Penso che ci sia un problema di fondo che dovrai affrontare. Perché agli utenti interessa che stanno fallendo?

Le simulazioni di phishing dovrebbero, prima di tutto, essere uno strumento educativo non uno strumento di test.

Se il fallimento ha conseguenze negative, sì, i tuoi utenti si lamenteranno se i test sono più difficili di quanto li hai preparati. Ti lamenterai anche tu.

Quindi, la tua risposta dovrebbe essere:

• istruirli di più (o in modo diverso) in modo che possano superare i test (o meglio, il test di comprensione, che è quello che dovrebbero essere)
• rimuovere le conseguenze negative in caso di fallimento

Ciò potrebbe non richiedere modifiche ai contenuti del materiale didattico, ma potrebbe richiedere solo un ri-inquadratura delle simulazioni di phishing per utenti, gestione e team di sicurezza.

Un'altra tattica da provare è graduare le simulazioni di phishing in modo che diventino più difficili man mano che gli utenti riescono a rispondere con successo al phishing. L'ho fatto con i miei programmi personalizzati. È più complesso sul back-end, ma i guadagni sono enormi se puoi farlo.

Il tuo obiettivo deve essere la maturità in evoluzione della capacità della tua organizzazione di resistere agli attacchi di phishing, non fare in modo che tutti siano perfetti su test. Una volta presa questa prospettiva, la cultura attorno a questi test e ai reclami cambierà.

Fallo bene e i tuoi utenti chiederanno che le simulazioni di phishing siano più difficili non più facili. Se miri a quel risultato finale, avrai un'organizzazione molto più resiliente.

Gli utenti finali ci hanno respinto che non hanno modo di distinguere un messaggio di posta elettronica legittimo che riceverebbero giorno per giorno da messaggi di phishing veramente dannosi.

Questa è un'indicazione che i test che potrebbero essere sradicati come falsi da professionisti della sicurezza qualificati vengono utilizzati per valutare persone che non lo sono. Potresti avere le capacità per scegliere un'e-mail e interpretare le intestazioni, ma Dan in Accounting probabilmente non lo fa e la sua direzione non è probabile che sia d'accordo sul fatto che una master class in RFC 822 è un buon uso del suo tempo.

La creazione di e-mail mirate per aumentare il tasso di successo deve essere eseguita sulla base delle informazioni raccolte sui tuoi utenti e sul tuo presunto mittente. Non si tratta di informazioni di cui sarà a conoscenza un phisher e, come ha sottolineato Michael Hampton nel suo commento, si alza allo spearphishing. È un gioco con la palla diverso giocato su un campo diverso.

Se ci sono avversari (reali o potenziali) capaci di spearphishing sufficientemente buono da danneggiare la tua attività, tutte le contromisure e la formazione di phishing non saranno di aiuto. Il tuo compito è implementare strumenti che daranno a Dan in Accounting un modo per distinguere quelli veri dai falsi. Ciò potrebbe significare sicurezza sull'estremità di invio come una firma crittografica che i client di posta degli utenti possono controllare e pubblicare un avviso evidente quando qualcosa non è firmato o la firma non corrisponde. Non puoi dipendere dagli esseri umani per ottenere queste cose giuste il 100% delle volte, soprattutto quando la tua organizzazione diventa più grande e le persone non si conoscono così bene.

È possibile sottolineare un punto che non ho visto in altre risposte, ma che ho visto nel mondo reale.

Gli utenti affermano di "non avere modo di distinguere un'email legittima che riceverebbero giorno per giorno da email di phishing veramente dannose ". Ciò che questo potrebbe dirti è che le email legittime sul rinnovo delle password, sulle modifiche ai servizi e simili non obbediscono alle regole che gli utenti dovrebbero seguire.

Ho sicuramente visto organizzazioni i cui materiali di formazione dicono agli utenti di non farlo fare clic sui collegamenti nelle e-mail e sicuramente non inserire le proprie password nei siti a cui puntano i collegamenti o installare software da essi. E i team di assistenza di tali organizzazioni inviano quindi email di massa sugli aggiornamenti del servizio che richiedono un'azione (come aggiornamenti della password, installazioni di software, ecc.), Con link utili su cui fare clic.

Una cosa che potrebbe aiutare sarebbe per chiarire che gli utenti dovrebbero segnalare queste email legittime . Potrebbe non aiutare direttamente gli utenti, ma può essere utile ricordare al team di assistenza che le loro e-mail hanno regole da seguire, il che dovrebbe rendere le cose più chiare per gli utenti a lungo termine.

1. Quand'è che l'educazione al phishing va troppo oltre?

Quando il costo supera il vantaggio. Il vantaggio è generalmente misurato in percentuali di clic inferiori e percentuali maggiori di segnalazione di e-mail di phishing autentiche. Il costo può essere misurato in:

• sforzo per implementare il test
• segnalazione di falsi positivi di e-mail (non) phishing
• tassi di coinvolgimento inferiori su messaggi legittimi email
• cattiva volontà nei confronti del gruppo di sicurezza.

L'ultima è la più difficile da misurare e spesso ignorata, ma se il tuo compito è ingannare la tua stessa gente, non dovresti sorprenderti se iniziano a guardarti con sospetto.

2. Il respingimento da parte degli utenti finali dimostra che la loro consapevolezza è ancora carente e necessita di ulteriore formazione, in particolare l'incapacità di riconoscere le email legittime da quelle dannose?
ol>

Ehm, forse?

Se le percentuali di clic rimangono elevate, la consapevolezza è ancora carente e hanno bisogno di ulteriore formazione.

Se clic- le percentuali in generale sono diminuite, ma le email di prova le ingannano costantemente, quindi le loro preoccupazioni per il test potrebbero essere legittime.

Sembra che i tuoi contenuti siano abbastanza strettamente adattati ai tuoi utenti e persino ai loro ruoli lavorativi. Questo potrebbe essere ciò che sta generando la reazione negativa. Idealmente, un test di phishing non dovrebbe basarsi sulla conoscenza o la comprensione delle pratiche di posta elettronica interne, proprio come un utente malintenzionato non dovrebbe avere accesso a quelle. (E nota, la tua messaggistica interna non dovrebbe assomigliare alla tua messaggistica esterna, per lo stesso motivo).

Potresti prendere in considerazione l'idea di esternalizzare i tuoi test di phishing. Le organizzazioni che si dedicano a offrire questo servizio hanno un'idea migliore dell'aspetto "in natura" e i loro strumenti per misurare e generare rapporti sui tassi di coinvolgimento sono generalmente migliori di quanto tu possa fare da solo.

Personalmente, non mi piace il test di phishing, perché credo che erode la fiducia tra gli utenti e la sicurezza. Ma il nocciolo della questione è che è uno dei modi migliori per migliorare le difese dei tuoi utenti.

C'è un modo in cui questo potrebbe essere andato troppo oltre:

Abbiamo adottato una strategia altamente mirata basata non solo sul ruolo lavorativo dell'utente ma anche sui contenuti che tali dipendenti potrebbero vedi.

Devi chiederti se i dipendenti della tua azienda saranno effettivamente soggetti a questo livello di spearphishing. Se la risposta è no, allora sei andato troppo oltre. Ovviamente tutto dipende da ciò che fa il gruppo. Se è il DNC, la risposta è sì.

Sembra che tu abbia commesso un errore molto comune tra noi professionisti della sicurezza: sei entrato troppo nella mentalità dell'aggressore e ti stai sforzando troppo di sconfiggerlo i tuoi colleghi, invece di renderli tuoi alleati.

La tua campagna di phishing dovrebbe essere basata sul tuo modello di minaccia e analisi dei rischi . È probabile che i tuoi dipendenti siano l'obiettivo di attacchi di spearphishing accuratamente predisposti o il rischio maggiore è la campagna di phishing di massa non mirata e più comune di moderata capacità di attacco?

ai tuoi dipendenti che sono eccezionalmente improbabili secondo la tua analisi dei rischi. Semplicemente non puoi spiegare alla direzione perché lo stai facendo e sembrerà che tu stia cercando di ottenere il massimo dall'apparire più intelligenti e "battere" i dipendenti regolari. (cosa che ovviamente puoi fare nel tuo campo di competenza, proprio come potrebbero batterti a mani basse nella definizione del budget, nella gestione dei reclami dei clienti o nella gestione delle forniture).

Se lo hai preso di mira , campagne di spearphishing ad alta abilità nel tuo modello di minaccia, quindi devi intensificare gradualmente e pianificare una campagna in più passaggi. Perché il tuo obiettivo è insegnare , non sconfiggere e imbarazzare. Quindi fai quello che fa ogni insegnante: inizi con il semplice esercizio di base e poi segui quelli più difficili.

Esempio

Ad esempio, in un processo in tre fasi, tu inizierebbe con una mail che è abbastanza facile da individuare come falsa, ma contiene anche elementi più difficili da vedere. Quando un utente lo identifica correttamente come un messaggio di phishing, ti congratuli con lui e poi fai notare tutti gli indizi, compresi quelli meglio nascosti . Questa è la parte di apprendimento: ottengono un rinforzo positivo per gli indizi che hanno individuato e vengono insegnati ulteriori indizi che hanno perso.

Nella seconda fase, invii un messaggio di phishing che è più o meno mirato (ad esempio, a un dipartimento o funzione) e ha meno indizi ovvi e più difficili da individuare. Almeno la metà di essi dovrebbe includere quelli insegnati nella posta precedente. Ancora una volta, quando un utente individua correttamente il tentativo di phishing, ti congratuli e indichi tutti gli indizi, compresi quelli nuovi che hai introdotto. Questo rafforza, insegna nuovi indizi e aumenta la consapevolezza che alcuni indizi possono essere più difficili da individuare di quanto l'utente pensasse prima.

Nel terzo round, invii le tue e-mail mirate personalmente, senza indizi evidenti, ma a almeno la metà degli indizi nascosti deve essere nel set che all'utente è stato insegnato in precedenza. Ancora una volta, se un utente identifica correttamente, ti congratuli ed evidenzi tutti gli indizi, in modo che possa imparare ancora di più.

casi, se un utente identifica erroneamente il messaggio di phishing, anche indichi tutti gli indizi, quindi ripeti quel passaggio finché non lo riceve. Non passare a lezioni più difficili mentre la persona che apprende è ancora alle prese con quella attuale.

Questo è molto più lavoro da parte tua, ma fornirà un rinforzo molto più forte e un maggiore coinvolgimento da parte dei dipendenti e alla fine lo fai per loro.

La questione "spingersi troppo oltre" richiede contesto; quale parte sta andando troppo oltre?

La cosa che i test di phishing cercano di fare è rendere le persone sospettose della loro posta elettronica, perché quando non lo sono sono a rischio di invitare letteralmente in rete utenti non autorizzati.

Quindi non dovrebbe esserci una quantità enorme di messaggi di posta elettronica al punto che stanno setacciando messaggi di posta elettronica dannosi noti per arrivare a quelli di cui hanno bisogno per svolgere il loro lavoro, ma dovrebbe essercene abbastanza noto che qualcuno nell'organizzazione interpreta un aggressore e cerca di convincerlo a fare clic sul link sbagliato perché ci sono già persone esterne all'organizzazione che cercano di convincerli a farlo .

La domanda diventa quindi quando qualcuno fa lo stratagemma, sei contento di averlo catturato invece di un attore malvagio? Come altre persone hanno menzionato qui (e secondo me @BoredToolBox non avrebbe dovuto essere sottovalutato) si tratta di istruzione .

Se lo metti nella formulazione della domanda, sono sicuro che non è inteso come "Quanta istruzione sta andando troppo lontano?" giusto?

Ciò che probabilmente sta andando troppo oltre nella maggior parte delle organizzazioni è la reazione alle persone che fanno clic a fondo, e soprattutto se c'è un aspetto punitivo in questo. Dovresti essere contento quando sei tu ad aver colto l'azione, perché è un'opportunità per te per aiutare l'utente a capire cosa potrebbe essere successo e perché stai eseguendo questo esercizio. Le persone non dovrebbero essere punite o svergognate.

Immagina che questo fosse un esercizio su come impedire che una malattia si diffonda dal lavoratore al lavoratore. Un virus mortale che rimarrà dormiente finché non avrà trovato un host appropriato e quindi probabilmente ucciderà tutti, ma non sanno che è diffuso da persone che entrano casualmente dalla porta principale consegnando loro i pacchi.

Abbiamo abbastanza buon senso da sapere di non accettare solo pacchetti da persone che entrano nell'edificio, ma ciò che le persone non vedono è che questo è esattamente ciò che sta accadendo con le loro email. Quindi si tratta di un cambiamento nella cultura e nella prospettiva e non vedo quale parte della conoscenza di questo vada troppo oltre quando parli di istruzione.

Ha affrontato qualcosa di simile e attualmente fa parte di una squadra che gestisce qualcosa di simile. Ecco i miei due centesimi:

L'istruzione è un concetto molto complicato poiché il modo in cui le persone apprendono è diverso da individuo a individuo. Ma quello che ho visto è che se provi a sintetizzare le informazioni che vuoi trasmettere in 2-4 punti, nel minor numero di parole possibile questo aiuta sempre. Facciamo qualcosa del genere quando si tratta di istruire le persone:

Ogni volta che ricevi un'email da qualcuno al di fuori dell'organizzazione fai queste domande:

• Conosci personalmente questo ID email ?
• L'ID e-mail e il nome di dominio ti sembrano sospetti?
• Vuoi davvero fare clic su quel link o vuoi fornire a questo ragazzo le tue informazioni personali?

E infine lo menzioniamo sempre:

• se non sei sicuro, inoltra questa email a {email id that verifies this}@{yourorg}.com

  2. Sicuramente. Dal momento che tutto ciò che devono fare (immagino) è ignorare quell'email o forse inoltrarla al tuo team di sicurezza interno per la revisione.

Immagino che ciò che deve essere fatto qui sia più sull'istruzione. Perché i dipendenti devono sapere come un phishing riuscito non solo può danneggiare l'azienda ma anche il dipendente.

Non so se questo si applica o meno al tuo caso, ma un potenziale problema potrebbe essere se le tue aspettative sulla consapevolezza degli utenti sono superiori alle norme di sicurezza messe in uso. Ad esempio:

• Puoi istruire gli utenti a controllare sempre i certificati https, ma allo stesso tempo alcuni siti web interni potrebbero utilizzare certificati autofirmati o scaduti, o addirittura richiedere l'invio di nomi utente e password tramite semplice http non crittografato.
• Oppure puoi informare gli utenti che tutti gli strumenti interni ufficiali risiedono nel dominio della tua azienda, ma in realtà utilizzi servizi di terze parti popolari come Gmail o Slack connesso a OAuth.

Mentre il primo esempio è un vero problema con l'infrastruttura, il secondo è una pratica sicura abbinata a raccomandazioni non aggiornate. Ho visto entrambi accadere in natura e in questi casi i principi che stai cercando di insegnare non possono essere applicati nella pratica quotidiana e alla fine possono portare a confusione e mancato rispetto.

Non sono sicuro delle dimensioni della tua organizzazione, ma il consiglio più pratico che posso darti è che puoi andare troppo oltre quando ci pensi troppo. - Crea alcune email contraffatte, inviale agli utenti, guarda cosa fanno gli utenti.

Usiamo uno strumento (KnowBe4): eseguiamo alcune prove contro gli utenti e usiamo quello per istruirli / renderli consapevoli. Catturiamo chi è passato, chi ha fallito e utilizziamo l'intero processo per educare e dimostrare che istruiamo.

Non pensare troppo al pubblico con il targeting personalizzato; non fare analisi dei dati complicate ... Se lo sei, probabilmente stai perdendo tempo che potresti dedicare alla prossima sfida.

Se vedi che c'è lo spear phishing nei tuoi dirigenti o in alcune persone, coinvolgili personalmente e spesso, e magari fai qualcosa di operativo per assicurarti che se vengono ingannati, lo prendi. Con un cambiamento operativo, ad esempio, se qualcuno sta cercando di convincere il tuo CFO a rilasciare i pagamenti tramite bonifico, è meglio che il CFO disponga di un ulteriore processo di creazione / verifica o ottenga una conferma secondaria non e-mail (vocale?) Che un bonifico dovrebbe uscire.

Mi sembra che qui possano esserci due problemi:

1. Gli utenti sono frustrati dal fatto di essere regolarmente criticati perché falliscono un test che considerano impossibile.

2. Gli utenti sono infastiditi dal fatto che l'IT stia sprecando il loro tempo con infiniti test di dubbia utilità.

RE # 1, lì ci sono tre possibilità:

R: Stai facendo richieste impossibili ai tuoi utenti. Almeno, impossibile nel senso che stai chiedendo che dimostrino un livello di sofisticazione ben al di là di ciò che ci si può ragionevolmente aspettare da persone che non sono esperti di sicurezza. Per fare un'analogia, potrebbe essere ragionevole pretendere che tutti i dipendenti siano pronti a eseguire il primo soccorso di base: indossare una benda, dare un'aspirina a qualcuno, ecc. . Se inizi a dare loro esercitazioni pratiche sulla chirurgia cardiaca d'urgenza e fai esplodere i dipendenti che non sono in grado di descrivere adeguatamente come impianterebbero uno stent o che non possono elencare correttamente tutti i 182 passaggi in un trapianto di cuore, chiaramente sarebbe irragionevole. Fare richieste irrealistiche e poi rimproverare i dipendenti per non essere riusciti a soddisfarle non porta a nulla se non a creare risentimento e uccidere il morale.

B: Le tue aspettative sono completamente ragionevoli e i dipendenti non sono sufficientemente formati. Se è così, la risposta ovvia è fornire formazione. Se non hai mai fornito alcuna formazione e ora stai rimproverando i dipendenti per non sapere qualcosa che non è mai stato insegnato loro, di nuovo, sei irragionevole. Tieni presente che ciò che è "ovvio" per un professionista della sicurezza informatica non è necessariamente ovvio per qualcuno senza tale background. Sono sicuro che ci sono molte cose sulla contabilità che sono ovvie per i contabili professionisti ma non per me, o cose sulla manutenzione dell'auto che sono ovvie per i meccanici professionisti, ecc.

C: Le tue aspettative sono completamente ragionevoli e i dipendenti sono troppo pigri o irresponsabili per fare lo sforzo. Se è così, è un problema di gestione. Qualcuno deve dare ai dipendenti il ​​giusto incentivo a lavorare di più, che potrebbe variare da un incoraggiante discorso di incoraggiamento al licenziare coloro che non sono all'altezza.

RE # 2: Quando ero nell'aeronautica militare, ovviamente la sicurezza era una delle principali preoccupazioni. Avevamo persone che volevano distruggere il nostro aereo e ucciderci. Ma anche in quella situazione estrema, gli addetti alla sicurezza erano ben consapevoli che una sicurezza più rigorosa non è sempre la migliore. Lo standard era che la sicurezza dovrebbe essere il più efficace possibile per affrontare rischi realistici, interferendo il meno possibile con le persone che svolgono il proprio lavoro.

In questo caso, ovviamente è una brutta cosa se qualche hacker ostile si impossessa delle password e ruba o vandalizza i tuoi dati. Questo potrebbe costarti un sacco di soldi, forse persino farti fallire. Ma a meno che la minaccia non sia enorme, non ci si può aspettare che i dipendenti trascorrano il 90% del loro tempo a scongiurare le minacce e solo il 10% a svolgere lavori che portano reddito all'azienda. Questa è anche una ricetta per andare in rovina. Devi avere un ragionevole equilibrio tra la protezione dalle minacce e l'impossibilità per chiunque di svolgere il proprio lavoro.

Sospetto che la tua simulazione stia utilizzando una conoscenza dei tuoi obiettivi prefissati che nessun vero phisher potrebbe mai conoscere. Questo è il motivo per cui si lamentano che i tuoi falsi sono troppo difficili da distinguere dalla realtà. In una parola, stai barando .