Ich denke, es gibt ein zugrunde liegendes Problem, das Sie angehen müssen. Warum kümmern sich die Benutzer darum, dass sie versagen?

Phishing-Simulationen sollten in erster Linie ein Schulungswerkzeug sein kein Testwerkzeug.

Wenn das Scheitern negative Folgen hat, werden sich Ihre Benutzer beschweren, wenn die Tests schwieriger sind, als Sie sie vorbereitet haben. Sie würden sich auch beschweren.

Ihre Antwort sollte also lauten:

• Erziehen Sie sie besser (oder anders), damit sie die Tests bestehen können (oder besser gesagt, die Verständnistests, wie sie sein sollten)
• Entfernen Sie negative Konsequenzen für das Scheitern

Dies erfordert möglicherweise keine inhaltlichen Änderungen an Ihrem Unterrichtsmaterial, sondern möglicherweise nur eine Neuformulierung der Phishing-Simulationen für Benutzer, Management und Ihr Sicherheitsteam.

Eine weitere Taktik besteht darin, die Phishing-Simulationen so zu absolvieren, dass sie schwieriger werden, da die Benutzer erfolgreich auf Phishing reagieren können. Ich habe dies mit meinen benutzerdefinierten Programmen gemacht. Im Backend ist es komplexer, aber die Gewinne sind enorm, wenn Sie es schaffen.

Ihr Fokus muss auf der Weiterentwicklung der Fähigkeit Ihres Unternehmens liegen, Phishing-Angriffen zu widerstehen, damit nicht jeder perfekt ist Tests. Sobald Sie diese Perspektive einnehmen, wird sich die Kultur um diese Tests und die Beschwerden ändern.

Wenn Sie es richtig machen, werden Ihre Benutzer darum bitten, dass die Phishing-Simulationen nicht einfacher sind. Wenn Sie dieses Endergebnis anstreben, haben Sie eine viel widerstandsfähigere Organisation.

Wir wurden von Endbenutzern zurückgedrängt, dass sie keine Möglichkeit haben, eine legitime E-Mail, die sie täglich erhalten würden, von wirklich böswilligen Phishing-E-Mails zu unterscheiden.

Dies ist ein Hinweis darauf, dass Tests, die von geschulten Sicherheitsexperten als Fälschungen eingestuft werden könnten, verwendet werden, um Personen zu bewerten, die dies nicht sind. Möglicherweise haben Sie die Fähigkeit, eine E-Mail auseinander zu nehmen und die Überschriften zu interpretieren, aber Dan im Rechnungswesen ist sich wahrscheinlich nicht einig, und sein Management ist sich wahrscheinlich nicht einig, dass eine Meisterklasse in RFC 822 seine Zeit gut nutzt.

Das Erstellen gezielter E-Mails zur Erhöhung der Trefferquote muss auf der Grundlage der über Ihre Benutzer und Ihren angeblichen Absender gesammelten Informationen erfolgen. Dies sind keine Informationen, mit denen ein Phisher vertraut sein wird, und er erhebt sich, wie Michael Hampton in seinem Kommentar hervorhob, zum Spearphishing. Das ist ein anderes Ballspiel, das auf einem anderen Feld gespielt wird.

Wenn es Gegner (echte oder potenzielle) gibt, die in der Lage sind, Ihr Unternehmen durch Spearphishing zu schädigen, helfen alle Gegenmaßnahmen und Schulungen gegen Phishing nicht weiter. Ihre Aufgabe ist es, Tools bereitzustellen, mit denen Dan in Accounting die echten von den Fälschungen unterscheiden kann. Dies kann Sicherheit auf der Sendeseite bedeuten, wie eine kryptografische Signatur, die die E-Mail-Clients der Benutzer überprüfen und eine auffällige Warnung senden können, wenn etwas nicht signiert ist oder die Signatur nicht übereinstimmt. Sie können sich nicht darauf verlassen, dass Menschen dieses Zeug 100% der Zeit richtig machen, zumal Ihre Organisation größer wird und die Leute sich nicht so gut kennen.

Es gibt einen möglichen Punkt, den ich in anderen Antworten nicht gesehen habe, aber in der realen Welt gesehen habe.

Benutzer sagen, dass sie "keine Möglichkeit haben, eine legitime E-Mail zu unterscheiden, die sie erhalten würden Tag für Tag von wirklich böswilligen Phishing-E-Mails ". Dies kann Ihnen sagen, dass legitime E-Mails über Kennworterneuerungen, Dienständerungen und dergleichen nicht den Regeln entsprechen, die von den Benutzern erwartet werden.

Ich habe sicherlich Organisationen gesehen, deren Schulungsunterlagen die Benutzer dazu auffordern, dies nicht zu tun Klicken Sie auf Links in E-Mails und geben Sie deren Passwörter definitiv nicht in die Websites ein, auf die diese Links verweisen, oder installieren Sie Software von diesen. Die Serviceteams dieser Organisationen senden dann Massen-E-Mails über Serviceaktualisierungen, für die Maßnahmen erforderlich sind (z. B. Kennwortaktualisierungen, Softwareinstallationen usw.), mit hilfreichen Links zum Klicken.

Eine mögliche Hilfe wäre um zu verdeutlichen, dass Benutzer diese legitimen E-Mails melden sollten . Dies kann den Benutzern möglicherweise nicht direkt helfen, aber es kann hilfreich sein, das Serviceteam daran zu erinnern, dass in ihren E-Mails Regeln zu beachten sind, die den Benutzern auf lange Sicht die Dinge klarer machen sollten.

1. Wann geht die Phishing-Ausbildung zu weit?
ol>

Wenn die Kosten den Nutzen übersteigen. Der Nutzen wird im Allgemeinen in niedrigeren Klickraten und höheren Berichterstattungsraten für echte Phishing-E-Mails gemessen. Die Kosten können gemessen werden an:

• dem Aufwand für die Implementierung des Tests
• falsch positive Berichterstattung über (nicht) Phishing-E-Mails
• niedrigere Engagement-Raten bei legitimen E-Mails
• böser Wille gegenüber der Sicherheitsgruppe.

Der letzte ist am schwierigsten zu messen und wird oft ignoriert. Wenn es jedoch Ihre Aufgabe ist, Ihre eigenen Leute auszutricksen, sollten Sie sich nicht wundern, wenn sie Sie mit Argwohn betrachten.

2. Zeigt ein Pushback der Endbenutzer, dass ihr Bewusstsein noch fehlt und weitere Schulungen erforderlich sind, insbesondere die Unfähigkeit, legitime von böswilligen E-Mails zu erkennen?
ol>

Ähm, vielleicht?

Wenn ihre Klickraten hoch bleiben, fehlt das Bewusstsein immer noch und sie müssen weitergebildet werden.

Wenn click- Durch die Raten sind sie im Allgemeinen gesunken, aber die Test-E-Mails täuschen sie durchweg, dann können ihre Bedenken hinsichtlich des Testens berechtigt sein.

Es hört sich so an, als ob Ihr Inhalt ziemlich genau auf Ihre Benutzer und sogar deren Jobrollen zugeschnitten ist. Dies kann die negative Reaktion hervorrufen. Im Idealfall sollte ein Phishing-Test nicht auf dem Wissen oder dem Verständnis interner E-Mail-Praktiken beruhen, so wie ein Angreifer keinen Zugriff darauf haben sollte. (Beachten Sie, dass Ihr internes Messaging aus demselben Grund nicht wie Ihr externes Messaging aussehen sollte.)

Möglicherweise möchten Sie Ihre Phishing-Tests auslagern. Die Organisationen, die diesen Service anbieten, haben ein besseres Gefühl dafür, wie "in the wild" aussieht, und ihre Tools zum Messen und Berichten von Engagement-Raten sind normalerweise besser als Sie es alleine tun können.

Ich persönlich mag Phishing-Tests nicht, weil ich glaube, dass sie das Vertrauen zwischen Benutzern und Sicherheit untergraben. Tatsache ist jedoch, dass dies eine der besten Möglichkeiten ist, die Abwehrkräfte Ihrer Benutzer zu verbessern.

Es gibt einen Weg, auf dem dies möglicherweise zu weit gegangen ist:

Wir haben eine sehr zielgerichtete Strategie entwickelt, die nicht nur auf der Jobrolle des Benutzers, sondern auch auf den Inhalten basiert, die diese Mitarbeiter wahrscheinlich haben Siehe.

Sie müssen sich fragen, ob Mitarbeiter in Ihrem Unternehmen tatsächlich dieser Spearphishing-Stufe ausgesetzt sind. Wenn die Antwort nein ist, sind Sie zu weit gegangen. Dies hängt natürlich alles davon ab, was die Gruppe tut. Wenn es die DNC ist, lautet die Antwort ja.

Sie haben anscheinend einen sehr häufigen Fehler unter uns Sicherheitsexperten begangen: Sie haben zu viel in die Denkweise des Angreifers investiert und versuchen zu sehr, zu besiegen Ihre Kollegen, anstatt sie zu Ihren Verbündeten zu machen.

Ihre Phishing-Kampagne sollte auf Ihrem Bedrohungsmodell und Ihrer Risikoanalyse basieren. Sind Ihre Mitarbeiter wahrscheinlich ein Ziel sorgfältig ausgearbeiteter Spearphishing-Angriffe oder ist das höhere Risiko die häufigere, nicht zielgerichtete Massen-Phishing-Kampagne mit moderaten Angreiferfähigkeiten?

Im späteren Fall sollten Sie keine Maßnahmen ergreifen an Ihre Mitarbeiter, die nach Ihrer Risikoanalyse außerordentlich unwahrscheinlich sind. Sie können dem Management einfach nicht erklären, warum Sie es tun, und es scheint, dass Sie versuchen, ein High zu erreichen, wenn Sie klüger erscheinen und reguläre Mitarbeiter "schlagen". (Was Sie natürlich in Ihrem Fachgebiet tun können, genau wie sie Sie bei der Budgetierung, der Bearbeitung von Kundenbeschwerden oder dem Beschaffungsmanagement zweifellos schlagen könnten.)

Wenn Sie zielgerichtet sind Wenn Sie hochqualifizierte Spearphishing-Kampagnen in Ihrem Bedrohungsmodell durchführen, müssen Sie schrittweise eskalieren und eine Kampagne in mehreren Schritten planen. Denn Ihr Ziel ist es, zu lehren , nicht zu besiegen und in Verlegenheit zu bringen. Sie tun also, was jeder Lehrer tut: Sie beginnen mit der einfachen Grundübung und folgen dann den schwierigeren.

Beispiel

Zum Beispiel in einem dreistufigen Prozess würde mit einer Mail beginnen, die ziemlich leicht als Fälschung zu erkennen ist, aber auch Elemente enthält, die schwieriger zu sehen sind. Wenn ein Benutzer es korrekt als Phishing-Mail identifiziert, gratulieren Sie ihm und weisen dann auf alle Hinweise hin, einschließlich der besser versteckten . Dies ist der Lernteil - sie erhalten eine positive Verstärkung für die Hinweise, die sie entdeckt haben, und sie erhalten zusätzliche Hinweise, die sie verpasst haben.

In der zweiten Runde senden Sie eine Phishing-Mail, die grob ausgerichtet ist (z. B. an eine Abteilung oder Funktion) und weniger offensichtliche und schwer zu erkennende Hinweise enthält. Mindestens die Hälfte von ihnen sollte diejenigen enthalten, die in der vorherigen Mail gelehrt wurden. Wenn ein Benutzer den Phishing-Versuch korrekt erkennt, gratulieren Sie und weisen Sie alle Hinweise auf, einschließlich der neuen, die Sie eingeführt haben. Dies verstärkt, lehrt neue Hinweise und erhöht das Bewusstsein, dass einige Hinweise schwieriger zu erkennen sein können, als der Benutzer zuvor gedacht hat.

In der dritten Runde senden Sie Ihre persönlich gezielten E-Mails ohne offensichtliche Hinweise, aber an Mindestens die Hälfte der versteckten Hinweise muss sich in dem Satz befinden, den der Benutzer zuvor gelernt hat. Wenn sich ein Benutzer korrekt identifiziert, gratulieren Sie und markieren Sie alle Hinweise, damit er wieder mehr lernen kann.

In allen In Fällen, in denen ein Benutzer die Phishing-Mail falsch identifiziert, weisen Sie auch auf alle Hinweise hin und wiederholen diesen Schritt , bis er sie erhält. Gehen Sie nicht zu schwierigeren Lektionen über, während die lernende Person noch mit der aktuellen Lektion zu kämpfen hat.

Dies ist viel mehr Arbeit von Ihrer Seite, bietet jedoch eine viel stärkere Verstärkung und eine stärkere Beteiligung der Mitarbeiter und am Ende machst du es für sie.

Die Frage "zu weit gehen" erfordert Kontext; Welcher Teil geht zu weit?

Phishing-Tests versuchen , Menschen dazu zu bringen, ihre E-Mails misstrauisch zu machen, denn wenn sie es nicht sind, sind sie gefährdet nicht autorisierte Benutzer buchstäblich in das Netzwerk einzuladen.

Es sollte also keine überwältigende Anzahl von E-Mails geben, bis sie bekannte schlechte E-Mails durchsuchen, um zu denjenigen zu gelangen, die sie für ihre Arbeit benötigen, aber es sollte genug geben, dass dies häufig der Fall ist Es ist bekannt, dass jemand in der Organisation einen Angreifer darstellt und versucht, ihn dazu zu bringen, auf den falschen Link zu klicken, da bereits Personen außerhalb der Organisation versuchen, ihn dazu zu bringen, dies zu tun .

Dann stellt sich die Frage, wann sich jemand für den Trick entscheidet. Sind Sie froh, dass Sie ihn anstelle eines böswilligen Schauspielers erwischt haben? Wie andere hier erwähnt haben (und @BoredToolBox meiner Meinung nach nicht herabgestuft werden sollte), geht es hier um Bildung .

Wenn Sie das in den Wortlaut der Frage aufnehmen, bin ich sicher, dass es nicht als "Wie viel Bildung geht zu weit?" richtig?

Was in den meisten Organisationen wahrscheinlich zu weit geht, ist die Reaktion auf Leute, die gründlich klicken, und insbesondere, wenn es einen strafenden Aspekt gibt. Sie sollten froh sein, wenn Sie derjenige sind, der die Aktion erfasst hat, da Sie dem Benutzer auf diese Weise helfen können, zu verstehen, was möglicherweise passiert sein könnte und warum Sie diese Übung durchführen. Menschen sollten nicht bestraft oder beschämt werden.

Stellen Sie sich vor, dies wäre eine Übung, um zu verhindern, dass sich eine Krankheit von Arbeiter zu Arbeiter ausbreitet. Ein tödlicher Virus, der schlummert, bis er einen geeigneten Wirt gefunden hat und dann möglicherweise alle tötet, aber sie wissen nicht, dass er von Leuten verbreitet wird, die zufällig in die Haustür kommen und ihnen Pakete geben.

Wir haben genug gesunden Menschenverstand, um zu wissen, dass wir nicht nur Pakete von Personen annehmen, die das Gebäude betreten, sondern dass die Menschen nicht sehen, dass genau dies mit ihren E-Mails geschieht. Es geht also um einen Kultur- und Perspektivenwechsel, und ich sehe nicht wirklich, welcher Teil des Wissens darüber zu weit geht, wenn Sie über Bildung sprechen.

Konfrontiert mit etwas Ähnlichem und ist derzeit Teil eines Teams, das etwas Ähnliches leitet. Hier sind meine zwei Cent:

Bildung ist ein sehr kniffliges Konzept, da die Art und Weise, wie Menschen lernen, für verschiedene Personen unterschiedlich ist. Aber was ich gesehen habe ist, dass, wenn Sie versuchen, die Informationen, die Sie vermitteln möchten, in 2-4 Punkten zusammenzufassen, in so wenigen Worten wie möglich, die immer helfen. Wir machen so etwas, wenn es darum geht, Menschen zu erziehen:

Wenn Sie eine E-Mail von jemandem außerhalb der Organisation erhalten, stellen Sie folgende Fragen:

• Kennen Sie diese E-Mail-ID persönlich? ?
• Sehen die E-Mail-ID und der Domain-Name für Sie faul aus?
• Möchten Sie wirklich auf diesen Link klicken oder diesem Kerl Ihre persönlichen Daten geben?

Und zum Schluss erwähnen wir immer Folgendes:

• Wenn Sie sich nicht sicher sind, leiten Sie diese E-Mail bitte an {E-Mail-ID weiter, die dies überprüft. Da alles, was sie tun müssen (ich denke), ist, diese E-Mail zu ignorieren oder sie zur Überprüfung an Ihr internes Sicherheitsteam weiterzuleiten.

ol>

Ich denke, was hier getan werden muss, ist mehr über Bildung. Denn die Mitarbeiter müssen wissen, wie ein erfolgreicher Phishing nicht nur das Unternehmen, sondern auch den Mitarbeiter schädigen kann.

Ich weiß nicht, ob dies auf Ihren Fall zutrifft oder nicht, aber ein potenzielles Problem kann sein, wenn Ihre Erwartungen an das Benutzerbewusstsein höher sind als die verwendeten Sicherheitsnormen. Beispiel:

• Sie können Benutzer dazu erziehen, die https-Zertifikate immer zu überprüfen. Gleichzeitig verwenden einige interne Websites möglicherweise selbstsignierte oder abgelaufene Zertifikate oder müssen sogar Benutzernamen und Kennwörter übermitteln einfach unverschlüsselt http.
• Oder Sie können Benutzer darüber informieren, dass sich alle offiziellen internen Tools in Ihrer Unternehmensdomäne befinden. In Wirklichkeit verwenden Sie jedoch beliebte Dienste von Drittanbietern wie Google Mail oder Slack, die mit OAuth verbunden sind.

Während das erste Beispiel ein tatsächliches Problem mit der Infrastruktur darstellt, ist das zweite eine sichere Vorgehensweise, gepaart mit veralteten Empfehlungen. Ich habe gesehen, dass sowohl in freier Wildbahn als auch in diesen Fällen die Prinzipien, die Sie zu lehren versuchen, nicht in der täglichen Praxis angewendet werden können und letztendlich zu Verwirrung und Nichteinhaltung führen können.

Ich bin mir nicht sicher, wie groß Ihr Unternehmen ist, aber der praktischste Rat, den ich anbieten kann, ist, dass Sie zu weit gehen können, wenn Sie darüber nachdenken. - Erstellen Sie gefälschte E-Mails, senden Sie sie an Benutzer und sehen Sie, was Benutzer tun.

Wir verwenden ein Tool (KnowBe4) - führen Sie einige Testversionen gegen die Benutzer durch und verwenden Sie diese, um sie zu schulen / auf sie aufmerksam zu machen. Wir erfassen, wer bestanden hat, wer nicht bestanden hat, und verwenden den gesamten Prozess, um zu erziehen und zu demonstrieren, dass wir erziehen.

Überdenken Sie das Publikum nicht mit benutzerdefiniertem Targeting. Machen Sie keine komplizierten Datenanalysen ... Wenn ja, verschwenden Sie wahrscheinlich Zeit, die Sie für die nächste Herausforderung aufwenden könnten.

Wenn Sie feststellen, dass Ihre Führungskräfte oder bestimmte Personen Speer-Phishing betreiben, engagieren Sie sie persönlich und häufig und tun Sie möglicherweise etwas Operatives, um sicherzustellen, dass Sie es fangen, wenn sie betrogen werden. Wenn beispielsweise jemand versucht, Ihren CFO dazu zu bringen, Überweisungszahlungen freizugeben, sollte der CFO durch eine betriebliche Änderung einen zusätzlichen Maker / Checker-Prozess durchführen oder eine sekundäre Nicht-E-Mail-Bestätigung (Voice?) Erhalten, dass eine Überweisung ausgehen soll.

Es hört sich für mich so an, als ob es hier zwei Probleme geben könnte:

1. Benutzer sind frustriert, dass sie regelmäßig beschimpft werden, weil sie einen Test nicht bestehen, den sie für unmöglich halten.

2. Benutzer sind verärgert darüber, dass die IT ihre Zeit mit endlosen Tests von zweifelhaftem Wert verschwendet.

ol>

RE # 1, dort Es gibt drei Möglichkeiten:

A: Sie stellen unmögliche Anforderungen an Ihre Benutzer. Zumindest unmöglich in dem Sinne, dass Sie es fordern, zeigen sie ein Niveau an Raffinesse, das weit über das hinausgeht, was vernünftigerweise von Menschen erwartet werden kann, die keine Sicherheitsexperten sind. Um eine Analogie zu ziehen, könnte es vernünftig sein, zu fordern, dass alle Mitarbeiter bereit sind, grundlegende Erste-Hilfe-Maßnahmen zu ergreifen: einen Verband anlegen, jemandem ein Aspirin geben usw. Aber Sie würden sicherlich nicht erwarten, dass alle Mitarbeiter in der Lage sind, eine Notfall-Herzoperation durchzuführen . Wenn Sie anfangen, ihnen Übungsübungen zur Notfall-Herzoperation zu geben, und die Mitarbeiter sprengen, die nicht angemessen beschreiben können, wie sie einen Stent implantieren würden, oder die nicht alle 182 Schritte einer Herztransplantation korrekt auflisten können, wäre dies eindeutig unvernünftig. Unrealistische Forderungen zu stellen und dann die Mitarbeiter dafür zu beschimpfen, dass sie diese nicht erfüllen, bewirkt nichts anderes als Ressentiments aufzubauen und die Moral zu töten.

B: Ihre Erwartungen sind völlig vernünftig und die Mitarbeiter sind unzureichend geschult. Wenn dies der Fall ist, besteht die offensichtliche Antwort darin, Schulungen anzubieten. Wenn Sie noch nie eine Schulung durchgeführt haben und Mitarbeiter jetzt beschimpfen, weil sie etwas nicht wissen, was ihnen nie beigebracht wurde, sind Sie unvernünftig. Denken Sie daran, dass das, was für einen Computersicherheitsfachmann "offensichtlich" ist, für jemanden ohne einen solchen Hintergrund nicht unbedingt offensichtlich ist. Ich bin sicher, dass es viele Dinge in der Buchhaltung gibt, die für professionelle Buchhalter offensichtlich sind, aber nicht für mich, oder Dinge über die automatische Wartung, die für professionelle Mechaniker offensichtlich sind usw.

C: Ihre Erwartungen sind völlig vernünftig und die Mitarbeiter sind zu faul oder verantwortungslos, um sich anzustrengen. Wenn dies der Fall ist, handelt es sich um ein Managementproblem. Jemand muss den Mitarbeitern den richtigen Anreiz geben, härter zu arbeiten, was von einem ermutigenden Aufmunterungsgespräch bis zur Entlassung derjenigen reichen kann, die nicht mithalten können.

RE # 2: Als ich in der Luftwaffe war, Natürlich war die Sicherheit ein wichtiges Anliegen. Wir hatten Leute, die unser Flugzeug zerstören und uns töten wollten. Aber selbst in dieser extremen Situation waren sich die Sicherheitsleute bewusst, dass strengere Sicherheit nicht immer die beste ist. Der Standard war, dass Sicherheit so effektiv wie möglich sein sollte, um mit realistischen Risiken umzugehen und gleichzeitig die Menschen, die ihre Arbeit erledigen, so wenig wie möglich zu beeinträchtigen.

In diesem Fall ist es natürlich eine schlechte Sache, wenn ein feindlicher Hacker Passwörter erhält und Ihre Daten stiehlt oder vandalisiert. Das könnte Sie viel Geld kosten, vielleicht sogar aus dem Geschäft bringen. Aber wenn die Bedrohung nicht groß ist, können Sie nicht erwarten, dass die Mitarbeiter 90% ihrer Zeit damit verbringen, Bedrohungen abzuwehren, und nur 10% Arbeiten ausführen, die dem Unternehmen Einkommen bringen. Das ist auch ein Rezept, um pleite zu gehen. Sie müssen ein angemessenes Gleichgewicht zwischen dem Schutz vor Bedrohungen und der Unmöglichkeit haben, dass jemand seine Arbeit erledigt.

Ich vermute, dass Ihre Simulation Kenntnisse über Ihre beabsichtigten Ziele verwendet, die kein echter Phisher jemals kennen würde. Deshalb beschweren sie sich darüber, dass Ihre Fälschungen zu schwer von der Realität zu unterscheiden sind. Mit einem Wort, Sie betrügen .