许多公司为其员工设立网络钓鱼测试计划,通常作为合规性要求的一部分,包括持续的员工安全教育。这些计划的目的是培训员工如何发现恶意链接,而不是单击它,并将其转发给相应的响应者,但这些计划中的大多数并没有实现这一点。让我们看看一些常见的陷阱,以及如何绕过它们。
你在惹恼你的员工
网络钓鱼的平均点击率10%到33%之间未经培训的用户数量,取决于您询问的安全供应商。但是测试钓鱼被不分青红皂白地发送给每个人,从那些或多或少已经在做正确事情的人身上带走时间和精力。
虽然组织基线是有用的,而且遵从性可以强制要求一定程度的重复,但在没有任何目标的情况下重复测试所有员工可能会在他们方面造成一定程度的安全盲目性。测试人员通常也缺乏现实世界的策略,因为他们需要同时击中大量的人。
一个更好的解决方案是将不频繁的全员测试作为基准,然后查看失败情况。你有群集吗,它们在哪里?在故障中最常见的工作功能是什么,这与总体安全风险有什么关系?一次又一次的市场营销失败对金融的影响是不同的。
掌握好风险所在后,您就可以开始关注组织中的问题领域,并进行具有挑战性的、更频繁的测试,使用真实世界的策略。虽然全手钓鱼可能是无目标的凭证收割机,但高风险的钓鱼测试可能更像是假供应商向财务部门的特定组发送的恶意发票。
你不包括高管
企业安全测试通常不包括管理人员,这很可能是因为难以接受一些C套件认为深奥的主题。他们也是最有可能进行短信或短信等非信道通信的人群自带设备(BYOD)使用不支持的客户端移动邮件。然而,如果成功被网络钓鱼,高管们会比其他人给公司造成最严重的损失。虽然在底层的单个泄露的凭证对通常是一个可恢复的事件,商务电子邮件妥协(BEC)针对高管已经导致了1.21亿美元在一个事件中损失。
成功地将高管纳入网络钓鱼培训计划将涉及网络钓鱼,而不是罐装网络钓鱼。一个组织良好的网络钓鱼的关键指标是反映在野外发现的战术,所以你的高价值目标需要一个高努力的宣传。确保您的网络钓鱼测试供应商包括一个标记编辑器,用于从头开始构建自定义网络钓鱼,以便您可以根据需要在罐装群发邮件器和激光聚焦网络钓鱼之间切换。
你没有改变你的方法
正如安全人员可能会出现警报疲劳,并开始从他们的工具中丢失重要的警报,非技术人员可能会出现测试疲劳,并开始将威胁与您过多使用的特定钓鱼格式关联起来。最佳做法应包括频繁旋转的俯仰类型和威胁类型;恶意链接、恶意附件和纯粹的诈骗威胁呈现的方式不同,它们有自己的威胁生态系统,保证它们自己的测试格式。
如果您一直在使用测试失败来突出问题区域,那么从这里开始改变您执行测试的方式是很好的。财务部门的故障集群对基于附件的网络钓鱼测试的反应相当好,其中的文本主要围绕支付主题的关键字。鉴于该部门受到的影响也是高风险的,从长期来看,更频繁和更困难的测试会产生更好的结果。关键是,钓鱼测试是组织风险的传感器,应该经常调整准确性。
你没有使用这些数据
好了,您已经选中了遵从性复选框,创建了一个随着时间的推移逐步进入问题区域的测试计划,并且您正在对您的执行执行执行自定义的鱼叉式操作。你可以收工了,对吧?
达到这些目标可以使您比其他公司获得更大的安全优势,但要真正实现安全培训计划的全部优势,您需要开始筛选该计划生成的数据。
一个很好的开始就是看看你失败的地方。它们是平均分布的,还是集中在特定的部门?他们是个体贡献者还是管理者?更重要的是,他们最喜欢点击哪种类型的钓鱼网站?
所有这些问题都可以推动公司高风险领域的识别,以及优先考虑应该首先实施哪些安全控制。与自上而下的命令方法不同,查看模拟攻击的影响可以提供从更广泛的安全改进计划开始的清晰视图。
如果不好玩,你就做错了
最后也是最重要的一点,这应该很有趣。安全人员在过程中注入的创造性和多样性越多,用户意识就会越有效。这不仅仅是延伸到网络钓鱼的多样性——用户报告可以而且应该在组织层面得到承认。
用户可以提交钓鱼广告或首选组织目标。一些网络钓鱼测试供应商甚至包括由部门或经理发布的统计数据,这些数据非常有助于友好竞争。除了“不要那样做”之外,让员工参与进来不仅可以创造更好的安全结果,而且可以在整个公司创造更好的沟通结果。
大多数企业网络钓鱼计划不符合其指定的目标。这样的原因可以包括超重遵守目标,以排除他人,以测试格式的自满,供应商选择使其难以分析来自程序的数据,并且未能为测试提供专用资源。如果组织从复选框转移到风险分析,这些组织转移到其测试程序,这些都会避免这些。
总的来说,将网络钓鱼测试纳入更广泛的网络风险视角,可以提供硬数据,推动安全控制,并增加组织的支持。
评论