L'azienda non desidera alcun nome sui rapporti di phishing

80

Siamo stati recentemente incaricati di eseguire test di phishing per un'azienda. Chiamiamola un'azienda, ma fondamentalmente sono obbligati, per legge, a valutare la sicurezza del loro ambiente con campagne di phishing.

Abbiamo eseguito le nostre prime campagne non molto tempo fa e i risultati sono stati piuttosto negativi. Oltre il 70% dei loro utenti si fidava delle "e-mail dannose" che abbiamo inviato e ha fatto qualunque sia l'e-mail richiesta da loro.

Dopo che era finita, ovviamente avevamo un breve riassunto dei nostri risultati. Per farla breve, non volevano ~ qualsiasi ~ identificatore (e-mail, nome utente, qualunque cosa) di chi è caduto per il phish. Volevano che "X su 300" non riuscisse a identificare l'e-mail. La loro ragione era che non volevano offendere nessuno. (Volevo dire che i sentimenti dei tuoi clienti saranno feriti quando i tuoi dipendenti si innamoreranno di un potenziale attacco e informazioni di perdita) Li ho educatamente accusati di controllare una scatola e di non essere realmente interessata a educare i loro utenti. Non erano molto felici. Dovrei elaborare dicendo che non volevano nemmeno 2 rapporti, uno che mostrava le e-mail e un altro che non le mostrava. L'ho offerto a loro perché almeno loro possono vedere come reagiscono queste persone individuali a diverse campagne straordinarie. Ciò sarebbe di grande aiuto se l'utente "Sam" cliccasse su ogni singolo link di un'e-mail ogni volta nel corso di dieci campagne. Sicuramente vorresti educare Sam in modo diverso rispetto agli altri utenti?

La mia domanda è: non è questo a vanificare lo scopo delle campagne di phishing e migliorare la sicurezza delle informazioni nella tua rete? È normale?

    
posta pm1391 30.01.2018 - 01:53
fonte

8 risposte

152

Questa campagna iniziale ha stabilito prima una linea di base. Quindi, sì, è normale. "Come facciamo noi come azienda? A che livello dobbiamo allenarci? Abbiamo, nel complesso, utenti sicuri o abbiamo, nel complesso, utenti non sicuri?" Questo rapporto stabilisce questo e la misura in cui la gestione deve impegnarsi nella formazione di phishing. Se il tentativo di phishing fosse solo il 5% degli utenti, il focus sulla formazione sarebbe molto diverso. Così com'è, ora la direzione sa che hanno, essenzialmente, un problema a livello aziendale e che una campagna phish ha fondamentalmente una probabilità del 70% di successo.

Ora, quando l'azienda fa un corso di phishing futuro, può confrontare i risultati e determinare se la formazione ha avuto successo. "Inizialmente ci siamo innamorati del 70% delle volte, questa volta ci siamo abbassati per il 68% del tempo, quindi non è andata a buon fine." Oppure "Inizialmente ci siamo innamorati del 70% delle volte e ora ci siamo innamorati del 50% delle volte. Stiamo andando meglio, ma abbiamo bisogno di ulteriore formazione".

    
risposta data 30.01.2018 - 02:01
fonte
130

No, perché dando dei nomi a cui si assegna la colpa, la sicurezza deve allontanarsi dall'incolpare gli individui e invece prenderli come un tutto. È come trovare una vulnerabilità di sicurezza in un sito web: non dovresti incolpare lo sviluppatore, ma dovresti cercare di migliorare l'intero processo.

Gestiamo campagne di phishing e non identifichiamo gli utenti. Ciò che utilizziamo è identificare la debolezza da parte nostra e che dobbiamo addestrare meglio il nostro personale. Non ha senso concentrare questo addestramento su una sola persona.

Dopo una campagna, inviamo un'email a tutto il personale, fornisci le statistiche sugli errori / i successi e poi fornisci suggerimenti per individuare il phishing e come trattare le email in generale.

    
risposta data 30.01.2018 - 03:47
fonte
49

Penso che l'angolo corretto per guardare a questo, è quello di porre la seguente domanda:

Con la quantità di persone che hanno fallito il test, quali obiettivi (di sicurezza) sarebbero stati raggiunti se la compagnia avesse questi nomi?

Direi: nessuno .

Qual è l'obiettivo di sicurezza di un test di phishing a livello aziendale?

Tipicamente in ogni azienda che fa affidamento sull'IT e ha una certa quantità di dipendenti, questi dipendenti sono soggetti a corsi di formazione sulla sicurezza delle informazioni. Questi corsi di formazione riguardano principalmente argomenti di base come la comunicazione via e-mail, la sicurezza del desktop e così via. Quando si esegue un test di phishing, la direzione vuole sapere:

  1. se questi corsi di formazione hanno avuto successo (come in: vale il loro prezzo)
  2. se qualsiasi dato o sistema IT che appartiene alla società può essere compromesso a causa della mancanza di un buon addestramento

Se tu, come loro appaltatore, dici che "il 70% dei tuoi dipendenti non ha superato il test", risponde alle due domande precedenti. Se la direzione richiede nomi in un'azienda con oltre 300 dipendenti, non ottiene più informazioni pertinenti e non sta facendo il proprio lavoro correttamente.

Il prossimo passo è ora, per definire un nuovo obiettivo di sicurezza. Dovrebbe leggere qualcosa del genere:

"Nei prossimi X mesi ogni dipendente deve partecipare a una formazione sulla sicurezza. Entro $ mese di $ anno vogliamo che $ appaltatore effettui un altro test di phishing e la percentuale di persone che non superano questo test dovrebbe essere inferiore al X%."

Questi corsi di formazione sarebbero stati più efficienti in termini di costi, se solo quei dipendenti dovessero partecipare, cosa che non ha superato il test di phishing? Probabilmente.
Ma: li presenti al 30% della società (quelli che non devono andare) come "troppo stupidi per identificare un tentativo di phishing". Ciò che fa al morale supera tutto il costo di un semplice invio di tutti i tuoi dipendenti a un corso di formazione. Inoltre: un altro promemoria per il 30% sulla sicurezza delle informazioni non fa davvero male.
C'è un'altra ragione per cui questa è una buona idea: in genere se esegui un test di phishing, non sai, perché la gente non si è innamorata di esso. Forse alcuni di loro non hanno letto l'e-mail perché erano in vacanza, malati o semplicemente ignorati, perché hanno una casella di posta piena di messaggi più importanti. Nessuno può dirti, se passeranno il test la prossima volta. I dipendenti sono sempre il fattore di rischio numero uno, allenati se puoi.

Un altro punto che voglio menzionare è che finora mancavano le risposte, a seconda di come si comunicano i risultati: la maggior parte delle persone si rende conto di non aver superato tale test .
Devi informare i tuoi dipendenti in un modo o nell'altro e presumo che questo è il modo in cui la maggior parte delle aziende lo fa: invia una e-mail aziendale con uno screenshot della mail di phishing.

"Dear employees, sorry to tell you, but this was a phishing test. There is no free yacht waiting for you. The numbers of people who didn't pass the test were bad, that's why we'll have some security trainings in the near future. A contractor did this for us and we did not collect any personal data, so we do not know who clicked on a link and who didn't. There will be no repercussions. Phishing mails can have really really bad consequences such as... yadda, yadda, yadda..".

Le persone controlleranno la loro posta in arrivo e, se non è troppo tempo fa, ricorda cosa hanno fatto. Questo promuoverà l'accettazione di un allenamento sulla sicurezza e un adattamento del comportamento. Invocare paura e fare pressione sulle persone non va bene.

    
risposta data 30.01.2018 - 15:21
fonte
23

Sembra che ci siano alcuni problemi di comunicazione riguardo allo scopo di questi test.

Utilizzare gli identificatori significa trovare persone responsabili , educarli e / o punirli. Potrebbe essere un parametro esplicito del test che nessuna persona possa essere identificata. In molti paesi europei, il consiglio locale dei lavoratori oi rappresentanti sindacali dovrebbero accettare un test del genere e potrebbero considerarlo come una condizione.

Utilizzare le statistiche significa identificare gli indicatori di rendimento . È possibile misurarli l'uno con l'altro per identificare, ad esempio, se si sta migliorando o se alcune campagne di sensibilizzazione eseguite sono state efficaci. Non hai bisogno di persone identificate per questo e potrebbe anche sfocare i risultati.

Infine, il cliente paga il conto. Tu lavori per loro, quindi mentre dovresti segnalare eventuali preoccupazioni o pensieri professionali che hai, a meno che non vada contro la tua etica personale o professionale (ad esempio gli standard di etica ISACA se sei un membro), fornisci ciò che chiede il cliente.

    
risposta data 30.01.2018 - 13:59
fonte
6

Per rispondere alla tua domanda:

does this not defeat the purpose of phishing campaigns and improving the security of information in your network? Is this even normal?

No. Se il cliente vuole una versione annacquata del risultato della ricerca, è la loro chiamata in definitiva. Ma hai tutti i diritti per offrire il tuo miglior consiglio e dare loro il potere di scelta.

È normale trovarsi di fronte a questi tipi di reazioni dei clienti? Sì, può accadere tutto il tempo e questa potrebbe essere la conseguenza di molte cose. Il cliente potrebbe avere le proprie insicurezze (ad es. Cosa succederebbe se i membri del management venissero catturati, come gestirlo), o potrebbe non voler minimizzare i propri dipendenti, potrebbe non sapere come gestire il proprio addestramento in seguito una volta che il report è pubblico.

Se sono loro a pagarlo, come loro consigliere devi finalmente onorare la loro decisione.

Come nota aggiuntiva, su qualcosa che ho notato :

I politely accused them of checking a box and not actually being interested in educating their users.

Non c'è modo di educare dire quello che hai appena detto. Ma ci sono altri modi per dirlo senza sbagliare. Benvenuti nel mondo della politica. Vedo che la maggior parte delle altre risposte riguarda l'aspetto della sicurezza, quindi desidero coprire l'altro aspetto politico sottile nella mia risposta.

Hai visibilmente molta buona volontà e know-how, e il tuo cliente sembra testardo dal tuo punto di vista per non andare a tutta la lunghezza di quell'esercizio.

Ho trovato che il modo migliore per comunicare qualcosa del genere è usare modi leggermente diversi di dirlo, che promuoveranno la tua causa senza necessariamente infastidire il cliente o far sentire il cliente come se non gli permettessi di chiamare i colpi o tu Lo stiamo criticando e incrociando la strada sbagliata.

Ecco alcuni modi in cui avresti potuto dire che probabilmente avrebbero contribuito a promuovere la tua visione. È tutta politica e può essere studiato separatamente.

  • La maggior parte politicamente corretta (massima diluizione del messaggio): ci perderebbe una grande opportunità se avessimo tralasciato quella parte dell'esercizio. Sei sicuro di voler fare quel signor cliente?
  • Un po 'meno politicamente corretto ma un messaggio meno diluito e che non si avverte ancora: se non andiamo fino in fondo e permettiamo all'addestramento di accadere dove è dovuto, sprecheremo un sacco di energia. Sei sicuro di voler fare quel signor cliente?

In entrambi i casi, ho finito con Are you sure you want to do that Mr. Customer? . Questo è chiamato il potere di scelta, rimettere la scelta nelle loro mani alla fine di ogni tentativo di modificare il loro comportamento o pensiero.

Se non ci riesci e loro ancora non vogliono, lascia che sia. Non avevi comunque l'autorità, tutto quello che puoi fare è consigliargli il meglio che puoi. Ma ancora, in uno scenario diverso, avresti potuto influenzare il pensiero del cliente e farlo a modo tuo. Ma non è sempre il caso.

    
risposta data 30.01.2018 - 15:28
fonte
3

Ho appena finito una campagna del genere (come cliente) e volevo l'assoluto anonimato degli utenti.

C'erano alcuni motivi, tra cui quelli più importanti erano

  • privacy, una questione complicata in alcuni paesi
  • il fatto che avrei inviato una nota globale sulla campagna e i risultati

Il tuo cliente potrebbe aver avuto altri motivi. Hai dato loro l'opportunità di ottenere risultati completi, possibilmente con qualche consiglio. Volevano la versione anonima, la loro scelta.

Nota: mi dispiace per gli errori di battitura (o in realtà - errati completamenti automatici del mio telefono) che hanno reso la mia risposta iniziale piuttosto strana.

    
risposta data 31.01.2018 - 23:13
fonte
1

Capisco perfettamente il tuo desiderio di acquisire questi dati. Quindi anonimizzali. L'idea generale è di prendere un hash MD5 del loro indirizzo email in minuscolo e prendere tutti i bit di risoluzione di cui hai bisogno e lasciarli b7R+ o convertirli in "password AOL" come shave-pen-osram .

Vietato

   John Smith           FAIL
   Frank Frink          FAIL
   Juliana Crain        PASS

Che cosa potresti essere consentito

   Rufus-Castle-Uniform-Enemy    FAIL
   Zion-Lathe-Shoot-Loyal        FAIL
   Flee-Worldly-Variable-Key     PASS

Che cosa è ancora più sicuro

   Bucket Stop-Bad         4/6 failed (66%)
   Bucket Wax-Scissors     5/6 failed (83%)
   Bucket Memory-Egg       4/5 failed (80%)

Ci sono due modi per andare fino all'anonimato, immaginando che i bit n possano contenere il numero di dipendenti (ad es. impiegati = 700 n = 10).

  • Puoi inserire alcuni bit aggiuntivi, come n +6 bit, nel qual caso l'anonimizzazione sarebbe reversibile e il dipendente potrebbe essere esposto: Rufus-Castle-Uniform-Enemy di solito hash out solo a [email protected] ... Gotcha! Potrebbe esserci una seconda email, ma più sono i bit, meno è probabile.
  • Puoi inserire alcuni troppo pochi bit, come n -3 bit, nel qual caso, la sequenza inversa rivelerà Stop-Bad hash verso jsmith, emccarthy , jcrian, tkido, ctagawa, e ffrink, rendendo la retribuzione impraticabile. Questo finisce per creare un gruppo di "secchi", per così dire.
  • puoi salare l'MD5, ma fallisce se il persecutore
    • impara il sale tramite un attacco crittografico a forza bruta
    • ti chiede semplicemente di capovolgerlo
    • rileva lo schema delle attività che sono state registrate e deduce l'utente

Il tuo disaccordo con le loro ragioni è un classico problema workplace.se , ma potrebbero non dirti tutte le loro ragioni *. Indipendentemente da ciò devi rispettare il tuo rapporto per loro.

I metodi che ho fornito qui con l'anonimizzazione consentono di presentare, nel report, i dati di dettaglio che si desidera presentare, rispettando tecnicamente la loro direttiva. Puoi farlo nel n + numero di moduli, che consente loro di tornare indietro ai singoli utenti se lo desiderano, o il modulo con bucket, che non lo fa.

Il bucketing è abbastanza inutile al 70% a meno che non si presenti "Nel bucket 127, 4/6 utenti sono caduti per il phish". Bucketing funziona meglio quando il tasso di successo è 1/3 del numero di bucket o meno, quindi 2 colpi nello stesso bucket sono rari. "In 512 bucket, 90 bucket avevano hit, molto probabilmente 90-95 persone, che è il numero che desideri.

* Come litigator, posso pensare a una persona molto grande. Se fossi in me, eliminerei i dati personalizzati "come una questione di routine". Salvare tutto per sempre è tutto divertimento e giochi finché arriva la citazione.

    
risposta data 30.01.2018 - 22:06
fonte
1

Sono d'accordo che la scelta del cliente impedisce apparentemente qualsiasi opportunità di miglioramento. Tuttavia, c'è un altro modo per migliorare.

Fai sapere a tutti i dipendenti "Non sappiamo chi è caduto per questo e chi no, quindi non possiamo licenziare o premiare nessuno. Tuttavia, facciamo questo test ogni mese e pubblicheremo le percentuali. Se il 70% scende al 20% entro la fine dell'anno, tutti i dipendenti riceveranno un bonus. La dimensione del bonus dipenderà da quanto inferiore a venti. Per aiutarci a raggiungere questo obiettivo, ci sarà un'e-mail settimanale che insegna una tecnica per identificare il phishing. L'anno prossimo, il bonus sarà ogni trimestre, ma l'obiettivo sarà anche inferiore ogni trimestre. "

    
risposta data 31.01.2018 - 03:34
fonte

Leggi altre domande sui tag