Simulovaný phishing
Simulovaný phishing nepochybně zlepšuje schopnost uživatelů rozpoznávat phishing, bohužel zpravidla jen ten generický, takže spear phishing zůstane nadále nerozpoznán.
Můžeme se však chlácholit tím, že drtivá většina reálných phishing útoků je spíše plošná a nedochází při nich ke zneužívání zeroday zranitelností.
Je tomu tak proto, že zranitelnosti nultého dne a exploity vedoucí ke stažení škodlivého kódu již při pouhé návštěvě stránky nebo kliknutí na přílohu jsou drahé a útočník nechce, aby byly záhy po spuštění útoku odhaleny bezpečnostními řešeními.
A tak jsou i v rámci spear phishing kampaní ve většině případů zneužívány spíše dlouho známé zranitelnosti a techniky sociálního inženýrství, kdy ani žádná technická zranitelnost zneužívána být nemusí, protože oběť např. své přihlašovací údaje útočníkovi odevzdá dobrovolně sama.
Pokud přijmete za svou myšlenku, že odolnost zaměstnanců vůči phishingu je třeba budovat dlouhodobě, a rozhodli jste se do této oblasti investovat, tak byste to měli dělat pořádně. A můžete se inspirovat závěry a doporučeními předních expertů na tuto problematiku, které jsou následující:
- S každým reportovaným e-mailem se organizace stává odolnější, zaveďte proto reportovací tlačítko, ať vám zaměstnanci mohou phishing nahlásit a poskytněte jim nějakou zpětnou vazbu.
- Simulovaný phishing musí být cílen na celou organizaci, tj. ústředí, pobočky, zaměstnance i management.
- Simulovaný phishing by neměl být veden na všechny zaměstnance ve stejný čas, protože jinak hrozí, že se zaměstnanci budou vzájemně varovat a failure rate bude nesmyslně nízký a success rate zase vysoký.
- Pro dosažení požadované úrovně a schopnosti odhalit phishing je třeba, aby zaměstnanec za rok vyhodnotil až několik desítek simulovaných phishing e-mailů.
- Simulovaný phishing by se měl inspirovat reálně probíhajícími phishingovými kampaněmi.
- V rámci simulovaných phishing kampaní vyhodnocujte odpovídající metriky, kromě failure rate i success rate a miss rate. Pozor, může klesat failure rate, ale růst miss rate.
- Využijte gamifikaci, přidělujte zaměstnancům body a ukazujte jim, jaké úrovně ve vyhodnocování phishingu dosáhli, a aby se mohli nadále zlepšovat, tak jim předkládejte postupně phishing stále náročnější na odhalení.
Abyste zvýšili odolnost vaší organizace vůči phishingu, tak potřebujete poměrně komplexní řešení, umožňující sledovat progres každého zaměstnance zvlášť. Jedině tak bude zajištěno, že nepošlete na detekci obtížný phishingový e-mail zaměstnanci, který zatím žádným školením neprošel a již proškolenému, který již několik phishing e-mailů reportoval zase nějaký snadno odhalitelný.
Experti dále upozorňují, že špatně nastavená security awareness kampaň a nesprávně vedený simulovaný phishing ve výsledku vede k reportingu veškerých e-mailů, které zaměstnanci vyhodnotí jako SPAM (nevyžádané obchodní nabídky, newslettery, zprávy z interních systémů apod.) Ale druhým dechem dodávají, že je to tak lepší. (Better safe then sorry.)
Otázka tak je, zda a kolik investovat do simulovaného phishingu, když reálné zkušenosti velkých hráčů ukazují, že se prakticky nemůžeme dostat pod 1% failure rate a v případě skutečného phishingu je failure rate dokonce ještě o pár procentních bodů vyšší. Jaké úrovně odolnosti a s jakými náklady bychom se měli snažit dosáhnout, a kdy už další investice nemají smysl?
Poznámka: success rate – reportoval phishing e-mail; failure rate – spustil přílohu, kliknul na odkaz, vyplnil formulář; miss rate – neudělal nic.
Štítky: phishing
K článku “Simulovaný phishing” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.