Αξιολόγηση του Traliant για Προσομοιώσεις Smishing; Τι Πρέπει να Συγκρίνουν οι Ομάδες Ασφαλείας Πριν την Αγορά
Ένα πρακτικό checklist για την αξιολόγηση της Traliant ή οποιουδήποτε προμηθευτή ευαισθητοποίησης για ασφαλείς προσομοιώσεις phishing μέσω SMS, προσαρμοσμένα σενάρια, αναφορές, προστασία ιδιωτικότητας και αποδείξεις έτοιμες για έλεγχο.

Εάν η ομάδα σας αξιολογεί το Traliant για προσομοιώσεις smishing, ξεκινήστε με ένα στενό ερώτημα: μπορεί η πλατφόρμα να βοηθήσει να εκπαιδεύσετε με ασφάλεια τους εργαζομένους σας για phishing μέσω μηνυμάτων κειμένου, επανειλημμένα και με αποδεικτικά στοιχεία που μπορείτε να εξηγήσετε στα ενδιαφερόμενα μέρη της ασφάλειας και της συμμόρφωσης;
Αυτό είναι διαφορετικό από το να ρωτάτε αν ένας προμηθευτής προσφέρει γενική εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια ή προσομοιώσεις phishing μέσω email. Το smishing προσθέτει επιχειρησιακά ερωτήματα γύρω από τηλεφωνικούς αριθμούς, συναίνεση, παράδοση μηνυμάτων, προσαρμοσμένα σενάρια κειμένου, την ιδιωτικότητα των εργαζομένων και το τι συμβαίνει όταν κάποιος αναφέρει ένα ύποπτο SMS. Μια καλή διαδικασία αγοράς ελέγχει αυτές τις λεπτομέρειες πριν από ένα πιλοτικό πρόγραμμα, όχι μετά την προμήθεια.
Αυτό το άρθρο είναι μόνο αμυντικό. Δεν περιλαμβάνει πρότυπα smishing, τακτικές παράδοσης, βήματα συλλογής διαπιστευτηρίων, καθοδήγηση παράκαμψης ή οδηγίες για τη διεξαγωγή μη εξουσιοδοτημένων εκστρατειών.
Γιατί το smishing αξίζει το δικό του checklist προμηθευτή
Το smishing δεν είναι απλώς phishing σε μικρότερη οθόνη. Τα μηνύματα SMS και τύπου chat συνήθως έχουν λιγότερο ορατό συμφραζόμενο από το email: χωρίς πλήρεις κεφαλίδες, λιγότερα οπτικά στοιχεία, πιο σύντομο κείμενο και ισχυρή τάση για γρήγορη δράση.
Αυτό αλλάζει τι χρειάζεται να εξασκήσουν οι εργαζόμενοι. Πρέπει να επιβραδύνουν, να επαληθεύουν αιτήματα μέσω αξιόπιστων καναλιών, να αποφεύγουν να πατούν απροσδόκητους συνδέσμους και να αναφέρουν ύποπτα μηνύματα ακόμη και όταν το μήνυμα φτάνει εκτός του inbox.
Η καθοδήγηση υψηλού κύρους κινείται στην ίδια κατεύθυνση. Το CISA περιγράφει το smishing ως κοινωνική μηχανική μέσω μηνυμάτων κειμένου και δίνει έμφαση στην αναγνώριση και την αναφορά ως μέρος της ευρύτερης άμυνας απέναντι στο phishing: Avoiding Social Engineering and Phishing Attacks.
Για τις ομάδες ασφαλείας, αυτό σημαίνει ότι μια πλατφόρμα προσομοίωσης smishing πρέπει να αξιολογείται σε περισσότερα από την ποιότητα του περιεχομένου. Πρέπει να υποστηρίζει ένα ασφαλές λειτουργικό μοντέλο:
- ελεγχόμενα σενάρια
- σαφείς εγκρίσεις
- χωρίς πραγματική συλλογή διαπιστευτηρίων ή κωδικών MFA
- απλές διαδρομές αναφοράς
- αναλυτικά στοιχεία με επίγνωση της ιδιωτικότητας
- παρακολούθηση που βελτιώνει τη συμπεριφορά
- αποδεικτικά στοιχεία ότι το πρόγραμμα εκτελέστηκε όπως εγκρίθηκε
Αν το τρέχον πρόγραμμά σας είναι κυρίως εστιασμένο στο email, ο οδηγός του AutoPhish για πολιτικές phishing σε κινητά για SMS, WhatsApp και QR είναι ένα χρήσιμο σημείο εκκίνησης πριν συγκρίνετε προμηθευτές.
Τι πρέπει να επαληθεύσουν πρώτα οι αγοραστές του Traliant
Οι δημόσιες σελίδες προμηθευτών μπορούν να σας πουν αν μια εταιρεία τοποθετείται γύρω από την ευαισθητοποίηση στην κυβερνοασφάλεια και τις προσομοιώσεις phishing. Σπάνια απαντούν σε κάθε επιχειρησιακό ερώτημα που χρειάζεται να έχει απαντηθεί μια ομάδα ασφαλείας.
Τα δημόσια υλικά του Traliant περιγράφουν εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια και υπηρεσίες προσομοίωσης phishing, συμπεριλαμβανομένης της εκπαίδευσης εργαζομένων και της γλώσσας για πρακτική προσομοίωση. Αν το Traliant βρίσκεται στη βραχεία λίστα σας, χρησιμοποιήστε το ως αφετηρία και έπειτα επαληθεύστε το ακριβές εύρος smishing με τον προμηθευτή. Το ερώτημα αγοράς δεν είναι «αναφέρει η σελίδα το phishing;». Το ερώτημα αγοράς είναι «μπορεί αυτό να τρέξει με ασφάλεια το πρόγραμμά μας για εκπαίδευση με επίγνωση SMS;»
Ζητήστε γραπτή απάντηση σε αυτά τα σημεία:
- Υποστηρίζει η πλατφόρμα προσομοίωση SMS ή μηνύματος κειμένου ως βασικό κανάλι;
- Μπορείτε να τρέξετε προσαρμοσμένα σενάρια μηνυμάτων κειμένου χωρίς επικίνδυνο ρεαλισμό;
- Αποθηκεύονται, επεξεργάζονται και διατηρούνται οι τηλεφωνικοί αριθμοί με τρόπο που να γίνεται αποδεκτός από τους ενδιαφερόμενους για την ιδιωτικότητα;
- Μπορούν οι εργαζόμενοι να αναφέρουν ένα ύποπτο smishing από κινητές συσκευές χωρίς τριβές;
- Μπορεί η πλατφόρμα να διακρίνει αποτελέσματα παράδοσης, κλικ, αναφοράς και εκπαίδευσης;
- Ποια μέτρα προστασίας αποτρέπουν τη συλλογή πραγματικών διαπιστευτηρίων, πληρωμών ή κωδικών MFA;
- Μπορούν οι διαχειριστές να ελέγχουν και να εγκρίνουν σενάρια πριν από την εκκίνηση;
- Μπορούν οι αναφορές να εξαχθούν για ηγεσία, έλεγχο ή διαβεβαίωση πελατών;
Η απάντηση μπορεί να είναι «ναι», «εν μέρει», «μέσω διαχειριζόμενης υπηρεσίας» ή «δεν υποστηρίζεται». Οποιοδήποτε από αυτά μπορεί να είναι αποδεκτό, ανάλογα με τις ανάγκες σας. Αυτό που δεν είναι αποδεκτό είναι να ανακαλύψετε τους περιορισμούς αφού έχετε ήδη υποσχεθεί ένα πολυκαναλικό πρόγραμμα ευαισθητοποίησης.
Προσαρμοσμένα σενάρια μηνυμάτων κειμένου: χρήσιμα, αλλά εύκολα να χρησιμοποιηθούν λάθος
Πολλές ομάδες αναζητούν προσομοιωτές smishing επειδή θέλουν προσαρμοσμένα σενάρια μηνυμάτων κειμένου. Αυτό βγάζει νόημα: τα γενικά παραδείγματα SMS συχνά μοιάζουν άσχετα.
Τα προσαρμοσμένα σενάρια μπορούν να βοηθήσουν τους εργαζομένους να εξασκηθούν σε ρεαλιστικές αποφάσεις όπως:
- επαλήθευση ενός απρόσμενου μηνύματος HR ή μισθοδοσίας
- έλεγχος ειδοποίησης παράδοσης ή διαχείρισης επισκεπτών μέσω γνωστής εφαρμογής
- κλιμάκωση αιτήματος αλλαγής πληρωμής
- αναφορά ύποπτου συνδέσμου που στάλθηκε σε εταιρικό κινητό
- επιβράδυνση όταν ένα μήνυμα δημιουργεί αίσθηση επείγοντος εκτός της κανονικής ροής εργασίας
Η ασφαλής εκδοχή της προσαρμοσμένης εκπαίδευσης smishing δεν ζητά από τους εργαζομένους να εισαγάγουν πραγματικούς κωδικούς πρόσβασης, να εγκρίνουν προτροπές MFA, να μοιραστούν προσωπικά δεδομένα ή να αλληλεπιδράσουν με ζωντανές υπηρεσίες που μοιάζουν με άλλες. Ο στόχος είναι η αναγνώριση, η επαλήθευση και η συμπεριφορά αναφοράς.
Όταν αξιολογείτε το Traliant ή άλλον πάροχο, ρωτήστε πώς διέπονται τα προσαρμοσμένα σενάρια:
- Ποιος μπορεί να δημιουργεί ή να επεξεργάζεται σενάρια μηνυμάτων κειμένου;
- Υπάρχει ροή έγκρισης πριν από την εκκίνηση;
- Αποκλείονται ή επισημαίνονται τα θέματα υψηλού κινδύνου;
- Μπορείτε να κάνετε προεπισκόπηση της εμπειρίας σε κινητό πριν από την αποστολή;
- Μπορούν τα σενάρια να τοπικοποιηθούν χωρίς να χαθούν οι δικλείδες ασφαλείας;
- Μπορούν τα τμήματα υψηλού κινδύνου να λαμβάνουν διαφορετική εκπαίδευση χωρίς δημόσιο διασυρμό;
Αν ο προμηθευτής κάνει την προσαρμογή εύκολη αλλά τη διακυβέρνηση ασαφή, η πλατφόρμα μπορεί να δημιουργήσει περισσότερο εσωτερικό κίνδυνο από αυτόν που αφαιρεί.
Η αναφορά έχει μεγαλύτερη σημασία από το ποσοστό κλικ
Τα προγράμματα smishing μπορούν να γίνουν παραπλανητικά αν το dashboard επιβραβεύει μόνο τα χαμηλά ποσοστά κλικ. Ένα χαμηλότερο ποσοστό κλικ μπορεί να σημαίνει ότι οι εργαζόμενοι βελτιώθηκαν. Μπορεί επίσης να σημαίνει ότι η παράδοση απέτυχε, το μήνυμα φάνηκε προφανώς ψεύτικο ή οι άνθρωποι δεν ήξεραν πώς να το αναφέρουν.
Καλύτερη αναφορά θα πρέπει να δείχνει:
- κατάσταση παράδοσης και αποτυχίας παράδοσης όπου είναι διαθέσιμη
- ποσοστό αναφοράς
- χρόνο έως την αναφορά
- τάσεις επαναλαμβανόμενης έκθεσης
- ολοκλήρωση παρακολούθησης εκπαίδευσης
- τάσεις ανά ρόλο ή τμήμα όπου ενδείκνυται
- ανωνυμοποιημένες ή συγκεντρωτικές προβολές για περιβάλλοντα ευαίσθητα στην ιδιωτικότητα
- εξαγώγιμα αποδεικτικά στοιχεία για τον χρόνο της εκστρατείας, τις εγκρίσεις και τα αποτελέσματα
Για ευρύτερο σχεδιασμό αναφορών, συγκρίνετε τις ίδιες βασικές αρχές που θα χρησιμοποιούσατε για προσομοιώσεις email: δεδομένα τάσεων, αποδεικτικά ελέγχου και ροές αποκατάστασης. Ο οδηγός του AutoPhish για τα phishing simulation reporting features καλύπτει πιο αναλυτικά τις μετρικές και το μοντέλο αποδεικτικών στοιχείων.
Ερωτήματα ιδιωτικότητας και συναίνεσης για εκπαίδευση SMS
Οι προσομοιώσεις smishing αγγίζουν δεδομένα που τα προγράμματα email ίσως να μην αγγίζουν: κινητά νούμερα, συμφραζόμενα συσκευής, μεταδεδομένα παράδοσης μηνυμάτων και μερικές φορές προσωπικά τηλέφωνα σε περιβάλλοντα bring-your-own-device.
Αυτό καθιστά την ανασκόπηση ιδιωτικότητας μέρος της επιλογής προμηθευτή.
Πριν επιλέξετε πλατφόρμα προσομοίωσης smishing, ορίστε:
- αν θα χρησιμοποιήσετε εταιρικά τηλέφωνα, προσωπικά τηλέφωνα ή μόνο ομάδες πιλοτικού προγράμματος με opt-in
- ποια ειδοποίηση εργαζομένων απαιτείται πριν από εκπαίδευση μέσω SMS
- ποιος μπορεί να έχει πρόσβαση σε αποτελέσματα σε ατομικό επίπεδο
- για πόσο διάστημα διατηρούνται οι τηλεφωνικοί αριθμοί και τα συμβάντα εκστρατείας
- αν τα αποτελέσματα πρέπει να είναι ανωνυμοποιημένα ή συγκεντρωτικά για ορισμένα ακροατήρια
- πώς πρέπει να εμπλέκονται το HR, το νομικό τμήμα, τα εργατικά συμβούλια ή οι εκπρόσωποι εργαζομένων
Μην αφήσετε το σύνολο λειτουργιών ενός προμηθευτή να υπαγορεύσει το μοντέλο διακυβέρνησής σας. Αποφασίστε πρώτα τα όριά σας και μετά επιλέξτε μια πλατφόρμα που μπορεί να λειτουργήσει μέσα σε αυτά.
Διαχειριζόμενη υπηρεσία ή πλατφόρμα αυτοεξυπηρέτησης;
Ορισμένοι αγοραστές θέλουν μια διαχειριζόμενη υπηρεσία προσομοίωσης smishing επειδή η εσωτερική ομάδα ασφαλείας δεν έχει χρόνο να σχεδιάσει, να εκκινήσει και να αξιολογήσει εκστρατείες. Άλλοι χρειάζονται έλεγχο αυτοεξυπηρέτησης επειδή ήδη διαθέτουν ώριμο πρόγραμμα ευαισθητοποίησης.
Κανένα μοντέλο δεν είναι αυτόματα καλύτερο.
Ένα διαχειριζόμενο μοντέλο μπορεί να βοηθήσει αν χρειάζεστε:
- βοήθεια στον σχεδιασμό ασφαλών σεναρίων
- υποστήριξη στον προγραμματισμό εκστρατειών
- ανασκόπηση αποτελεσμάτων και επόμενων βημάτων
- μικρότερο διοικητικό φόρτο
- δομημένο πιλοτικό πρόγραμμα
Ένα μοντέλο αυτοεξυπηρέτησης μπορεί να βοηθήσει αν χρειάζεστε:
- γρήγορη επανάληψη σεναρίων
- εσωτερικές ροές έγκρισης
- ενσωμάτωση με υπάρχουσες λειτουργίες ευαισθητοποίησης
- συνεπή αναφορά σε email, SMS, QR και voice
- περισσότερο έλεγχο στην τμηματοποίηση και στις ρυθμίσεις ιδιωτικότητας
Για πολλές ομάδες ασφαλείας, η καλύτερη απάντηση δεν είναι «διαχειριζόμενο ή αυτοεξυπηρέτησης». Είναι «αρκετά διαχειριζόμενο κατά την ανάπτυξη, αρκετά ελέγξιμο μετά το πιλοτικό».
Ερωτήσεις που πρέπει να κάνετε πριν από ένα πιλοτικό πρόγραμμα Traliant
Χρησιμοποιήστε το πιλοτικό πρόγραμμα για να δοκιμάσετε το λειτουργικό μοντέλο, όχι μόνο το περιεχόμενο της demo.
Ρωτήστε:
- Ποια κανάλια smishing υποστηρίζονται απευθείας και ποια απαιτούν υπηρεσίες ή ενσωματώσεις;
- Μπορούμε να τρέξουμε ένα μικρό πιλοτικό πρόγραμμα χωρίς να εισαγάγουμε περιττά δεδομένα εργαζομένων;
- Μπορεί κάθε σενάριο να ελεγχθεί πριν από την εκκίνηση;
- Πώς προστατεύονται, διατηρούνται και διαγράφονται οι τηλεφωνικοί αριθμοί;
- Μπορούν οι εργαζόμενοι να αναφέρουν ένα ύποπτο SMS από κινητό σε ένα ή δύο βήματα;
- Τι συμβαίνει αμέσως μετά από μια αλληλεπίδραση εργαζομένου με μια προσομοίωση;
- Μπορεί να ανατεθεί αυτόματα η παρακολούθηση εκπαίδευσης χωρίς δημόσιο διασυρμό;
- Μπορούν οι αναφορές να διαχωρίζουν τα προβλήματα παράδοσης από τη συμπεριφορά των χρηστών;
- Μπορούν τα αποτελέσματα να συγκεντρώνονται για τη διοίκηση ενώ περιορίζεται η ατομική πρόσβαση;
- Ποια αποδεικτικά στοιχεία μπορούμε να εξαγάγουμε για εσωτερική ανασκόπηση ή υποστήριξη ελέγχου;
Το πιο χρήσιμο αποτέλεσμα ενός πιλοτικού προγράμματος δεν είναι ένα εντυπωσιακό γράφημα ποσοστού κλικ. Είναι μια καθαρή απάντηση στο αν το πρόγραμμα μπορεί να εκτελείται με ασφάλεια κάθε μήνα χωρίς να μπερδεύει τους εργαζομένους, να ενοχλεί τους ενδιαφερόμενους για την ιδιωτικότητα ή να υπερφορτώνει τους διαχειριστές.
Πού εντάσσεται το AutoPhish
Το AutoPhish έχει σχεδιαστεί για ομάδες ασφαλείας που θέλουν οι προσομοιώσεις phishing και η εκπαίδευση ευαισθητοποίησης να λειτουργούν ως επαναλαμβανόμενο πρόγραμμα ασφάλειας, όχι ως κόλπο μιας χρήσης. Αυτό σημαίνει εστίαση σε ελεγχόμενα σενάρια, αυτοματοποιημένη παρακολούθηση, αναφορές, σχεδιασμό με επίγνωση της ιδιωτικότητας και αποδεικτικά στοιχεία που μπορεί να κατανοήσει η διοίκηση.
Αν συγκρίνετε το Traliant, παρόχους διαχειριζόμενης ευαισθητοποίησης ή πλατφόρμες προσομοίωσης phishing πολλαπλών καναλιών, χρησιμοποιήστε το ίδιο πρότυπο: η πλατφόρμα πρέπει να μειώνει την επιχειρησιακή προσπάθεια ενώ βελτιώνει την ποιότητα της εκπαίδευσης και τη διακυβέρνηση.
Για ομάδες που θέλουν αυτοματοποιημένη παρακολούθηση μετά από προσομοιώσεις, δείτε πώς θα πρέπει να λειτουργούν στην πράξη οι phishing simulations with automated user feedback.
FAQ
Προσφέρει το Traliant προσομοιώσεις smishing;
Το Traliant περιγράφει δημόσια υπηρεσίες εκπαίδευσης ευαισθητοποίησης στην κυβερνοασφάλεια και προσομοίωσης phishing, αλλά οι αγοραστές θα πρέπει να επαληθεύσουν το ακριβές εύρος προσομοίωσης SMS ή smishing απευθείας με τον προμηθευτή. Ρωτήστε αν τα σενάρια SMS είναι εγγενή, διαχειριζόμενα, ενσωματωμένα μέσω άλλου παρόχου ή αν δεν αποτελούν μέρος της τρέχουσας προσφοράς.
Τι πρέπει να μετρά μια πλατφόρμα προσομοίωσης smishing;
Τουλάχιστον, μετρήστε την ποιότητα παράδοσης, το ποσοστό αναφοράς, τον χρόνο έως την αναφορά, το ποσοστό αλληλεπίδρασης, την ολοκλήρωση της παρακολούθησης εκπαίδευσης και τις τάσεις με την πάροδο του χρόνου. Το ποσοστό κλικ από μόνο του είναι πολύ εύκολο να παρερμηνευθεί.
Είναι ασφαλή τα προσαρμοσμένα σενάρια μηνυμάτων κειμένου για εκπαίδευση ευαισθητοποίησης;
Μπορούν να είναι, αν διέπονται σωστά. Τα ασφαλή σενάρια θα πρέπει να αποφεύγουν την πραγματική συλλογή διαπιστευτηρίων, αιτήματα για κωδικούς MFA, δεδομένα πληρωμών, συλλογή προσωπικών δεδομένων ή ζωντανά συστήματα που μοιάζουν με άλλα. Ο στόχος είναι να εκπαιδευτεί η συμπεριφορά επαλήθευσης και αναφοράς.
Μπορούν οι προσομοιώσεις smishing να υποστηρίξουν αποδεικτικά συμμόρφωσης;
Μπορούν να υποστηρίξουν αποδείξεις ότι η δραστηριότητα ευαισθητοποίησης είναι σχεδιασμένη, επαναλαμβανόμενη, μετρήσιμη και αναθεωρημένη. Δεν καθιστούν έναν οργανισμό συμμορφωμένο από μόνες τους. Κρατήστε τους ισχυρισμούς στενούς και ευθυγραμμίστε τα αποδεικτικά στοιχεία με το εσωτερικό σας πλαίσιο ελέγχου.
Θα πρέπει οι ομάδες ασφαλείας να εκτελούν δοκιμές smishing σε προσωπικά τηλέφωνα;
Μόνο αφού επιλυθούν τα ζητήματα ιδιωτικότητας, νομικής, HR και εκπροσώπησης εργαζομένων. Πολλές ομάδες ξεκινούν με εταιρικά τηλέφωνα, πιλοτικά προγράμματα opt-in ή προγράμματα που στηρίζονται σε πολιτική πριν επεκτείνουν το πεδίο.
Θέλετε έναν ασφαλέστερο τρόπο να συγκρίνετε πλατφόρμες προσομοίωσης phishing και smishing;
Το AutoPhish βοηθά τις ομάδες να τρέχουν αμυντικές προσομοιώσεις phishing, να αυτοματοποιούν την παρακολούθηση εκπαίδευσης και να παράγουν αναφορές χωρίς να μετατρέπουν την ευαισθητοποίηση σε παιχνίδι επίρριψης ευθυνών. Αν χτίζετε ένα ασφαλέστερο πρόγραμμα για email, SMS, QR ή σενάρια βάσει ρόλου, μπορείτε να Sign Up και να ξεκινήσετε με ένα ελεγχόμενο πιλοτικό πρόγραμμα.