia è già persa.
Essere in grado di esaminare l'email per determinare se proviene da un mittente legittimo è solo una piccola parte dell'intera formazione sul phishing.E, come ho accennato, i "veri phisher" possono sapere molte cose che la maggior parte delle persone penserebbe possano essere conosciute solo da un insider.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...