Quand l'éducation au phishing va-t-elle trop loin?

Je pense qu'il y a un problème sous-jacent que vous devrez résoudre. Pourquoi les utilisateurs se soucient-ils de leur échec?

Les simulations d'hameçonnage devraient, avant tout, être un outil pédagogique et non un outil de test.

S'il y a des conséquences négatives à l'échec, alors oui, vos utilisateurs vont se plaindre si les tests sont plus difficiles que vous ne les avez préparés. Vous vous plaindriez aussi.

Donc, votre réponse devrait être:

• les éduquer davantage (ou différemment) afin qu'ils puissent réussir les tests (ou plutôt les tests de compréhension, ce qu'ils devraient être)
• éliminer les conséquences négatives de l'échec

Cela peut ne nécessiter aucune modification de contenu de votre matériel pédagogique, mais peut uniquement nécessiter un recadrage des simulations de phishing pour les utilisateurs, la direction et votre équipe de sécurité.

Une autre tactique à essayer est de graduer les simulations de phishing afin qu'elles deviennent plus difficiles à mesure que les utilisateurs réussissent à répondre au phishing. Je l'ai fait avec mes programmes personnalisés. C'est plus complexe à l'arrière, mais les gains sont énormes si vous pouvez le faire.

Votre objectif doit être la maturité évolutive de la capacité de votre organisation à résister aux attaques de phishing, sans que tout le monde soit parfait lors des tests. Une fois que vous aurez adopté cette perspective, la culture autour de ces tests et les plaintes changeront.

Faites-le correctement et vos utilisateurs demanderont que les simulations de phishing soient plus difficiles pas plus faciles. Si vous visez ce résultat final, vous aurez une organisation beaucoup plus résiliente.

Nous recevons des utilisateurs finaux Push qu'ils ont aucun moyen de distinguer un e-mail légitime qu'ils recevraient quotidiennement d'e-mails de phishing vraiment malveillants.

C'est une indication que des tests qui pourraient être éliminés en tant que faux par des professionnels de la sécurité qualifiés sont utilisés pour évaluer les personnes qui ne le sont pas. Vous avez peut-être les compétences nécessaires pour sélectionner un e-mail et interpréter les en-têtes, mais Dan in Accounting ne le fait probablement pas et sa direction n'est probablement pas d'accord pour dire qu'une classe de maître dans la RFC 822 est une bonne utilisation de son temps.

La création d'e-mails ciblés pour augmenter le taux de réussite doit être effectuée sur la base des informations collectées sur vos utilisateurs et votre prétendu expéditeur. Ce n'est pas une information à laquelle un hameçonneur sera au courant et, comme l'a souligné Michael Hampton dans son commentaire, se transforme en harpon. C'est un jeu de balle différent joué sur un terrain différent.

S'il existe des adversaires (réels ou potentiels) capables de lancer suffisamment bien le harpon pour endommager votre entreprise, toutes les contre-mesures de hameçonnage et la formation n'aideront pas. Votre travail consiste à déployer des outils qui donneront à Dan in Accounting un moyen de distinguer les vrais des faux. Cela pourrait signifier une sécurité à l'envoi comme une signature cryptographique que les clients de messagerie des utilisateurs peuvent vérifier et publier un avertissement important lorsque quelque chose n'est pas signé ou que la signature ne correspond pas. Vous ne pouvez pas dépendre des humains pour bien faire ces choses 100% du temps, d'autant plus que votre organisation s'agrandit et que les gens ne se connaissent pas si bien.

Il y a un point possible à faire que je n'ai pas vu dans d'autres réponses, mais que j'ai vu dans le monde réel.

Les utilisateurs disent qu'ils "n'ont aucun moyen de distinguer un e-mail légitime qu'ils recevraient quotidiennement des e-mails de phishing véritablement malveillants". Ce que cela peut vous dire, c'est que les e-mails légitimes concernant les renouvellements de mot de passe, les changements de service et autres, n'obéissent pas aux règles que les utilisateurs sont censés suivre.

J'ai certainement vu des organisations dont le matériel de formation dit aux utilisateurs de ne pas cliquer sur les liens dans les e-mails, et certainement de ne pas mettre leurs mots de passe dans les sites vers lesquels ces liens pointent, ou d'installer des logiciels à partir d'eux. Et les équipes de service de ces organisations envoient ensuite des e-mails de masse sur les mises à jour de service qui nécessitent une action (telles que les mises à jour de mot de passe, les installations de logiciels, etc.), avec des liens utiles pour cliquer.

Une chose qui pourrait aider serait de préciser que les utilisateurs devraient signaler ces e-mails légitimes. Cela peut ne pas aider directement les utilisateurs, mais cela peut aider à rappeler à l'équipe de service que leurs e-mails ont des règles à suivre, ce qui devrait rendre les choses plus claires pour les utilisateurs à long terme.

1. Quand l'éducation au phishing va-t-elle trop loin?

Lorsque le coût dépasse l'avantage. L'avantage est généralement mesuré par des taux de clics plus faibles et des taux accrus de signalement des e-mails de phishing authentiques. Le coût peut être mesuré en:

• l'effort de mise en œuvre du test
• rapports faussement positifs sur les e-mails de phishing
• taux d'engagement inférieurs sur les e-mails légitimes
• mauvaise volonté envers le groupe de sécurité.

Le dernier est le plus difficile à mesurer, et souvent ignoré, mais si votre travail consiste à tromper vos propres gens, vous ne devriez pas être surpris s'ils commencent à vous regarder avec suspicion.

2. Le refoulement des utilisateurs finaux démontre-t-il que leur prise de conscience fait toujours défaut et nécessite une formation supplémentaire, en particulier l'incapacité à reconnaître les e-mails malveillants légitimes?

Euh, peut-être?

Si leurs taux de clics restent élevés, alors la sensibilisation fait toujours défaut et ils ont besoin d'une formation supplémentaire.

Si les taux de clics en général ont chuté, mais que les e-mails de test les trompent constamment, leurs préoccupations concernant le test peuvent être légitimes.

Il semble que votre contenu soit assez étroitement adapté à vos utilisateurs et même à leurs rôles professionnels. C'est peut-être ce qui génère la réaction négative. Idéalement, un test de phishing ne devrait pas reposer sur la connaissance ou la compréhension des pratiques de messagerie interne, tout comme un attaquant ne devrait pas y avoir accès. (Et notez que votre messagerie interne ne doit pas ressembler à votre messagerie externe, pour la même raison).

Vous pouvez envisager d'externaliser vos tests de phishing. Les organisations qui se consacrent à offrir ce service ont une meilleure idée de ce à quoi ressemble "à l'état sauvage", et leurs outils pour mesurer et rendre compte des taux d'engagement sont généralement meilleurs que vous ne pouvez le faire vous-même.

Personnellement, je n'aime pas les tests de phishing, car je pense que cela érode la confiance entre les utilisateurs et la sécurité. Mais le fait est que c'est l'un des meilleurs moyens d'améliorer les défenses de vos utilisateurs.

Il y a une façon dont cela est peut-être allé trop loin:

Nous avons adopté une stratégie très ciblée basée non seulement sur le rôle professionnel de l'utilisateur mais également sur le contenu que ces employés sont susceptibles de voir.

Vous devez vous demander si les employés de votre entreprise seront réellement soumis à ce niveau de spearphishing. Si la réponse est non, alors vous êtes allé trop loin. Bien sûr, tout dépend de ce que fait le groupe. Si c'est le DNC, alors la réponse est oui.

Vous avez apparemment commis une erreur très courante parmi nous, les professionnels de la sécurité: vous êtes allé trop dans l'état d'esprit de l'attaquant et vous essayez trop fort de vaincre vos collègues , au lieu d'en faire vos alliés.

Votre campagne de phishing doit être basée sur votre modèle de menace et analyse de risque. Vos employés sont-ils susceptibles d'être la cible d'attaques de spearphishing soigneusement conçues, ou le risque plus élevé est-il la campagne de phishing de masse non ciblée la plus courante de compétence d'attaquant modérée?

Dans le dernier cas, ne faites pas à vos employés des choses qui sont exceptionnellement improbables selon votre analyse des risques. Vous ne pouvez tout simplement pas expliquer à la direction pourquoi vous le faites et il semblerait que vous essayez de tirer le meilleur parti d'apparaître plus intelligent et de "battre" des employés réguliers. (ce que vous pouvez bien sûr dans votre domaine d'expertise, tout comme ils pourraient vous battre haut la main dans la budgétisation, le traitement des plaintes des clients ou la gestion de l'offre).

Si vous faites avez des campagnes de ciblage ciblées et hautement qualifiées dans votre modèle de menace, alors vous devez augmenter progressivement et planifier une campagne en plusieurs étapes. Parce que votre objectif est de enseigner, pas de vaincre et d'embarrasser. Donc, vous faites ce que fait chaque enseignant: vous commencez avec le simple exercice de base, puis vous suivez avec les plus difficiles.

Exemple

Par exemple, dans un processus en trois étapes, vous commenceriez avec un courrier qui est assez facile à repérer comme un faux, mais qui contient également des éléments qui sont plus difficiles à voir. Lorsqu'un utilisateur l'identifie correctement comme un e-mail de phishing, vous le félicitez puis signalez tous les indices, y compris les meilleurs cachés. C'est la partie d'apprentissage - ils obtiennent un renforcement positif pour les indices qu'ils ont repérés, et on leur enseigne des indices supplémentaires qu'ils ont manqués.

Au deuxième tour, vous envoyez un courrier de phishing qui est à peu près ciblé (par exemple, vers un service ou une fonction) et qui a moins d'indices évidents et plus difficiles à repérer. Au moins la moitié d'entre eux devraient inclure ceux qui ont été enseignés dans le courrier précédent. Encore une fois, lorsqu'un utilisateur repère correctement la tentative de phishing, vous félicitez et signalez tous les indices, y compris les nouveaux que vous avez introduits. Cela renforce, enseigne de nouveaux indices et fait prendre conscience que certains indices peuvent être plus difficiles à repérer que l'utilisateur ne le pensait auparavant.

Au troisième tour, vous envoyez vos courriers personnels ciblés, sans aucun indice évident, mais au moins la moitié des indices cachés doivent être dans l'ensemble que l'utilisateur a appris auparavant. Encore une fois, si un utilisateur s'identifie correctement, vous félicitez et mettez en évidence tous les indices, afin qu'il puisse en apprendre encore plus.

Dans tous les cas, si un utilisateur identifie mal le courrier de phishing, vous aussi signalez tous les indices, puis répétez cette étape jusqu'à ce qu'il obtienne il. Ne progressez pas vers des leçons plus difficiles pendant que la personne qui apprend est toujours aux prises avec le cours actuel.

C'est beaucoup plus de travail de votre part, mais cela fournira un renforcement beaucoup plus fort et une plus grande implication du côté des employés, et à la fin vous le faites pour eux.

La question "d'aller trop loin" nécessite un contexte; quelle partie va trop loin?

Ce que les tests de phishing tentent de faire , c'est de rendre les gens méfiants vis-à-vis de leurs e-mails, car lorsqu'ils ne le sont pas, ils risquent littéralement d'inviter utilisateurs non autorisés sur le réseau.

Il ne devrait donc pas y avoir une quantité écrasante d'e-mails au point de passer au crible les mauvais e-mails connus pour arriver à ceux dont ils ont besoin pour faire leur travail, mais il devrait y en avoir suffisamment pour qu'il soit généralement connu que quelqu'un dans l'organisation est dépeindre un attaquant et essayer de le faire cliquer sur le mauvais lien car il y a déjà des gens en dehors de l'organisation qui essaient de le faire faire .

La question devient alors quand quelqu'un va pour le stratagème, êtes-vous heureux de les avoir pris au lieu d'un acteur malveillant? Comme d'autres personnes l'ont mentionné ici (et @BoredToolBox n'aurait pas dû être rétrogradé à mon avis), il s'agit de éducation.

Si vous mettez cela dans le libellé de la question, alors, je suis sûr que cela ne veut pas dire "combien d'éducation va trop loin?" droite?

Ce qui va probablement trop loin dans la plupart des organisations, c'est la réaction des gens qui cliquent en profondeur, et surtout s'il y a un aspect punitif. Vous devriez être heureux lorsque vous êtes celui qui a attrapé l'action, car c'est une chance pour vous d'aider l'utilisateur à comprendre ce qui aurait pu se produire et pourquoi vous effectuez cet exercice. Les gens ne devraient pas être punis ni honteux.

Imaginez qu'il s'agissait d'un exercice sur la façon de prévenir une maladie de se propager d'un travailleur à l'autre. Un virus mortel qui restera en sommeil jusqu'à ce qu'il ait trouvé un hôte approprié et qui pourrait alors tuer tout le monde, mais ils ne savent pas qu'il se propage par des personnes qui arrivent au hasard dans la porte d'entrée en leur remettant des paquets.

Nous avons suffisamment de bon sens pour savoir ne pas accepter uniquement les colis de personnes qui entrent dans le bâtiment, mais ce que les gens ne voient pas, c'est que c'est exactement ce qui se passe avec leurs e-mails. Il s'agit donc d'un changement de culture et de perspective, et je ne vois pas vraiment quelle partie de la connaissance de cela va trop loin lorsque vous parlez d'éducation.

Face à quelque chose de similaire et fait actuellement partie d'une équipe qui gère quelque chose de similaire. Voici mes deux cents:

L'éducation est un concept très délicat, car la façon dont les gens apprennent sont différents selon les individus. Mais ce que j'ai vu, c'est que si vous essayez de résumer les informations que vous souhaitez transmettre en 2 à 4 points, en aussi peu de mots que possible, cela aide toujours. Nous faisons quelque chose comme ça quand il s'agit d'éduquer les gens:

Chaque fois que vous recevez un e-mail d'une personne extérieure à l'organisation, posez ces questions:

• Connaissez-vous personnellement cet identifiant de messagerie?
• L'identifiant e-mail et le nom de domaine vous semblent-ils flous?
• Voulez-vous vraiment cliquer sur ce lien ou donner à ce type vos informations personnelles?

Et enfin, nous mentionnons toujours que:

• si vous n'êtes pas sûr, veuillez transmettre cet e-mail à {email id qui vérifie this}@{yourorg}.com

  2. Absolument. Étant donné que tout ce qu'ils doivent faire (je suppose) est d'ignorer cet e-mail ou peut-être de le transmettre à votre équipe de sécurité interne pour examen.

Je suppose que ce qui doit être fait ici est davantage sur l'éducation. Parce que les employés doivent savoir comment un hameçonnage réussi peut non seulement nuire à l'entreprise, mais aussi à l'employé.

Je ne sais pas si cela s'applique à votre cas ou non, mais un problème potentiel peut se poser si vos attentes en matière de sensibilisation des utilisateurs sont supérieures aux normes de sécurité mises en œuvre. Par exemple:

• Vous pouvez éduquer les utilisateurs à toujours vérifier les certificats https, mais en même temps, certains sites Web internes peuvent utiliser des certificats auto-signés ou expirés, ou même exiger la soumission de noms d'utilisateur et de mots de passe via http non chiffré.
• Ou vous pouvez informer les utilisateurs que tous les outils internes officiels résident sur le domaine de votre entreprise, mais en réalité, vous utilisez des services tiers populaires comme Gmail ou Slack connectés à OAuth.

Alors que le premier exemple est un problème réel avec l'infrastructure, le second est une pratique sûre associée à des recommandations obsolètes. J'ai vu les deux se produire dans la nature et dans ces cas, les principes que vous essayez d'enseigner ne peuvent pas être appliqués dans la pratique quotidienne et peuvent finalement conduire à la confusion et au non-respect.

Je ne suis pas sûr de la taille de votre organisation, mais le conseil le plus pratique que je puisse vous donner est que vous pouvez aller trop loin lorsque vous y pensez trop. - Faites des e-mails frauduleux, envoyez-les aux utilisateurs, voyez ce que les utilisateurs font.

Nous utilisons un outil (KnowBe4) - exécutez quelques essais contre les utilisateurs, et utilisez-le pour les éduquer/les sensibiliser. Nous capturons qui a réussi, qui a échoué et utilisons le processus global pour éduquer et démontrer que nous éduquons.

Ne surestimez pas l'audience avec un ciblage personnalisé; ne faites pas d'analyse de données compliquée ... Si vous l'êtes, vous perdez probablement du temps que vous pourriez consacrer au prochain défi.

Si vous voyez qu'il y a du spear phishing sur vos cadres ou certaines personnes, engagez-les personnellement et souvent, et faites peut-être quelque chose de opérationnel pour vous assurer que s'ils sont dupés, vous l'attrapez. Par changement opérationnel, par exemple, si quelqu'un essaie d'obtenir de votre CFO qu'il libère les paiements par virement bancaire - alors le CFO ferait mieux d'avoir un processus de création/vérificateur supplémentaire, ou d'obtenir une confirmation secondaire non électronique (vocale?) Qu'un fil devrait sortir.

Il me semble que leurs deux problèmes peuvent être ici:

1. Les utilisateurs sont frustrés d'être régulièrement fustigés parce qu'ils échouent à un test qu'ils considèrent impossible.

2. Les utilisateurs sont ennuyés par le fait que l'informatique perd son temps avec des tests sans fin d'une valeur douteuse.

RE # 1, il y a trois possibilités:

R: Vous faites des demandes impossibles à vos utilisateurs. Au moins, impossible dans le sens où vous l'exigez, ils démontrent un niveau de sophistication bien au-delà de ce que l'on peut raisonnablement attendre de personnes qui ne sont pas des experts en sécurité. Pour faire une analogie, il pourrait être raisonnable d'exiger que tous les employés soient prêts à effectuer les premiers soins de base: mettre un bandage, donner de l'aspirine à quelqu'un, etc. Mais vous ne vous attendez certainement pas à ce que tous les employés puissent effectuer une chirurgie cardiaque d'urgence . Si vous commencez à leur donner des exercices pratiques sur la chirurgie cardiaque d'urgence et blassez les employés qui ne sont pas en mesure de décrire correctement comment ils implanteraient un stent ou qui ne peuvent pas énumérer correctement les 182 étapes d'une transplantation cardiaque, cela serait clairement déraisonnable. Faire des demandes irréalistes, puis réprimander les employés pour ne pas les avoir satisfaits ne fait rien d'autre que renforcer le ressentiment et tuer le moral.

B: Vos attentes sont tout à fait raisonnables et les employés sont insuffisamment formés. Si tel est le cas, la réponse évidente est de fournir une formation. Si vous n'avez jamais fourni de formation et que vous réprimandez maintenant des employés pour ne pas savoir quelque chose qu'ils n'ont jamais appris, vous êtes encore déraisonnable. Gardez à l'esprit que ce qui est "évident" pour un professionnel de la sécurité informatique n'est pas nécessairement évident pour quelqu'un qui n'a pas de tels antécédents. Je suis sûr qu'il y a beaucoup de choses sur la comptabilité qui sont évidentes pour les comptables professionnels mais pas pour moi, ou des choses sur l'entretien automobile qui sont évidentes pour les mécaniciens professionnels, etc.

C: Vos attentes sont tout à fait raisonnables et les employés sont trop paresseux ou irresponsables pour faire l'effort. Si c'est le cas, c'est un problème de gestion. Quelqu'un doit inciter les employés à travailler plus dur, ce qui peut aller d'un discours d'encouragement encourageant à licencier ceux qui ne sont pas à la hauteur.

RE # 2: Quand j'étais dans l'Air Force, bien sûr, la sécurité était une préoccupation majeure. Nous avions des gens qui voulaient détruire notre avion et nous tuer. Mais même dans cette situation extrême, les responsables de la sécurité étaient bien conscients qu'une sécurité plus stricte n'était pas toujours la meilleure. La norme était que la sécurité devait être aussi efficace que possible pour faire face à des risques réalistes tout en interférant le moins possible avec les personnes faisant leur travail.

Dans ce cas, bien sûr, c'est une mauvaise chose si un pirate hostile s'empare de mots de passe et vole ou vandalise vos données. Cela pourrait vous coûter cher, peut-être même vous empêcher de travailler. Mais à moins que la menace ne soit énorme, vous ne pouvez pas vous attendre à ce que les employés passent 90% de leur temps à conjurer les menaces et seulement 10% à faire un travail qui génère des revenus pour l'entreprise. C'est aussi une recette pour faire faillite. Vous devez avoir un équilibre raisonnable entre la protection contre les menaces et l'impossibilité pour quiconque de faire son travail.