Многие компании устанавливают для своих сотрудников программы проверки на фишинг, часто в рамках требований соответствия, предусматривающих постоянное обучение сотрудников по вопросам безопасности.

Целью этих программ является обучение сотрудников тому, как обнаруживать вредоносную ссылку, а не переходить по ней и пересылать ее соответствующему респонденту, но большинство этих программ не обеспечивают этого. Давайте рассмотрим несколько распространенных ошибок и способы их обходить.

 

Вы раздражаете своих сотрудников

Показатели кликабельности на реальном фишинге составляют в среднем от 10 до 33 процентов неподготовленных пользователей, в зависимости от того, какого поставщика средств обеспечения безопасности вы спрашиваете. Но тестовые фишинговые письма рассылаются всем без разбора, отнимая время и силы у тех, кто уже более или менее делает правильные вещи.

И хотя организационный базовый уровень полезен, а соответствие требованиям может требовать определенной степени повторения, повторное тестирование всех сотрудников без какого-либо таргетинга может создать определенную степень слепоты с их стороны. У тестировщика также часто отсутствует реальная тактика из-за необходимости одновременно воздействовать на большое количество людей.

Лучшее решение — проводить нечастые всесторонние тесты в качестве основы, а затем анализировать свои неудачи. У вас есть кластеры, и где они? Какая функция работы наиболее часто встречается в сбоях и как это соотносится с общим риском безопасности? Повторный сбой в маркетинге имеет иные последствия, чем в финансах.

Хорошо понимая, в чем заключается ваш риск, вы можете сосредоточиться на проблемных областях организации с помощью сложных, более частых тестов, в которых используются реальные тактики. В то время как фишинг всей команды может быть нецелевым сборщиком учетных данных, фишинг-тест с высоким риском может больше походить на злонамеренный счет, отправленный поддельным поставщиком избранной группе в финансовом отделе.

 

Вы не включаете руководителей

Руководители часто не участвуют в тестировании безопасности предприятия, скорее всего, из-за трудностей с получением поддержки по теме, которую некоторые топ-менеджеры считают эзотерической. Они также являются частью населения, которое, скорее всего, будет участвовать во внеканальных коммуникациях, таких как SMS или приносить мобильную почту со своего устройства, используя неподдерживаемые клиенты. Однако руководители — в случае успешного фишинга — могут нанести организации одни из самых значительных долларовых убытков, чем кто-либо другой. В то время как одна скомпрометированная пара учетных данных на первом уровне обычно является исправимым инцидентом, компрометация деловой электронной почты (BEC), нацеленная на руководителя, привела к потерям до 121 млн долларов США в результате единичного инцидента.

Успешное включение руководителей в программу обучения фишингу будет связано с целевым фишингом, а не с консервированным фишингом. Ключевым признаком правильно сформированного фишинга является отражение тактики, встречающейся в дикой природе, поэтому ваши ценные цели требуют больших усилий. Убедитесь, что ваш поставщик фишинг-тестов включает в себя редактор разметки для создания пользовательских фишинговых файлов с нуля, чтобы вы могли при необходимости переключаться между стандартным массовым почтовым ящиком и узкоспециализированным фишингом.

 

Вы не меняете свой подход

Подобно тому, как сотрудники службы безопасности могут устать от предупреждений и начать пропускать важные сигналы тревоги от своих инструментов, нетехнический персонал может устать от тестов и начать связывать угрозы с одним конкретным фишинг-форматом, который вы слишком часто используете. Лучшая практика должна включать частую смену типа подачи и типа угрозы; злонамеренные ссылки, вредоносные вложения и чисто мошеннические угрозы представлены по-разному и имеют свои собственные экосистемы угроз, которые требуют собственных форматов тестирования.

Если вы использовали неудачные тесты, чтобы выделить проблемные области, это отличное место, чтобы начать варьировать, как вы проводите тесты. Кластер отказов в финансовом отделе достаточно хорошо отреагирует на фишинг-тесты на основе вложений, при этом основной текст будет сфокусирован на ключевых словах, связанных с платежами. Учитывая, что воздействие взлома на этот отдел также будет сопряжено с высоким риском, более частые и более сложные тесты дают лучшие результаты в долгосрочной перспективе. Ключевым моментом является то, что фишинг-тесты являются датчиками организационного риска и должны часто настраиваться на точность.

 

Вы не используете данные

Итак, вы установили флажок «Соответствие требованиям», создали график тестирования, который со временем проникает в ваши проблемные области, и вы запускаете специальные меры против своих руководителей. Вы можете на этом закончить, не так ли?

Попадание в эти отметки может дать вам большое преимущество в безопасности по сравнению с другими компаниями, но чтобы действительно реализовать все преимущества программы обучения безопасности, вам необходимо начать анализ данных, которые генерирует программа.

Отличное место для начала — это посмотреть, в чем заключаются ваши неудачи. Распределены ли они равномерно или объединяются в отдельные отделы? Это относится к индивидуальным участникам или к руководству? Что еще более важно, на какие типы фишинга они нажимают чаще всего?

Все эти вопросы могут помочь в выявлении областей повышенного риска в компании, а также в определении приоритетов, какие меры безопасности следует внедрить в первую очередь. Вместо подхода с использованием команд сверху вниз рассмотрение воздействия смоделированной атаки может дать четкое представление о том, с чего начать более широкую программу улучшения безопасности.

 

Если это не весело, значит, вы делаете это неправильно

Последнее и самое главное — это должно быть весело. Чем больше творчества и разнообразия привнесут в процесс сотрудники службы безопасности, тем эффективнее будет осведомленность пользователей. И это касается не только фишинга — репорты пользователей могут и должны признаваться на уровне организации.

Пользователи могут отправлять фишинговые сообщения или предпочтительные цели организации. Некоторые поставщики фишинг-тестов даже включают статистику по отделам или менеджерам, которая очень хорошо подходит для дружественной конкуренции. Вовлечение сотрудников помимо принципа «Не делай этого» не только улучшает безопасность, но и способствует лучшему общению во всей компании.

Большинство корпоративных фишинговых программ не соответствуют заявленным целям. Причины этого могут включать в себя преувеличение целей соответствия для исключения других, самоуспокоенность в формате тестирования, выбор поставщика, затрудняющий анализ данных из программы, и неспособность выделить ресурсы для тестирования. Этого в значительной степени можно избежать, если организация сместит акцент в своих программах тестирования с флажка на анализ рисков.

В целом, если использовать фишинг-тестирование для более широкого взгляда на киберриски, можно получить достоверные данные, которые помогут управлять безопасностью и повысить заинтересованность организации.

 

Оригинал материала

3 ноября, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.02.2025
Британия хочет заглянуть за все облака. Вообще за все
10.02.2025
АБР направила регулятору вопросы и предложения для обсуждения на ежегодной встрече с руководством ЦБ
10.02.2025
АМТ-ГРУП стала первым Платиновым партнёром ФЛАТ в России
07.02.2025
В открытый доступ попали учётные данные для 15 тыс. устройств FortiGate
07.02.2025
Во встрече с регулятором примут участие руководители Банка России, министерств и ведомств
07.02.2025
Таиланд применил свой главный антифрод-приём — «рубильник»
07.02.2025
Роскомнадзор отчитался о блокировке неверифицированных «симок»
07.02.2025
VK кладёт в портфолио SIEM-решение
07.02.2025
Минобрнауки и «Газпромбанк» расставляют приоритеты
06.02.2025
Минцифры выдаст гражданам «тревожные кнопки»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных