שְׁאֵלָה:
מתי חינוך פישינג הולך רחוק מדי?
Anthony
2019-04-14 20:58:39 UTC
view on stackexchange narkive permalink

כרגע אני עובד בצוות אבטחת ה- IT במקום העבודה שלי בתפקיד בכיר. לאחרונה סייעתי להנהלה בתכנון מסעות ההכשרה בנושא דיוג / הנדסה חברתית, שבאמצעותם אבטחת IT תשלח הודעות דוא"ל בנושא "דיוג" כדי לראות עד כמה עובדי החברה מודעים לאיתור מיילים כאלה.

אימצנו אסטרטגיה ממוקדת ביותר המבוססת לא רק על תפקיד העבודה של המשתמש אלא גם על התוכן שעובדים כאלה עשויים לראות. התוכן מגוון כדי לכלול הודעות דוא"ל המבקשות תוכן רגיש (למשל: עדכון סיסמה) לפוסטים מזויפים של מדיה חברתית, לפרסום ממוקד.

קיבלנו דחיפה חזרה ממשתמשי הקצה שאין להם דרך של הבחנה בין אימייל לגיטימי שהם יקבלו מיום ליום לבין הודעות אימייל של דיוג זדוני באמת. הצוות שלנו ביקש להקטין את הקושי שבמבחנים אלה.

ערוך כדי להתייחס לתגובות האומרות כי סימולציות פישינג של חנית הן עיצוב קיצוני / רע מדי של סימולציות

בניתוח התוצאות הקודמות של הדמיות פישינג, המשתמשים שלחצו נטו להציג דפוסים מסוימים. כמו כן, phish אחד מוצלח במיוחד שהביא להפסד כספי (רכישה מקוונת מיותרת) העמיד פנים שהוא חבר בהנהלה הבכירה.

כדי להגיב להערות על עומק המיקוד / GDPR, שיטות ההתאמה האישית מבוססות על נתוני חברה ציבורית (כלומר: פונקציית עבודה), ולא נתוני משתמשים פרטיים הידועים לאותו אדם בלבד. "התוכן שמשתמשים אוהבים לראות" מבוסס על " תרחישים אופייניים ", לא מה שמשתמשים בתוכן במקום העבודה שלנו רואים ב ספציפי

שאלות

  1. מתי חינוך פישינג הולך רחוק מדי?

  2. האם דחיפה חוזרת ממשתמשי הקצה הוכיחו כי המודעות שלהם עדיין חסרה וזקוקים להדרכה נוספת, במיוחד חוסר היכולת לזהות לגיטימי ממיילים זדוניים?

הייתי ממלא מחדש את הכותרת מ"חינוך "ל"בדיקה" או "סימולציות"
שאלה זו נראית לי כאילו חסרים בה פרטים מרכזיים.* מדוע * המשתמשים שלך טוענים כי לא ניתן להבחין בין הודעות הדיוג שאתה שולח להם לבין הלגיטימיות?האם זה בגלל שהם באמת נמצאים (לפחות עם הכלים שעומדים לרשות המשתמש הרגיל), או שזה בגלל שהם מתברגים?קבלת אימייל מאדם שלא היה לך קשר איתו בעבר אינה חשודה מטבעה, ולכן חשוב כיצד אתה מודד כישלון.בהתבסס על כך שהם באמת מוסרים מידע רגיש?או רק על סמך שהם לוחצים על קישור באימייל שהם לא יכולים לדעת באופן סביר שהוא מזויף מראש?
ההערות אינן לדיון מורחב;שיחה זו [הועברה לצ'אט] (https://chat.stackexchange.com/rooms/92473/discussion-on-question-by-anthony-when-is-phishing-education- going-too-far).
שתיים עשרה תשובות:
schroeder
2019-04-14 23:33:42 UTC
view on stackexchange narkive permalink

אני חושב שיש בעיה בסיסית שתצטרך לטפל בה. מדוע למשתמשים אכפת שהם נכשלים?

הדמיות פישינג צריכות להיות בראש ובראשונה כ כלי חינוך . לא כלי בדיקה.

אם יש השלכות שליליות לכישלון, אז כן, המשתמשים שלך הולכים להתלונן אם הבדיקות קשות יותר מכפי שהכנתן אותן. גם אתה היית מתלונן.

אז התגובה שלך צריכה להיות:

  • לחנך אותם יותר (או אחרת) כך שהם יכולים לעבור את המבחנים (או ליתר דיוק, את מבחני הבנה, וזה מה שהם צריכים להיות)
  • הסר השלכות שליליות לכישלון מסגור מחדש של סימולציות הדיוג למשתמשים, להנהלה ולצוות האבטחה שלך.

    טקטיקה נוספת לנסות היא לסיים את סימולציות הדיוג כך שהן יתקשו ככל שהמשתמשים יצליחו להגיב לדיוג. עשיתי זאת בתוכניות המותאמות אישית שלי. זה מורכב יותר בקצה האחורי, אבל התמורה היא עצומה אם אתה יכול לעשות את זה.

    המיקוד שלך צריך להיות הבגרות המתפתחת ביכולתו של הארגון שלך להתנגד להתקפות פישינג, ולא לגרום לכולם להיות מושלמים. מבחנים. ברגע שתנקוט בפרספקטיבה זו, התרבות סביב הבדיקות הללו והתלונות ישתנו.

    עשה זאת כמו שצריך, והמשתמשים שלך יבקשו שהדמיות הדיוג יהיו קשוח לא קלות יותר. אם אתה מכוון לתוצאה הסופית הזו, יהיה לך ארגון הרבה יותר גמיש.

ההערות אינן לדיון מורחב;שיחה זו הועברה לצ'אט (https://chat.stackexchange.com/rooms/92525/discussion-on-answer-by-schroeder-when-is-phishing-education- going-too-far).
Blrfl
2019-04-15 01:13:29 UTC
view on stackexchange narkive permalink

קיבלנו דחיפה חזרה ממשתמשי הקצה כי אין להם שום דרך להבחין דוא"ל לגיטימי שיקבלו מיום ליום מדוא"ל דיוג זדוני באמת.

זוהי אינדיקציה לכך שבדיקות שיכולות להיות מושרשות כזיופים על ידי אנשי מקצוע בתחום האבטחה המאומנים משמשות להערכת אנשים שאינם. יכול להיות שיש לך את הכישורים לבחור דוא"ל בנפרד ולפרש את הכותרות, אך דן בחשבונאות כנראה לא עושה זאת וההנהלה שלו לא תסכים שכיתת אמן ב- RFC 822 היא שימוש טוב בזמנו.

יצירת אימיילים ממוקדים בכדי להגדיל את קצב הפגיעות צריכה להיעשות על סמך מודיעין שנאסף אודות המשתמשים שלך והשולח כביכול שלך. זה לא מידע שאליו phisher יהיה שותף, וכפי שציין מייקל המפטון בתגובתו, הוא עולה לדרך. זה משחק כדור שונה שמשוחק במגרש אחר.

אם יש יריבים (אמיתיים או פוטנציאליים) המסוגלים לבצע ספירפיש מספיק טוב כדי לפגוע בעסק שלך, כל אמצעי הנגד וההדרכה של פישינג לא יעזרו. התפקיד שלך הוא לפרוס כלים שיעניקו לדן בחשבונאות דרך להבחין בין האמיתיים לבין הזיופים. זה יכול להיות אבטחה בקצה השליחה כמו חתימה קריפטוגרפית שלקוחות הדואר של המשתמשים יכולים לבדוק ולהעלות אזהרה בולטת כאשר משהו לא חתום או שהחתימה אינה תואמת. אינך יכול להיות תלוי בבני אדם שיבצע את הדברים האלה נכון ב 100% מהזמן, במיוחד ככל שהארגון שלך גדל ואנשים לא מכירים כל כך טוב.

נראה כי זה מצביע על כך שהתיקון הוא תהליך אוטומטי שיכול לבדוק אם יש סימנים מסוג זה ולהזהיר את המשתמש.Gmail עושה זאת, מציב אזהרת באנר אדומה אם הדואר נראה חשוד, למשל.כותרות מזויפות.
RFC822 הוחלף כבר מזמן על ידי RFC5322.
@PatrickMevzek RFC 2822 היה קיים בין השניים, אבל כמה מאיתנו הזקנים הוותיקים הולכים להיאחז במספרים הישנים עד שתחטט אותם מהידיים הקרות והמתות שלנו.
מה שמנוגד לדרך IETF לעשות דברים.אם RFC מחליף אחד אחר, אין שום סיבה להיצמד לגרסה הקודמת.למעט סיבות היסטוריות וכדי להראות ידע.גרסאות חדשות יותר כוללות תיקוני באגים וחד משמעויות.אבל זה בעיקר לא קשור לשאלה.
@PatrickMevzek Clingage הוא בשם בלבד;בהחלט לא הייתי מיישם משהו המבוסס על RFC מיושן.
James_pic
2019-04-15 16:02:08 UTC
view on stackexchange narkive permalink

יש להעלות נקודה אפשרית שלא ראיתי בתשובות אחרות, אך ראיתי בעולם האמיתי.

משתמשים אומרים כי "אין להם שום דרך להבחין בין דוא"ל לגיטימי שהם יקבלו מיום ליום מדוא"ל פישינג זדוני באמת ". מה שזה עשוי להגיד לך, הוא שדוא"ל לגיטימי על חידוש סיסמאות, שינויים בשירותים וכאלה, אינו מציית לכללים שהמשתמשים צפויים לעקוב אחריהם.

בהחלט ראיתי ארגונים שחומרי ההדרכה שלהם אומרים למשתמשים שלא לחץ על קישורים במיילים, ובהחלט לא כדי להכניס את הסיסמאות שלהם לאתרים אליהם מצביעים הקישורים, או להתקין תוכנה מהם. וצוותי השירות בארגונים אלה שולחים דוא"ל המוני על עדכוני שירות הדורשים פעולה (כגון עדכוני סיסמאות, התקנות תוכנה וכו '), עם קישורים מועילים ללחיצה.

דבר אחד שעשוי לעזור יהיה. כדי להבהיר שמשתמשים צריכים לדווח על הודעות דוא"ל לגיטימיות אלה . זה אולי לא יעזור למשתמשים באופן ישיר, אבל זה עשוי לעזור להזכיר לצוות השירות כי לדוא"ל שלהם יש כללים שיש לעקוב אחריהם, מה שאמור להבהיר את הדברים למשתמשים בטווח הארוך.

זֶה.עבדתי בארגון ששולח דוא"ל דומים למבחני פישינג, אך לאחר מכן שולח באופן קבוע מיילים "לגיטימיים" שלא ניתן להבחין בהם בין דואר זבל / דיוג, לרוב מכילים קישורים לאתרים חיצוניים (שלעתים דורשים כניסות) שלחברה שלי לא היה קשר איתם.ייתכן מאוד שהבעיה היא שהמיילים הלגיטימיים הם דואר זבל מדי, ולא שהבדיקות שלך יגיעו רחוק.
זו בהחלט בעיה.אם הארגון שולח הודעות דוא"ל לגיטימיות שהמשתמשים צפויים ללחוץ עליהן בקישורים, ואינך מזהה במפורש הודעות דוא"ל כלגיטימיות * ומלמדות את המשתמשים כיצד לזהות אותן, הדוא"ל הלגיטימי שלך פועל באופן פעיל ומבטל את ההדרכה.אתה מנסה לספק.
נהגתי לשים לב לדווח על מיילים מאבטחת IT לאבטחת IT כניסיונות דיוג לכאורה.הם מעולם לא אהבו את זה.
@MichaelKay: זה ממש מרגיז אותי שכל כך הרבה ארגונים שולחים הודעות אמיתיות שלא ניתן להבחין בהן בניסיונות פישינג.אם כרטיס ה- VISA של Acme עובר מ- BankCorp ל- MegaBank, הוא לא אמור ליידע את הלקוחות עליו על ידי השארת הודעות טלפוניות המבקשות מהם לבקר ב- AcmeViSAupdate.com [תחום שהלקוחות לא השתמשו בו מעולם] אבל היה לי אמיתי שעשה בדיוק את זה (שמות השתנו כדי להגן על האשמים), אך במקום זאת הודיעו להם כיצד לקבל את המידע באמצעות מספר הטלפון או אתר האינטרנט המודפס על כרטיסם.
ידוע לי שקיבלתי הזמנות רכש משולח שלא היה ידוע בעבר באומרו פשוט "אנא מצא את הזמנת הרכש שלנו מצורפת".וכמובן שמסנן דואר הזבל עשוי למחות אותם לפני שאצטרך לקבל החלטה.
במילים אחרות: ניתן לטעון שההצלחה של התקפת דייג חנית היא לא בעיקר כישלונו של הנמען / היעד / הקורבן לזהות הודעת דואר אלקטרוני מסוימת ככזו, אלא אינדיקציה חזקה לכך שתהליכים ותהליכים אחרים שלך אינם ממוקמים כרגע., לא ידוע או לא מספיק כדי למנוע מהם להצליח.- דרך הפעולה המבוקשת במתקפת הדייג היא "רגילה" ואינה חורגת מ"עסקים כרגיל ".
gowenfawr
2019-04-14 22:26:47 UTC
view on stackexchange narkive permalink
  1. מתי חינוך פישינג הולך רחוק מדי?

כאשר העלות עולה על התועלת. התועלת נמדדת בדרך כלל בשיעורי קליקים נמוכים יותר ושיעורי דיווח מוגברים על הודעות דוא"ל אמיתיות. ניתן למדוד את העלות ב:

  • המאמץ ליישם את הבדיקה
  • דיווח חיובי כוזב על דוא"ל (לא) פישינג
  • שיעורי מעורבות נמוכים יותר בנושא לגיטימי דוא"ל
  • רצון רע כלפי קבוצת האבטחה.

האחרון הוא הקשה ביותר למדידה ולעתים קרובות מתעלמים ממנו, אך אם התפקיד שלך הוא להערים על אנשיך, אתה לא צריך להיות מופתע אם הם יתחילו לראות אותך בחשד.

  1. האם דחיפה ממשתמשי הקצה מוכיחה שהמודעות שלהם עדיין חסרה וזקוקה להדרכה נוספת, במיוחד חוסר היכולת לזהות לגיטימי ממיילים זדוניים?
  2. ol>

אממ, אולי?

אם שיעורי הקליקים שלהם נשארים גבוהים, המודעות עדיין חסרה והם זקוקים להדרכה נוספת.

אם קליק- באופן כללי, שיעורי ההורדה ירדו, אך הודעות הדוא"ל לבדיקות מטעות אותם בעקביות, ואז החששות שלהם לגבי הבדיקה עשויים להיות לגיטימיים.

נשמע שהתוכן שלך מותאם למדי למשתמשים שלך ואפילו לתפקידי התפקיד שלהם. זה אולי מה שמייצר את התגובה השלילית. באופן אידיאלי, בדיקת דיוג לא אמורה להסתמך על ידע או הבנה של נוהלי דוא"ל פנימיים, כשם שלתוקף לא תהיה גישה לאלה. (ושים לב, המסר הפנימי שלך לא אמור להיראות כמו המסרים החיצוניים שלך, מאותה סיבה).

כדאי לך לשקול לבצע מיקור חוץ של מבחני הדיוג שלך. הארגונים המוקדשים להציע שירות זה מרגישים טוב יותר איך נראה "בטבע", והכלים שלהם למדידה ולדיווח על שיעורי המעורבות הם בדרך כלל טובים ממה שאתה יכול לעשות בעצמך.

באופן אישי, אני לא אוהב בדיקות פישינג מכיוון שאני מאמין שהוא שוחק אמון בין משתמשים לאבטחה. אך העובדה היא שזו אחת הדרכים הטובות ביותר לשפר את ההגנה של המשתמשים שלך.

סלח לי אם אני טועה. אבל אם כמה אנשים לוחצים, האם זה לא היה כישלון?
הדברת @VipulNair אינה מטרה ריאלית לאימוני פישינג.אני מאמין שראיתי קליק-דרך של 10-20% המתואר כשיפור אידיאלי.ראיתי שארגונים חוגגים דוחפים מטה מתחת ל -50%.
המחקר האחרון של @gowenfawr מראה כי ירידה מתחת ל -10% אינה ריאלית.אפילו CISOs לוחצים על הודעות דיוג (CISO אחד שאני מכיר מקבל 600 מיילים ביום ולפעמים הוא לוחץ על פישינג בעל מבנה טוב).
איפה אתם מקבלים נתונים סטטיסטיים אלה על יעדים לקליק?אני לא בקבוצת ה- IS שלנו אבל אני נמצא בצוות ההיגוי שלהם. אנחנו בדרך כלל עוברים על 5 - 6% שעובדים על כוח אדם לא טכני למדי של כ -500 עובדים, ומה שאחשי לדוא"ל בדיקות מציאותיים מאוד.אני מופתע שנדמה כי התגובות שלך מרמזות שאנחנו הרבה לפני הממוצע (או שהפרשנות שלי לכמה קשה הדוא"ל המדומה שלנו שגויה לחלוטין).
@dwizum לאנס שפיצנר, שהיא SME בתחום זה, [טוענת <5% זה "טוב"] (https://www.sans.org/security-awareness-training/blog/why-phishing-click-rate-0-רַע).עם זאת, הערותיי לגבי 10-20% והתחלה של> 50% נובעות מניסיון אישי עם קומץ ארגונים.המעיים שלי אומרים שלנס יש אוכלוסייה בוחרת בעצמה ("אנשים שדואגים להם מספיק כדי להעסיק אותו") וכי 10-20% מהווים נקודת חרב ריאלית לארגונים טובים.יכול מאוד להיות שאתה מסתדר טוב יותר מהממוצע :)
@dwizum אלה נתונים סטטיסטיים בענף מקשת רחבה.ב -5%, אתה * מאוד * טוב וסביר להניח שתועיל לאחרים על ידי היותך מקרה מקרה כיצד אתה מקבל את המספרים האלה.אתה עשוי גם להרוויח ממישהו שיתעמק בקמפיינים שלך כדי לראות אם המספרים האלה אמינים.באופן אישי ראיתי מספרים נמוכים יותר, אך היו קבוצה של גורמים ספציפיים שהקלו על רמת ההצלחה הזו.
אני חושב שהעתיד מחזיק בלקוח דואר אלקטרוני שפשוט אין לו קישורים ניתנים ללחיצה ...
@dwizum - תן לדבר בצ'אט בקהילה ב- DMZ.מה שהחברה שלך עושה כדי להשיג שיעורי קליקים נמוכים כל כך נשמע מבטיח ... אוהב ללמוד באילו שיטות אתה משתמש
אתרי צ'אט של SE לא עובדים ברשת שבה אני בדרך כלל.אני לא יודע אם אנחנו עושים משהו חדש, באמת.אנחנו פשוט שומרים את הרעיון של התחזות "בפרצוף שלך."זה מתחיל בכמה שעות הכשרה במהלך התמצאות עובדים חדשים.ואז המון חומר חינוכי, באופן קבוע, באמצעות דוא"ל, אימונים אישיים, אימונים מקוונים, אתר אינטראנט וכו '.בדיקות קבועות עם משוב ספציפי ליחידים וניהול אזורים שמקבלים תוצאות גרועות (המשוב הוא חינוכי, לא ענישה).יש לנו אפילו שלטים על המראות בשירותים ובחדרי ההפסקה.
אנו אמנם מבצעים מיקור חוץ ביצירת דוא"ל התחזות אך אנו מנסים לקשר בין ההדרכה לבין דוא"ל הבדיקה - הם נועדו להיכשל בקריטריונים עליהם אנו מחנכים (חושב כמו: אנו מכשירים את הצוות לרחף מעל קישור ולהסתכל בכתובת האתר לפנילחיצה, גם אם אתה סומך על המקור. לכן אנו עשויים לבדוק זאת על ידי שליחת דוא"ל ממה שנראה כמו מקור לגיטימי, אך כתובת האתר חשודה).ואנחנו מבטיחים שצוות התמיכה הפנימי יוכשר לא לעשות את הדברים שאנחנו מלמדים אנשים לא לעשות, כלומר לבקש סיסמה באמצעות דוא"ל וכו '.
Cliff AB
2019-04-15 05:54:18 UTC
view on stackexchange narkive permalink

יש דרך אחת בה זה אולי הרחיק לכת מדי:

אימצנו אסטרטגיה ממוקדת ביותר, המבוססת לא רק על תפקיד העבודה של המשתמש אלא גם על התוכן שעובדים כאלה עשויים לעשות ראה.

אתה צריך לשאול את עצמך האם העובדים בחברה שלך בפועל יהיו כפופים לרמה זו של חידוד. אם התשובה היא לא, אז הלכת רחוק מדי. כמובן, כל זה תלוי במה שהקבוצה עושה. אם ה- DNC שלה, התשובה היא כן.

Tom
2019-04-16 14:22:20 UTC
view on stackexchange narkive permalink

ככל הנראה ביצעת טעות נפוצה מאוד בקרבנו אנשי המקצוע בתחום האבטחה: נכנסת ל יותר מדי הלך הרוח של התוקף ואתה מנסה יותר מדי ל להביס את העובדים העמיתים שלך במקום להפוך אותם לבני ברית שלך.

מסע הדיוג שלך צריך להיות מבוסס על מודל האיום שלך וניתוח סיכונים . האם העובדים שלך עשויים להוות יעד להתקפות חנית-פישינג מעוצבות בקפידה, או שמא הסיכון הגבוה יותר הוא מסע הפרסום הלא-ממוקד וההתחזות הנפוץ יותר של מיומנות תוקפת מתונה?

במקרה המאוחר, אל תעשה דברים לעובדים שלך שאינם סבירים במיוחד על פי ניתוח הסיכונים שלך. אתה פשוט לא יכול להסביר להנהלה מדוע אתה עושה את זה ונראה שאתה מנסה להוציא שיא מלהופיע חכם יותר ו"להכות "עובדים רגילים. (שכמובן תוכלו לעשות בתחום המומחיות שלכם, בדיוק כמו שהם יכולים להכות אתכם ידיים למטה בתקצוב, בטיפול בתלונות לקוחות או בניהול אספקה).

אם כן מיקדתם , מסעות פרסום חדישים בעלי יכולות גבוהות במודל האיום שלך, אז אתה צריך להסלים בהדרגה ולתכנן מסע פרסום במספר שלבים. כי המטרה שלך היא ללמד , לא להביס ולהביך. אז אתה עושה מה שכל מורה עושה: אתה מתחיל בתרגיל הבסיס הפשוט ואז עוקב אחר הקשים יותר.

דוגמה

לדוגמה, בתהליך של שלושה שלבים אתה יתחיל עם דואר שקל למדי לזהות אותו כמזויף, אך מכיל גם אלמנטים שקשה יותר לראות. כאשר משתמש מזהה אותו כדואר התחזות כהלכה, אתה מברך אותם ואז מצביע על כל הרמזים, כולל הסמלים הטובים יותר . זהו החלק הלמידי - הם מקבלים חיזוק חיובי לרמזים שזיהו, ומלמדים אותם רמזים נוספים שפספסו.

בסיבוב השני אתה שולח דואר התחזות שממוקד בערך (למשל למחלקה או לתפקיד) ויש בו פחות ברור ויותר רמזים שקשה לזהות. לפחות מחצית מהן צריכות לכלול את אלה שנלמדו בדואר הקודם. שוב כאשר משתמש מזהה נכון את ניסיון הדיוג, אתה מברך ומצביע על כל הרמזים, כולל החדשים שהצגת. זה מחזק, מלמד רמזים חדשים ומעלה את המודעות לכך שרמזים מסוימים יכולים להיות קשים יותר לאיתור ממה שהמשתמש חשב קודם לכן.

בסיבוב השלישי אתה שולח הודעות דואר ממוקדות באופן אישי, ללא רמזים ברורים, לפחות מחצית הרמזים הנסתרים חייבים להיות במערך אותו לימדו אותו המשתמש. שוב, אם משתמש מזהה נכון, אתה מברך ומדגיש את כל הרמזים, כך שהוא יוכל ללמוד עוד יותר.

בכל במקרים, אם משתמש מזהה שגוי את דואר הדיוג, אתה גם מציין את כל הרמזים, ואז חזור על שלב זה עד שהוא מקבל אותו. אל תתקדם לשיעורים קשים יותר בזמן שהאדם הלומד עדיין נאבק עם הנוכחי.

זו הרבה יותר עבודה מצידך, אך תספק חיזוק הרבה יותר חזק ומעורבות גבוהה יותר מצד העובדים. ובסוף אתה עושה את זה בשבילם.

Roostercrab
2019-04-15 00:00:44 UTC
view on stackexchange narkive permalink

שאלת "ללכת רחוק מדי" דורשת הקשר; איזה חלק הולך רחוק מדי?

הדבר שמבחני פישינג מנסים לעשות הוא לגרום לאנשים לחשוד באימייל שלהם, מכיוון שכשלא הם אז הם נמצאים בסיכון של ממש להזמין משתמשים לא מורשים לרשת.

אז לא צריכה להיות כמות מוחלטת של הודעות דוא"ל עד כדי כך שהם מסננים הודעות דוא"ל לא ידועות כדי להגיע לאלה שהם צריכים לעשות את העבודה שלהם, אבל צריך שיהיה מספיק שזה בדרך כלל ידוע שמישהו בארגון מציג תוקף ומנסה לגרום לו ללחוץ על הקישור הלא נכון כי יש כבר אנשים מחוץ לארגון שמנסים לגרום לו לעשות זאת .

השאלה הופכת אז מתי מישהו אכן הולך לתכסיס, האם אתה שמח שתפסת אותו במקום שחקן זדוני? כפי שאנשים אחרים הזכירו כאן (ואת @BoredToolBox לא היה צריך להיות מוערך לדעתי) מדובר ב חינוך .

אם אתה מכניס זאת לנוסח השאלה, אני בטוח שזה לא נועד כ"כמה ש חינוך הולך רחוק מדי? " נכון?

מה שכנראה מרחיק לכת מדי ברוב הארגונים הוא התגובה לאנשים שלוחצים ביסודיות, ובמיוחד אם יש בזה היבט ענישה. עליכם להיות שמחים כשאתם אלה שתפסו את הפעולה, מכיוון שזה סיכוי עבורכם לעזור למשתמש להבין מה יכול היה לקרות ולמה אתם מבצעים את התרגיל הזה. אין להעניש אנשים או לבייש אותם.

דמיין שזה היה תרגיל כיצד למנוע ממחלה להפיץ עובד לעובד. נגיף קטלני שישכב רדום עד שימצא מארח מתאים ואז אולי יהרוג את כולם, אבל הם לא יודעים שהוא מופץ על ידי אנשים שנכנסים באקראי לדלת הכניסה ומספקים להם חבילות.

יש לנו מספיק היגיון בריא כדי לדעת לא רק לקבל חבילות מאנשים שנכנסים לבניין, אבל מה שאנשים לא רואים זה שזה בדיוק מה שקורה עם המיילים שלהם. אז מדובר בשינוי בתרבות ובפרספקטיבה, ואני לא ממש רואה איזה חלק מהידע הזה הולך רחוק מדי כשאתה מדבר על חינוך.

מטרת סימולציות הדיוג איננה לגרום לאנשים לחשוד, אלא לתרגל את הנהלים וההתנהגויות הנלמדים בסימולציה בטוחה של התקפה.
נכון ... אבל אם הם עוזבים את הסימולציה הזו מבלי לחשוד במיילים, מה הטעם?הם צריכים להיות חשדניים בכל מה שנראה אחרת, ועיקר האימון הוא לגרום להם להיות כאלה, נכון?
לא. כל העניין שלי.המטרה היא * לא * חשדנות.אני חושש להסביר עוד יהיה פשוט לחזור על התגובה הראשונה שלי.
אני מניח שהשאלה היא אז מה * האם * אתה רוצה שהם יחשבו כשהם יסתכלו בתיבת הדואר הנכנס שלהם אם לא חשד ... אני יודע שאני חשדן בהודעות דוא"ל והעובדה שמשתמשים ישתפו את החשד שלי היא המטרה העיקרית.
BoredToolBox
2019-04-14 22:24:36 UTC
view on stackexchange narkive permalink

התמודד עם משהו דומה וכיום חלק מצוות שמנהל משהו דומה. הנה שני הסנטים שלי:

חינוך הוא מושג מאוד מסובך שכן האופן שבו אנשים לומדים שונה עבור אנשים שונים. אבל מה שראיתי הוא שאם תנסה לתמצת את המידע שאתה רוצה להעביר ב 2-4 נקודות, בכמה שפחות מילים שתמיד עוזרות. אנו עושים דבר כזה כשמדובר בחינוך אנשים:

בכל פעם שאתה מקבל דוא"ל ממישהו מחוץ לארגון, שאל את השאלות הבאות:

  • האם אתה מכיר באופן אישי את מזהה הדוא"ל הזה ?
  • האם מזהה הדוא"ל ושם הדומיין נראים לך דגים?
  • האם אתה באמת רוצה ללחוץ על קישור זה או רוצה למסור לאיש הזה את המידע האישי שלך?

ולבסוף אנחנו תמיד מזכירים את זה:

  • אם אינך בטוח אנא העבר דוא"ל זה אל {email id המאמת את this}@{yourorg}.com

    1. בהחלט. מכיוון שכל מה שהם צריכים לעשות (אני מניח) הוא להתעלם מהדואר האלקטרוני הזה או אולי להעביר אותו לצוות האבטחה הפנימית שלך לבדיקה.

אני מניח שמה שצריך לעשות כאן זה יותר על חינוך. מכיוון שהעובדים צריכים לדעת כיצד פיש מוצלח יכול לא רק לפגוע בחברה אלא גם לעובד.

השאלה היא מתי קמפיין התחזות, לחנך עובדים חוצה את הגבול. אתה עונה על "איך לחנך אותם טוב יותר"
הצביעו כלפי מטה מהסיבה ש- @VipulNair הצהיר
@VipulNair האם "אי היכולת לחנך" האם החינוך הלך רחוק מדי?
והצמרת הצביעה אחת, אומרת את אותו הדבר בדיוק.
Zoltan
2019-04-15 16:58:45 UTC
view on stackexchange narkive permalink

אני לא יודע אם זה חל במקרה שלך או לא, אבל בעיה פוטנציאלית אחת עשויה להיות אם הציפיות שלך לגבי מודעות למשתמש גבוהות מנורמות האבטחה שהופעלו. לדוגמא:

  • אתה יכול לחנך משתמשים לבדוק תמיד את אישורי https, אך יחד עם זאת, אתרי אינטרנט פנימיים מסוימים עשויים להשתמש בתעודות עם חתימה עצמית או שפג תוקפם, או אפילו לדרוש הגשת שמות משתמש וסיסמאות באמצעות http לא מוצפן רגיל.
  • או לחנך משתמשים שכל הכלים הפנימיים הרשמיים נמצאים בתחום החברה שלך, אך במציאות אתה משתמש בשירותי צד ג 'פופולריים כמו Gmail או Slack הקשורים ל- OAuth.

בעוד שהדוגמה הראשונה היא בעיה ממשית עם התשתית, השנייה היא נוהג בטוח בשילוב המלצות מיושנות. ראיתי את שניהם מתרחשים בטבע ובמקרים אלה לא ניתן ליישם את העקרונות שאתה מנסה ללמד בתרגול היומיומי ועלולים להביא בסופו של דבר לבלבול ולאי עמידה.

subs
2019-04-16 02:01:05 UTC
view on stackexchange narkive permalink

אני לא בטוח שגודל הארגון שלך, אבל העצה הכי מעשית שאני יכול להציע היא שאתה יכול ללכת רחוק מדי כשאתה חושב על זה יותר. - צור כמה הודעות דוא"ל מזויפות, שלח אותן למשתמשים, תראה מה משתמשים עושים.

אנו משתמשים בכלי (KnowBe4) - מריצים כמה ניסויים נגד המשתמשים, ומשתמשים בזה בכדי לחנך אותם / להכיר אותם. אנו תופסים מי עבר, מי נכשל ומשתמשים בתהליך הכללי כדי לחנך ולהדגים שאנחנו מחנכים.

אל תחשוב על הקהל באמצעות מיקוד מותאם אישית; אל תעשו ניתוח נתונים מסובך ... אם כן, אתם כנראה מבזבזים זמן שתוכלו להשקיע באתגר הבא.

אם אתה רואה שיש פישינג חנית אצל אנשי המשרה שלך או אנשים מסוימים, התקשר אליהם באופן אישי ולעתים קרובות, ואולי עשה משהו מבצעי כדי לוודא שאם הם שוללים, אתה תופס את זה. על ידי שינוי מבצעי, למשל, אם מישהו מנסה לגרום לסמנכ"ל הכספים שלך לשחרר תשלומים בנקאיים - עדיף שמנהל הכספים יהיה תהליך נוסף של יצרן / בודק, או יקבל אישור משני שאינו דוא"ל (קול?) כי חוט צריך לצאת.

Jay
2019-04-16 18:59:52 UTC
view on stackexchange narkive permalink

נשמע לי שהן עשויות להיות שתי סוגיות כאן:

  1. המשתמשים מתוסכלים מכך שהם מבוצעים באופן קבוע מכיוון שהם נכשלים במבחן שהם רואים כבלתי אפשרי.

  2. המשתמשים מוטרדים מכך ש- IT מבזבז את זמנם במבחנים אינסופיים בעלי ערך מפוקפק.

RE # 1, שם הן שלוש אפשרויות:

ת: אתה דורש דרישות בלתי אפשריות מהמשתמשים שלך. לפחות, בלתי אפשרי במובן שאתה דורש שהם מפגינים רמת תחכום הרבה מעבר למה שניתן לצפות באופן סביר מאנשים שאינם מומחים לביטחון. כדי לסייע לאנלוגיה, אולי זה יהיה סביר לדרוש מכל העובדים להיות מוכנים לבצע עזרה ראשונה בסיסית: לשים תחבושת, לתת למישהו אספירין וכו '. אבל בוודאי לא היית מצפה שכל העובדים יוכלו לבצע ניתוח לב חירום . אם תתחיל לתת להם תרגילי אימון על ניתוחי לב חירום ותפוצץ את העובדים שאינם מסוגלים לתאר בצורה מספקת כיצד הם היו משתילים סטנט או שאינם יכולים לרשום כראוי את כל 182 השלבים בהשתלת לב, ברור שזה לא סביר. הצבת דרישות לא מציאותיות ואחר כך בקבלת עובדים על אי עמידה בהן לא מסכמת דבר מלבד בניית טינה והריגת המורל.

ב ': הציפיות שלך סבירות לחלוטין, והעובדים אינם מאומנים מספיק. אם זה המקרה, התשובה הברורה היא לספק הדרכה. אם מעולם לא סיפקת הכשרה כלשהי, וכעת אתה משווע לעובדים על שלא ידעו משהו שמעולם לא לימדו אותם, אתה שוב לא סביר. יש לזכור שמה ש"ברור "לאיש מקצוע בתחום אבטחת המחשבים אינו בהכרח ברור למישהו ללא רקע כזה. אני בטוח שיש דברים רבים על חשבונאות שברורים לרואי חשבון מקצועיים אבל לא לי, או דברים על תחזוקה אוטומטית שברורים למכונאים מקצועיים וכו '.

ג: הציפיות שלך סבירות לחלוטין, והעובדים עצלנים או חסרי אחריות מכדי להתאמץ. אם זה המקרה, זה נושא ניהול. מישהו צריך לתת לעובדים את התמריץ הראוי לעבוד קשה יותר, שיכול לנוע בין שיחת פפ מעודדת לפיטורי מי שלא עומד בכוח.

RE # 2: כשהייתי בחיל האוויר, כמובן שביטחון היה דאגה מרכזית. היו לנו אנשים שרצו להשמיד את המטוס שלנו ולהרוג אותנו. אך גם במצב קיצוני זה, אנשי הביטחון היו מודעים היטב לכך שלא תמיד אבטחה מחמירה יותר היא הטובה ביותר. הסטנדרט היה שהאבטחה צריכה להיות אפקטיבית ככל האפשר להתמודדות עם סיכונים מציאותיים תוך הפרעה מעט ככל האפשר לאנשים שעושים את עבודתם.

במקרה זה, כמובן שזה דבר רע אם איזשהו האקר עוין תופס סיסמאות וגונב או משחית את הנתונים שלך. זה יכול לעלות לך כסף גדול, אולי אפילו להוציא אותך מהעסק. אך אלא אם כן האיום הוא עצום, אינך יכול לצפות שהעובדים יבזבזו 90% מזמנם כדי להדוף איומים ורק 10% יעשו עבודה שמביאה הכנסה לחברה. זה גם מתכון להפסקה. עליך להיות באיזון סביר בין הגנה מפני איומים ובין אי אפשר לאף אחד לעשות את עבודתו.

BoarGules
2019-04-16 02:16:44 UTC
view on stackexchange narkive permalink

אני חושד שהסימולציה שלך משתמשת בידע אודות היעדים המיועדים שלך שאף פישינג אמיתי לא ידע. לכן הם מתלוננים על הזיופים שלך שקשה מדי להבדיל אותם מהדבר האמיתי. במילה אחת, אתה בוגד .

לא בהכרח, יכולים להיות שחקנים זדוניים בארגון.
אנא עיין במקסימום של שאנון: _ האויב מכיר את המערכת.
אילו דברים יכול "פישינג אמיתי" * לא * לדעת?
הוספת ל- @meowcat, תתפלאו גם כמה מידע תוכלו למצוא באינטרנט על מישהו (משתנה לאדם).
אם שחקן זדוני בתוך המערכת יכול לשלוח לי דוא"ל ש- MS Exchange מבטיח לי שמגיע מהמעסיק שלי, אך זיוף את השולח, כך שנראה שהוא מגיע מהמנהל שלי, אבל לא, אז שום הכשרה לא הולכתתן לי להבחין באמינות בין טוב לרע.אני יכול להקדיש מאמצים לבחינת מיילים מחוץ לארגון כדי לראות אם הם אמינים.אם אני צריך להשקיע את אותו המאמץ על כל מייל פנימי, הקרב כבר אבוד.
היכולת לבדוק את הדוא"ל בכדי לקבוע אם זה משולח לגיטימי היא רק חלק קטן מכלל הכשרות הדיוג.וכפי שרמזתי, "פישינגים אמיתיים" יכולים לדעת די הרבה שרוב האנשים יחשבו שיוכלו להכיר רק מקורב.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 4.0 עליו הוא מופץ.
Loading...