Έλεγχος phishing έναντι προσομοίωσης phishing: Τι πρέπει να ελέγχουν ξεχωριστά οι ομάδες ασφάλειας
Χρησιμοποιήστε σαρώσεις για να ελέγξετε τα τεχνικά κενά ασφαλείας, προσομοιώσεις για να βελτιώσετε την ετοιμότητα των υπαλλήλων και ροές εργασίας αναφοράς για να κλείσετε τον κύκλο χωρίς να αποδυναμώσετε τους ελέγχους ασφαλείας.
Πηγή εικόνας εξωφύλλου: Dan Nelson, ελεύθερη χρήση βάσει της Άδειας Unsplash, μέσω του Unsplash.
Μια σάρωση phishing και μια προσομοίωση phishing απαντούν σε διαφορετικά ερωτήματα. Μια σάρωση εξετάζει την τεχνική κατάσταση ή ύποπτο περιεχόμενο. Μια προσομοίωση μετρά πώς οι εργαζόμενοι αναγνωρίζουν, αναφέρουν και μαθαίνουν από ελεγχόμενα σενάρια τύπου phishing. Οι ομάδες ασφάλειας χρειάζονται και τα δύο, αλλά δεν πρέπει να τα αντιμετωπίζουν ως εναλλάξιμα.
Αυτή η διάκριση έχει σημασία όταν οι αγοραστές συγκρίνουν ένα εργαλείο προσομοίωσης phishing, μια διαχειριζόμενη υπηρεσία προσομοίωσης phishing ή μια ευρύτερη πλατφόρμα εκπαίδευσης ευαισθητοποίησης. Εάν ένας προμηθευτής μιλά για «προστασία από το phishing» χωρίς να διαχωρίζει τις σαρώσεις, τις προσομοιώσεις, την αναφορά και τη διόρθωση, γίνεται δύσκολο να γνωρίζουμε τι ακριβώς δοκιμάζεται.
Ο παρών οδηγός έχει αποκλειστικά αμυντικό χαρακτήρα. Δεν περιλαμβάνει πρότυπα phishing, τακτικές παράκαμψης, συλλογή διαπιστευτηρίων, ανάπτυξη ωφέλιμου φορτίου ή οδηγίες για τη διεξαγωγή πραγματικών επιθέσεων.
Τι μπορεί και τι δεν μπορεί να σας δείξει μια σάρωση phishing
Μια σάρωση phishing είναι συνήθως ένας τεχνικός έλεγχος. Ανάλογα με το εργαλείο, μπορεί να ελέγχει URL, τομείς, κεφαλίδες μηνυμάτων, συνημμένα, εγγραφές DNS, ενδείξεις πλαστοπροσωπίας εμπορικών σημάτων ή ύποπτο περιεχόμενο email. Βοηθά τις ομάδες ασφάλειας και πληροφορικής να εντοπίζουν κινδύνους πριν, κατά τη διάρκεια ή μετά την άφιξη ενός ύποπτου μηνύματος στον οργανισμό.
Χρήσιμα αποτελέσματα της σάρωσης περιλαμβάνουν:
- αν μια αναφερόμενη διεύθυνση URL ή ένας τομέας είναι ήδη γνωστός ως ύποπτος
- αν υπάρχουν και είναι συμβατά τα αρχεία πιστοποίησης του αποστολέα
- αν ένα μήνυμα παρουσιάζει ανωμαλίες στις κεφαλίδες που αξίζει να διερευνηθούν
- αν ένας τομέας μοιάζει με μια αξιόπιστη μάρκα ή προμηθευτή
- αν ένα ύποπτο αρχείο ή ένας σύνδεσμος απαιτεί αναφορά σε ανώτερο επίπεδο
Για τις ομάδες που προετοιμάζουν ένα πρόγραμμα προσομοίωσης phishing, οι σαρώσεις είναι χρήσιμες επειδή καθορίζουν το τεχνικό πλαίσιο. Ο έλεγχος ασφάλειας DNS του AutoPhish είναι ένα παράδειγμα ελέγχου ετοιμότητας που βοηθά τις ομάδες να κατανοήσουν την κατάσταση της πιστοποίησης ηλεκτρονικού ταχυδρομείου πριν ερμηνεύσουν τα αποτελέσματα της προσομοίωσης.
Ωστόσο, οι σαρώσεις δεν αποδεικνύουν ότι οι εργαζόμενοι είναι έτοιμοι. Μια «καθαρή» σάρωση δεν δείχνει αν οι εργαζόμενοι γνωρίζουν πώς να αναφέρουν ύποπτα μηνύματα, αν οι διευθυντές υποστηρίζουν το πρόγραμμα ευαισθητοποίησης ή αν η εκπαίδευση αλλάζει τη συμπεριφορά με την πάροδο του χρόνου. Σας λέει μόνο τι εξέτασε το εργαλείο σάρωσης.
Τι έχει σχεδιαστεί να μετρά μια προσομοίωση phishing
Μια προσομοίωση phishing είναι μια ελεγχόμενη άσκηση ευαισθητοποίησης. Ο σκοπός δεν είναι να ξεγελάσουμε τους ανθρώπους για πλάκα. Ο σκοπός είναι να δημιουργηθεί μια ασφαλής στιγμή όπου οι εργαζόμενοι μπορούν να εξασκηθούν στην αναγνώριση, την αναφορά και τις συνήθειες αποκατάστασης πριν ένα πραγματικό περιστατικό αναλάβει να τους διδάξει.
Μια καλά οργανωμένη προσομοίωση phishing θα πρέπει να μετρά:
- αν οι εργαζόμενοι εντοπίζουν ύποπτα στοιχεία
- αν αναφέρουν ύποπτα μηνύματα μέσω του σωστού καναλιού
- πόσο γρήγορα οι αναφορές φτάνουν στο τμήμα πληροφορικής ή ασφάλειας
- αν οι επικίνδυνες αλληλεπιδράσεις μειώνονται με την επανάληψη των εκστρατειών
- αν η επακόλουθη εκπαίδευση είναι σχετική με τη συμπεριφορά που παρατηρήθηκε
- αν η διοίκηση μπορεί να εξετάζει τις τάσεις χωρίς να εκθέτει περιττά προσωπικά δεδομένα
Ο Οδηγός Χρήστη της Κλίμακας Phish του NIST αποτελεί χρήσιμη αναφορά, καθώς πλαισιώνει τα αποτελέσματα της ευαισθητοποίησης σχετικά με το phishing με βάση τη δυσκολία ανίχνευσης και το πλαίσιο, και όχι μόνο τα ακατέργαστα ποσοστά κλικ. Αυτή είναι η σωστή νοοτροπία: τα αποτελέσματα των προσομοιώσεων χρειάζονται ερμηνεία.
Αν συγκρίνετε πλατφόρμες, η πλατφόρμα εκπαίδευσης της AutoPhish βασίζεται σε ασφαλείς προσομοιώσεις, εκπαίδευση ευαισθητοποίησης, αναφορές και αποδεικτικά στοιχεία, και όχι σε επιθετικά εργαλεία.
Γιατί οι ομάδες ασφάλειας πρέπει να διαχωρίζουν τις σαρώσεις από τις προσομοιώσεις
Το πιο συνηθισμένο λάθος είναι να αντιμετωπίζεται ο ένας έλεγχος ως απόδειξη του άλλου. Μια σάρωση phishing μπορεί να υποστηρίξει ένα πρόγραμμα προσομοίωσης, αλλά δεν μπορεί να το αντικαταστήσει. Μια προσομοίωση μπορεί να αποκαλύψει μοτίβα συμπεριφοράς, αλλά δεν πρέπει να χρησιμοποιείται ως υποκατάστατο της τεχνικής παρακολούθησης, της ασφάλειας ηλεκτρονικού ταχυδρομείου ή της υγιεινής των domain.
Διαχωρίστε τις κατηγορίες στα έγγραφα σχεδιασμού:
| Τομέας | Κύριο ερώτημα | Τυπικός υπεύθυνος | Αποδεικτικά στοιχεία που παράγονται |
|---|---|---|---|
| Σάρωση για phishing | Ποιος τεχνικός κίνδυνος ή ύποπτο στοιχείο υπάρχει; | Τμήμα πληροφορικής, λειτουργίες ασφάλειας, ασφάλεια ηλεκτρονικού ταχυδρομείου | Αποτελέσματα σάρωσης, κατάσταση DNS/αυθεντικοποίησης, σημειώσεις διαλογής |
| Προσομοίωση phishing | Πώς ανταποκρίνονται οι εργαζόμενοι σε ελεγχόμενα σενάρια; | Ευαισθητοποίηση σε θέματα ασφάλειας, ΤΠ, γραφείο CISO | Περίληψη καμπάνιας, ποσοστό αναφορών, ολοκλήρωση εκπαίδευσης, δεδομένα τάσεων |
| Ροή εργασιών αναφοράς | Μπορούν τα ύποπτα μηνύματα να φτάσουν γρήγορα στην κατάλληλη ομάδα; | ΤΠ, SOC, helpdesk, ασφάλεια | Χρονοσημάνσεις αναφορών, αρχεία καταγραφής δρομολόγησης, σημειώσεις ανταπόκρισης |
| Διόρθωση | Τι συμβαίνει μετά από επικίνδυνη συμπεριφορά ή πραγματικές αναφορές; | Ασφάλεια, διευθυντές, υπεύθυνος εκπαίδευσης | Αρχεία καθοδήγησης, ανατεθείσα εκπαίδευση, βελτιώσεις διαδικασιών |
Αυτός ο διαχωρισμός βοηθά επίσης στις συζητήσεις σχετικά με τη συμμόρφωση. Μια προσομοίωση phishing μπορεί να υποστηρίξει τα αποδεικτικά στοιχεία ευαισθητοποίησης σε θέματα ασφάλειας, αλλά από μόνη της δεν ικανοποιεί ως εκ θαύματος ένα πρότυπο. Μια σάρωση μπορεί να υποστηρίξει την τεχνική δέουσα επιμέλεια, αλλά δεν αποδεικνύει την αποτελεσματικότητα της εκπαίδευσης. Διατηρήστε τις δηλώσεις ακριβείς.
Πού εντάσσεται η αναφορά από τους υπαλλήλους
Η αναφορά από τους υπαλλήλους αποτελεί τη γέφυρα μεταξύ σαρώσεων και προσομοιώσεων. Ένας χρήστης βλέπει ένα μήνυμα, το αναφέρει και η διαδικασία ασφάλειας αποφασίζει τι θα συμβεί στη συνέχεια. Αυτή η ροή εργασιών είναι χρήσιμη τόσο για προσομοιωμένα όσο και για πραγματικά ύποπτα μηνύματα.
Στις προσομοιώσεις, η αναφορά δείχνει αν οι εργαζόμενοι γνωρίζουν τι πρέπει να κάνουν. Στα πραγματικά ύποπτα μηνύματα, η αναφορά δίνει στις ομάδες ασφάλειας την ευκαιρία να τα ταξινομήσουν έγκαιρα. Όσον αφορά τη συμμόρφωση και την ηγεσία, οι τάσεις στις αναφορές δείχνουν αν ο οργανισμός αναπτύσσει πιο υγιή αντανακλαστικά ασφάλειας.
Οι αποτελεσματικές ροές εργασίας αναφοράς συνήθως περιλαμβάνουν:
- ένα απλό κουμπί αναφοράς ή ένα γραμματοκιβώτιο που παρακολουθείται σαφώς
- δρομολόγηση που διαχωρίζει τις αναφορές προσομοίωσης από τα πραγματικά ύποπτα μηνύματα
- ανατροφοδότηση που ενημερώνει τους υπαλλήλους πότε η αναφορά ήταν χρήσιμη
- χρονικές σημάνσεις για ανάλυση του χρόνου που απαιτείται για την αναφορά
- αναφορές τάσεων ανά ομάδα, περιοχή ή ρόλο, όπου είναι κατάλληλο
- κανόνες προστασίας προσωπικών δεδομένων σχετικά με το ποιος μπορεί να δει λεπτομέρειες σε ατομικό επίπεδο
Εάν διαθέτετε ήδη ένα κανάλι αναφοράς, οι προσομοιώσεις θα πρέπει να το ενισχύσουν. Εάν οι εργαζόμενοι πρέπει να μάθουν μια νέα διαδικασία μόνο για σκοπούς εκπαίδευσης, η άσκηση μπορεί να βελτιώσει τη βαθμολογία της δοκιμής χωρίς να βελτιώσει τη συμπεριφορά σε περίπτωση πραγματικού συμβάντος.
Λίστα ελέγχου αγοραστή: τι να ρωτήσετε τους προμηθευτές
Κατά την αξιολόγηση μιας υπηρεσίας ή ενός εργαλείου προσομοίωσης phishing, ρωτήστε πώς το προϊόν διαχειρίζεται το όριο μεταξύ σάρωσης, προσομοίωσης, αναφοράς και αποκατάστασης.
Χρησιμοποιήστε αυτές τις ερωτήσεις στις επιδείξεις:
- Η πλατφόρμα διαχωρίζει σαφώς τους τεχνικούς ελέγχους από τα αποτελέσματα των προσομοιώσεων των εργαζομένων;
- Μπορούμε να τεκμηριώσουμε την ετοιμότητα του DNS και της επαλήθευσης ταυτότητας μέσω email πριν από τις εκστρατείες;
- Μπορούν οι εργαζόμενοι να αναφέρουν προσομοιωμένα και πραγματικά ύποπτα μηνύματα μέσω της ίδιας οικείας ροής εργασίας;
- Μπορούν οι αναφορές προσομοίωσης να διαχωριστούν από τις πραγματικές αναφορές στους πίνακες ελέγχου και στις εξαγωγές δεδομένων;
- Η πλατφόρμα μετρά το ποσοστό αναφοράς και τον χρόνο μέχρι την αναφορά, και όχι μόνο τα κλικ;
- Μπορεί να ανατεθεί επιμορφωτική εκπαίδευση χωρίς να εκτίθενται περιττά προσωπικά δεδομένα;
- Καταγράφονται οι εγκρίσεις εκστρατειών, οι εξαγωγές δεδομένων και οι αλλαγές από τους διαχειριστές;
- Μπορούν οι αναφορές προς τη διοίκηση να παρουσιάζουν τάσεις χωρίς να μετατρέπουν την ευαισθητοποίηση σε δημόσια ταπείνωση;
- Αποφεύγει ο προμηθευτής να μας ζητήσει να αποδυναμώσουμε τους ελέγχους ασφάλειας του ηλεκτρονικού ταχυδρομείου για τις προσομοιώσεις;
- Μπορούμε να εξάγουμε αποδεικτικά στοιχεία για εσωτερικές ανασκοπήσεις, ελέγχους ή ενημερώσεις προς το διοικητικό συμβούλιο;
Το καλύτερο λογισμικό προσομοίωσης phishing δεν θα αφήνει ασαφείς απαντήσεις. Θα καθιστά σαφές τι ελέγχει, τι δεν ελέγχει και πώς πρέπει να ερμηνεύεται κάθε αποτέλεσμα.
Ένα ασφαλές μοντέλο λειτουργίας
Ένα πρακτικό μοντέλο λειτουργίας χωρίζει την εργασία σε τέσσερα επαναλαμβανόμενα στάδια.
Πρώτον, εκτελέστε ελέγχους τεχνικής ετοιμότητας. Επιβεβαιώστε τους τομείς, την πιστοποίηση αποστολέα, τις διαδρομές αναφοράς και τις εγκρίσεις των ενδιαφερομένων πριν από την έναρξη της εκστρατείας. Χρησιμοποιήστε σαρώσεις για να τεκμηριώσετε την τεχνική βάση αναφοράς.
Δεύτερον, εκτελέστε μια ελεγχόμενη προσομοίωση. Διατηρήστε τα σενάρια συναφή αλλά ασφαλή. Αποφύγετε τη συλλογή διαπιστευτηρίων, την κατάχρηση πραγματικών εμπορικών σημάτων, ευαίσθητα προσωπικά θέματα ή οτιδήποτε που εκπαιδεύει τους υπαλλήλους να μην εμπιστεύονται τις νόμιμες εσωτερικές διαδικασίες.
Τρίτον, εξετάστε τις αναφορές και τη συμπεριφορά των υπαλλήλων. Κοιτάξτε πέρα από τα ποσοστά κλικ. Το ποσοστό αναφοράς, ο χρόνος μέχρι την αναφορά, η επαναλαμβανόμενη έκθεση, η ολοκλήρωση της εκπαίδευσης και η βελτίωση σε επίπεδο ομάδας συνήθως παρέχουν πιο χρήσιμες πληροφορίες.
Τέταρτον, βελτιώστε τη διαδικασία. Ενημερώστε την εκπαίδευση, τις οδηγίες αναφοράς, τη δρομολόγηση στο helpdesk, τις ενημερώσεις των διευθυντών και τη διακυβέρνηση της εκστρατείας. Ο στόχος είναι ένα καλύτερο αντανακλαστικό ασφάλειας, όχι μια θεαματική εκστρατεία.
Το AutoPhish μπορεί να βοηθήσει τις ομάδες να διεξάγουν ασφαλείς προσομοιώσεις phishing, να συνδέσουν την εκπαίδευση ευαισθητοποίησης με τα αποτελέσματα των αναφορών και να διατηρήσουν τα αποδεικτικά στοιχεία χρησιμοποιήσιμα για ελέγχους ασφάλειας και συμμόρφωσης. Για να ξεκινήσετε τη δημιουργία ενός ασφαλέστερου προγράμματος, Εγγραφείτε.
Συχνές Ερωτήσεις
Είναι η σάρωση phishing το ίδιο με μια προσομοίωση phishing;
Όχι. Μια σάρωση phishing ελέγχει τεχνικά στοιχεία όπως τομείς, λεπτομέρειες μηνυμάτων, διευθύνσεις URL, εγγραφές DNS ή ύποπτα στοιχεία. Μια προσομοίωση phishing είναι μια ελεγχόμενη άσκηση ευαισθητοποίησης των εργαζομένων που μετρά την αναγνώριση, την αναφορά και τη μάθηση που ακολουθεί.
Χρειαζόμαστε σαρώσεις πριν από τη διεξαγωγή προσομοιώσεων phishing;
Συνήθως, ναι. Οι σαρώσεις και οι έλεγχοι ετοιμότητας βοηθούν τις ομάδες ασφάλειας να κατανοήσουν την κατάσταση της επαλήθευσης ταυτότητας των email, τη διαμόρφωση των domain και τις διαδρομές αναφοράς πριν από την ερμηνεία των αποτελεσμάτων της εκστρατείας. Δεν αντικαθιστούν την προσομοίωση, αλλά μειώνουν την αποφεύξιμη σύγχυση.
Πρέπει οι προσομοιώσεις phishing να παρακάμπτουν τα εργαλεία ασφάλειας ηλεκτρονικού ταχυδρομείου;
Όχι. Ένα ασφαλές πρόγραμμα προσομοίωσης phishing πρέπει να λειτουργεί σε συνδυασμό με το σύνολο των μέτρων ασφάλειας, και όχι να διδάσκει στις ομάδες πώς να το αποδυναμώνουν. Εάν μια εκστρατεία απαιτεί ειδική διαχείριση, καταγράψτε τον λόγο, το πεδίο εφαρμογής, την έγκριση και το σχέδιο επαναφοράς.
Ποιος δείκτης έχει τη μεγαλύτερη σημασία στις προσομοιώσεις phishing;
Δεν υπάρχει ένας μοναδικός τέλειος δείκτης. Το ποσοστό κλικ μπορεί να είναι χρήσιμο, αλλά το ποσοστό αναφοράς, ο χρόνος μέχρι την αναφορά, η επαναλαμβανόμενη συμπεριφορά, η ολοκλήρωση της εκπαίδευσης και η βελτίωση σε επίπεδο ομάδας συνήθως παρέχουν στις ομάδες ασφάλειας μια πληρέστερη εικόνα.
Μπορούν οι προσομοιώσεις phishing να χρησιμεύσουν ως αποδεικτικά στοιχεία συμμόρφωσης;
Μπορούν να χρησιμεύσουν ως αποδεικτικά στοιχεία ευαισθητοποίησης και εκπαίδευσης, όταν είναι τεκμηριωμένες, επαναλήψιμες, σέβονται την ιδιωτικότητα και ερμηνεύονται με ακρίβεια. Δεν πρέπει να παρουσιάζονται από μόνες τους ως ολοκληρωμένη λύση συμμόρφωσης.