web-dev-qa-db-fra.com

La société ne veut aucun nom sur les rapports de phishing

Nous avons récemment été mandatés pour exécuter des tests de phishing pour une entreprise. Appelons cela une entreprise mais, fondamentalement, ils sont obligés, par la loi, d'évaluer la sécurité de leur environnement avec des campagnes de phishing.

Nous avons mené nos premières campagnes il n'y a pas si longtemps et les résultats étaient plutôt mauvais. Plus de 70% de leurs utilisateurs ont fait confiance aux "e-mails malveillants" que nous avons envoyés et ont fait tout ce que l'e-mail leur demandait.

Après la fin, nous avons bien sûr eu un bref mémoire détaillant nos résultats. Pour faire court, ils ne voulaient ~ aucun ~ identifiants (e-mail, nom d'utilisateur, etc.) de ceux qui ont craqué pour le phishing. Ils voulaient que "X sur 300" n'identifie pas l'e-mail. Leur raison était qu'ils ne voulaient offenser personne. (Je voulais dire que les sentiments de vos clients seront blessés lorsque vos employés tomberont sous le coup d'une attaque potentielle et de fuites d'informations). Ils n'étaient pas très contents. Je devrais élaborer en disant qu'ils ne voulaient même pas 2 rapports, l'un montrant les courriels et l'autre ne les montrant pas. Je leur ai offert parce qu'au moins, ils peuvent voir comment ces personnes individuelles réagissent aux différentes campagnes au fil du temps. Cela aiderait absolument si l'utilisateur "Sam" clique sur chaque lien dans un e-mail à chaque fois au cours de dix campagnes. Vous voudriez sûrement éduquer Sam différemment des autres utilisateurs?

Ma question est la suivante: cela ne va-t-il pas à l'encontre de l'objectif des campagnes de phishing et de l'amélioration de la sécurité des informations sur votre réseau? Est-ce même normal?

78
pm1391

Cette campagne initiale a d'abord établi une base de référence. Alors, oui, c'est normal. "Comment nous positionnons-nous en tant qu'entreprise? À quel niveau devons-nous nous former? Avons-nous, dans l'ensemble, des utilisateurs sécurisés ou avons-nous, dans l'ensemble, des utilisateurs non sécurisés?" Ce rapport établit cela et la mesure dans laquelle la direction doit s'engager dans une formation sur le phishing. Si seulement 5% des utilisateurs tombaient sous le coup de l'hameçonnage, l'objectif de la formation serait très différent. Dans l'état actuel des choses, la direction sait maintenant qu'elle a, essentiellement, un problème à l'échelle de l'entreprise et qu'une campagne de phishing a essentiellement 70% de chances de réussir.

Désormais, lorsque l'entreprise organise une future formation sur le phishing, elle peut comparer les résultats et déterminer si la formation a réussi. "Nous avons d'abord chuté pour elle 70% du temps. Cette fois, nous sommes tombés pour elle 68% du temps. Ce n'était donc pas un succès." Ou "Nous avons d'abord chuté pour elle 70% du temps et maintenant nous sommes tombés pour elle 50% du temps. Nous faisons mieux, mais avons besoin de formation supplémentaire."

152
baldPrussian

Non, car en donnant des noms à qui vous attribuez le blâme, la sécurité doit s'éloigner de blâmer les individus et plutôt la considérer comme un tout. C'est la même chose que de trouver une vulnérabilité de sécurité dans un site Web: vous ne devriez pas blâmer le développeur mais plutôt chercher à améliorer l'ensemble du processus.

Nous menons des campagnes de phishing et n'identifions pas les utilisateurs. Nous l'utilisons pour identifier les faiblesses de notre part et pour mieux former notre personnel. Il est inutile de concentrer cette formation sur une seule personne.

Après une campagne, nous envoyons un e-mail à tout le personnel, fournissons les statistiques des échecs/succès, puis fournissons des conseils pour repérer le phishing et comment traiter les e-mails en général.

128
McMatty

Je pense que l'angle correct pour regarder cela, est de poser la question suivante:

Avec le nombre de personnes qui ont échoué au test, quels objectifs (de sécurité) seraient atteints si l'entreprise avait ces noms?

Je dirais: aucun.


Quel est l'objectif de sécurité d'un test de phishing à l'échelle de l'entreprise?

Généralement, dans chaque entreprise qui s'appuie sur l'informatique et compte un certain nombre d'employés, ces employés sont soumis à des formations en sécurité de l'information. Ces formations couvrent principalement des sujets de base comme la communication par e-mail, la sécurité des postes de travail, etc. Lors de l'exécution d'un test de phishing, la direction souhaite savoir:

  1. si ces formations ont réussi (comme: valent leur argent)
  2. si des données ou un système informatique appartenant à l'entreprise peuvent être compromis en raison d'un manque de bonne formation

Si vous, leur entrepreneur, leur dites "70% de vos employés ont échoué au test", cela répond aux deux questions ci-dessus. Si la direction demande des noms dans une entreprise de plus de 300 employés, elle n'obtient plus d'informations pertinentes et ne fait pas son travail correctement.

La prochaine étape consiste maintenant à définir un nouvel objectif de sécurité. Il devrait lire quelque chose comme ceci:

"Au cours des X prochains mois, chaque employé devra participer à une formation sur la sécurité. D'ici $ mois de $ année, nous voulons que $ entrepreneur effectue un autre test de phishing et le pourcentage de personnes qui échouent à ce test devrait être inférieur à X%.

Ces formations seraient-elles plus rentables, si seulement ces employés devaient participer, qui ont échoué au test de phishing? Probablement.
Mais: vous les présentez à 30% de l'entreprise (celles qui ne doivent pas y aller) comme "trop ​​stupides pour identifier une tentative de phishing". Ce que cela fait au moral l'emporte sur tous les coûts de l'envoi de tous vos employés à une formation. Aussi: Un autre rappel pour les 30% sur la sécurité des informations ne fait pas vraiment mal.
Il y a une autre raison pour laquelle c'est une bonne idée: généralement, si vous exécutez un test de phishing, vous ne savez pas pourquoi les gens ne sont pas tombés dans le piège. Peut-être que certains d'entre eux n'ont pas lu l'e-mail parce qu'ils étaient en vacances, malades ou simplement l'ont sauté, car ils ont une boîte de réception pleine de mails plus importants. Personne ne peut vous dire s'ils réussiront le test la prochaine fois. Les employés sont toujours votre facteur de risque numéro un, formez-les si vous le pouvez.

Un autre point que je tiens à mentionner qui a été omis jusqu'à présent dans les autres réponses est que, selon la façon dont vous communiquez les résultats: la plupart des gens sauront eux-mêmes qu'ils ont échoué à ce test .
Vous devez informer vos employés d'une manière ou d'une autre et je suppose que c'est ainsi que la plupart des entreprises procèdent: Envoyez un e-mail à l'échelle de l'entreprise avec une capture d'écran du courrier de phishing.

"Chers employés, désolé de vous le dire, mais c'était un test de phishing. Il n'y a pas de yacht gratuit qui vous attend. Le nombre de personnes qui n'ont pas réussi le test était mauvais, c'est pourquoi nous aurons des formations de sécurité dans le dans un avenir proche. Un entrepreneur l'a fait pour nous et nous n'avons collecté aucune donnée personnelle, nous ne savons donc pas qui a cliqué sur un lien et qui ne l'a pas fait. Il n'y aura aucune répercussion. ... yadda, yadda, yadda .. ".

Les gens vérifieront leur boîte de réception et si ce n'est pas trop longtemps, rappelez-vous ce qu'ils ont fait. This stimulera l'acceptation vers une formation à la sécurité et un ajustement du comportement. Invoquer la peur et faire pression sur les gens ne sert à rien.

49
Tom K.

Il semble y avoir une mauvaise communication quant à l'objectif de ces tests.

Utiliser des identifiants signifie trouver personnes responsables, pour les éduquer et/ou les punir. Il peut s'agir d'un paramètre explicite du test qu'aucune personne ne peut être identifiée. Dans de nombreux pays européens, le conseil local des travailleurs ou les représentants des syndicats devraient accepter un tel test et pourraient le mettre comme condition.

Utiliser des statistiques signifie identifier les indicateurs de performance. Vous pouvez les mesurer les uns par rapport aux autres pour identifier, par exemple, si vous vous améliorez ou si une campagne de sensibilisation que vous avez menée était efficace. Vous n'avez pas besoin de personnes identifiées pour cela et cela pourrait même brouiller les résultats.

Enfin, le client paie la facture. Vous travaillez pour eux, alors même si vous devez signaler toutes les préoccupations ou pensées professionnelles que vous avez, à moins que cela ne soit contraire à votre éthique personnelle ou professionnelle (par exemple les normes d'éthique ISACA si vous êtes membre), vous livrez ce que le client demande.

22
Tom

Pour répondre à ta question:

cela ne va-t-il pas à l'encontre de l'objectif des campagnes de phishing et de l'amélioration de la sécurité des informations sur votre réseau? Est-ce même normal?

Non. Si le client veut une version édulcorée du résultat de la recherche, c'est finalement son appel. Mais vous avez tous les droits pour offrir vos meilleurs conseils et leur donner le pouvoir de choisir.

Est-il normal d'être confronté à ce type de réactions clients? Oui, cela peut arriver tout le temps, et cela pourrait être la conséquence de beaucoup de choses. Le client peut avoir ses propres insécurités (par exemple, que se passe-t-il si des membres de la direction sont pris, comment gérer cela), ou peut-être ne veut pas ternir ses employés, peut-être ne sait pas comment gérer sa formation par la suite une fois que le rapport est public.

Si ce sont eux qui le paient, en tant que conseiller, vous devez enfin honorer leur décision.

Comme note supplémentaire, à propos de quelque chose que j'ai remarqué:

Je les ai poliment accusés de cocher une case et de ne pas être réellement intéressés à éduquer leurs utilisateurs.

Il n'y a aucun moyen de dire poliment ce que vous venez de dire. Mais il y a d'autres façons de le dire sans se tromper. Bienvenue dans le monde de la politique. Je vois que la plupart des autres réponses couvraient l'aspect sécurité, je souhaite donc couvrir l'autre aspect politique subtil dans ma réponse.

Vous avez visiblement beaucoup de bonne volonté et de savoir-faire, et votre client semble têtu de votre point de vue de ne pas avoir suivi toute la durée de cet exercice.

J'ai trouvé que la meilleure façon de communiquer quelque chose comme ça est d'utiliser des manières légèrement différentes de le dire, qui feront la promotion de votre cause sans nécessairement ennuyer le client ou donner l'impression au client que vous ne le laissez pas appeler les coups de feu ou que vous critiquez lui et venir dans le mauvais sens.

Voici quelques façons dont vous auriez pu le dire qui auraient probablement aidé à promouvoir votre vision. C'est toute la politique et peut être étudié séparément.

  • Manière la plus politiquement correcte (dilution maximale du message): nous manquerions une excellente occasion si nous omettions cette partie de l'exercice. Êtes-vous sûr de vouloir faire cela, monsieur le client?
  • Un peu moins politiquement correct mais un message moins dilué et qui ne passe toujours pas: si nous n'allons pas à fond et si nous permettons à la formation de se dérouler là où elle est due, nous gaspillerions beaucoup d'énergie. Êtes-vous sûr de vouloir faire cela, monsieur le client?

Remarquez dans les deux cas, j'ai fini avec Are you sure you want to do that Mr. Customer?. C'est ce qu'on appelle le pouvoir du choix, remettre le choix entre leurs mains à la fin de toute tentative de modifier leur comportement ou leur pensée.

Si vous ne réussissez pas et qu'ils ne veulent toujours pas, que ce soit. Vous n'aviez pas l'autorité de toute façon, tout ce que vous pouvez faire est de les conseiller du mieux que vous pouvez. Mais encore, dans un scénario différent, vous auriez pu affecter la pensée du client et l'avoir à votre guise. Mais ce n'est pas toujours le cas.

6
Wadih M.

Je viens de terminer une telle campagne (en tant que client) et je voulais un anonymat absolu des utilisateurs.

Il y avait plusieurs raisons, parmi lesquelles les plus importantes étaient

  • la vie privée, une question compliquée dans certains pays
  • le fait que j'enverrais une note globale sur la campagne et les résultats

Votre client peut avoir d'autres raisons. Vous leur avez donné la possibilité d'obtenir des résultats complets, éventuellement avec quelques conseils. Ils voulaient la version anonyme, leur choix.

Remarque: désolé pour les fautes de frappe (ou en fait - mauvaises saisies automatiques par mon téléphone) qui ont rendu ma réponse initiale assez étrange.

3
WoJ

Je comprends parfaitement votre désir de capturer ces données. Alors anonymisez-les. L'idée générale est de prendre un hachage MD5 de leur adresse e-mail en minuscules, de récupérer autant de bits de résolution que nécessaire et de les laisser b7R+ ou convertir en "mots de passe AOL" comme shave-pen-osram.

Interdit

   John Smith           FAIL
   Frank Frink          FAIL
   Juliana Crain        PASS

Ce que vous pourriez être autorisé

   Rufus-Castle-Uniform-Enemy    FAIL
   Zion-Lathe-Shoot-Loyal        FAIL
   Flee-Worldly-Variable-Key     PASS

Quoi de plus sûr

   Bucket Stop-Bad         4/6 failed (66%)
   Bucket Wax-Scissors     5/6 failed (83%)
   Bucket Memory-Egg       4/5 failed (80%)

Il y a deux façons d'aller jusqu'à l'anonymat, en imaginant que les bits n peuvent contenir le nombre d'employés (par exemple employés = 700 n = 10).

  • Vous pouvez aller quelques bits supplémentaires, comme n + 6 bits, auquel cas l'anonymisation serait réversible et l'employé pourrait être exposé: Rufus-Castle-Uniform-Enemy généralement hashs seulement à [email protected] ... Gotcha! Il pourrait y avoir un deuxième email , mais plus il y a de bits, moins il est probable.
  • Vous pouvez aller quelques trop peu bits, comme n - 3 bits, auquel cas, la marche arrière révélera Stop-Bad hash to jsmith, emccarthy, jcrian, tkido, ctagawa, and ffrink, rendant la rétribution impraticable. Cela finit par créer un groupe de "seaux" pour ainsi dire.
  • vous pouvez saler le MD5, mais cela échoue si le persécuteur
    • apprend le sel via une attaque cryptographique à force brute
    • vous commande simplement de le retourner
    • note le modèle d'activités qui a été enregistré et en déduit l'utilisateur

Votre désaccord avec leurs raisons est un problème classique lieu de travail.se , mais ils peuvent ne pas vous dire toutes leurs raisons *. Quoi qu'il en soit, vous devez vous y conformer dans votre rapport.

Les méthodes d'anonymisation que j'ai fournies ici vous permettent de présenter, dans votre rapport, les données détaillées que vous souhaitez présenter, tout en respectant techniquement leur directive. Vous pouvez le faire sous la forme n + many, ce qui leur permet de revenir en arrière à des utilisateurs individuels s'ils le souhaitent vraiment - ou la forme compartimentée, qui ne le fait pas.

Le bucketing est assez inutile à 70% sauf si vous présentez "Dans le bucket 127, 4/6 utilisateurs sont tombés pour le phishing". Le regroupement fonctionne mieux lorsque le taux de réussite est 1/3 du nombre de regroupements ou moins, donc 2 correspondances dans le même regroupement sont rares. "Dans 512 seaux, 90 seaux ont eu des hits, probablement 90-95 personnes, ce qui est le nombre que vous voulez.

* en tant que plaideur, je peux penser à un très grand. Si c'était moi, je supprimerais les données personnalisées "par routine". Tout sauvegarder pour toujours est un plaisir et des jeux jusqu'à ce que l'assignation arrive.

Je conviens que le choix du client empêche apparemment toute possibilité d’amélioration. Cependant, il existe un autre moyen de s'améliorer.

Faites savoir à tous les employés "Nous ne savons pas qui est tombé dans le piège et qui ne l’a pas fait, nous ne pouvons donc pas renvoyer ou récompenser qui que ce soit. Cependant, nous faisons ce test tous les mois et nous publierons les pourcentages. Si le 70% est tombé à 20% d'ici la fin de l'année, tous les employés recevront une prime. La taille du bonus dépendra du montant inférieur à vingt. Pour nous aider à atteindre cet objectif, un e-mail hebdomadaire enseignera une technique d'identification du phishing. L'année prochaine, le bonus sera chaque trimestre, mais l'objectif sera également plus petit chaque trimestre. "

1
WGroleau