Frage:
Das Unternehmen möchte keine Namen in Phishing-Berichten
pm1391
2018-01-30 06:53:36 UTC
view on stackexchange narkive permalink

Wir wurden kürzlich beauftragt, Phishing-Tests für ein Unternehmen durchzuführen. Nennen wir es ein Unternehmen, aber im Grunde sind sie gesetzlich verpflichtet, die Sicherheit ihrer Umgebung mit Phishing-Kampagnen zu bewerten.

Wir haben unsere ersten Kampagnen vor nicht allzu langer Zeit durchgeführt und die Ergebnisse waren ziemlich schlecht. Über 70% ihrer Benutzer vertrauten den von uns gesendeten "böswilligen E-Mails" und taten, was auch immer die E-Mail von ihnen verlangte.

Nachdem es vorbei war, hatten wir natürlich eine kurze Beschreibung unserer Ergebnisse. Kurz gesagt, sie wollten keine Identifikatoren (E-Mail, Benutzername, was auch immer), die sich in den Phish verliebt haben. Sie wollten, dass "X von 300" die E-Mail nicht identifizieren konnte. Ihr Grund war, dass sie niemanden beleidigen wollten. (Ich wollte sagen, dass die Gefühle Ihrer Kunden verletzt werden, wenn Ihre Mitarbeiter auf einen möglichen Angriff und Leckinformationen hereinfallen.) Ich beschuldigte sie höflich, ein Kästchen angekreuzt zu haben und nicht wirklich daran interessiert zu sein, ihre Benutzer zu schulen. Sie waren nicht sehr glücklich. Ich sollte näher darauf eingehen, dass sie nicht einmal zwei Berichte wollten, einen mit den E-Mails und einen ohne. Ich habe es ihnen angeboten, weil sie zumindest sehen können, wie diese einzelnen Personen auf verschiedene Kampagnen im Laufe der Zeit reagieren. Dies wäre absolut hilfreich, wenn Benutzer "Sam" im Verlauf von zehn Kampagnen jedes Mal auf jeden einzelnen Link in einer E-Mail klickt. Sicherlich möchten Sie Sam anders unterrichten als andere Benutzer?

Meine Frage ist, ob dies nicht den Zweck von Phishing-Kampagnen und die Verbesserung der Informationssicherheit in Ihrem Netzwerk zunichte macht. Ist das überhaupt normal?

"Ich habe sie höflich beschuldigt, ein Kästchen angekreuzt zu haben und nicht wirklich daran interessiert zu sein, ihre Benutzer zu schulen."Das ist höflich nicht möglich.
Ist dies eine einzelne Phishing-Kampagne?oder laufend?Bei einem früheren Unternehmen hatten wir laufende Läufe - monatlich, vierteljährlich ... Es gab allgemeine Berichte (8 von 300) - und spezifische Berichte für das Management (diejenigen, die die Tests durchführten, konnten feststellen, wer Wiederholungstäter waren).Es gibt einen Unterschied zwischen "Jill hat einmal auf die E-Mail geklickt" und "Jill hat trotz wiederholter Klassen und Warnungen viermal hintereinander auf die E-Mail geklickt" ... Mehr als einmal führen zu mehr Sichtbarkeit - und Konsequenzen.
@pm1391 Laufend ... Gibt es unterschiedliche Berichte?"8 von 300" ... gegen detaillierte Aufschlüsselungen von beispielsweise Wiederholungstätern?Erste Läufe unterscheiden sich von fünften Läufen - nach wiederholter Warnung.Ist das Management nicht bereit, Wiederholungstäter zu bekämpfen (wenn Sie so weit gekommen sind)?DAS wäre ein größeres Problem ...
Würden sie nach Abteilungen / Standorten / Dienstaltern aufgeschlüsselt werden können?Nach meiner Erfahrung ist dies äußerst nützlich, um Bereiche einzugrenzen, die Hilfe benötigen.Und auf diese Weise müssen Sie nicht mit Einzelpersonen umgehen.Auch aus Erfahrung habe ich diese Anfrage schon einmal gesehen.Und dann wollen die Entscheidungsträger nicht identifiziert werden ...
Ich hasse es, ständig Fragen zu stellen: Wenn sie eine detaillierte Berichterstattung verweigern und sich die Ergebnisse nicht verbessern ... wer ist im Falle eines Verschlusses schuld?Wenn Sie keine guten Informationen geben - sind Sie schuld?Wenn sie die Informationen ablehnen, sind sie schuld?Mit anderen Worten - in einem Jahr, in dem ein Verstoß auftritt ... wer wird verklagt?
Kommentare dienen nicht der ausführlichen Diskussion oder der Beantwortung der Frage.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/72590/discussion-on-question-by-pm1391-company-does-not-want-any-names-on-phishing-rep).
Als Nicht-Experte finde ich das ziemlich klug, weil es vermeidet, so zu tun, als wären die getesteten Personen das Problem und nicht das System / die Kultur.
Acht antworten:
baldPrussian
2018-01-30 07:01:50 UTC
view on stackexchange narkive permalink

Diese erste Kampagne hat zuerst eine Basis festgelegt. Also ja, es ist normal. "Wie stehen wir als Unternehmen? Auf welchem ​​Niveau müssen wir trainieren? Haben wir insgesamt sichere Benutzer oder haben wir insgesamt unsichere Benutzer?" In diesem Bericht wird dies und das Ausmaß festgelegt, in dem das Management an Phishing-Schulungen teilnehmen muss. Würden nur 5% der Benutzer auf den Phishing-Versuch hereinfallen, wäre der Trainingsfokus sehr unterschiedlich. Derzeit weiß das Management, dass es im Wesentlichen ein unternehmensweites Problem gibt und dass eine Phish-Kampagne im Grunde genommen eine 70% ige Erfolgschance hat.

Wenn das Unternehmen nun ein zukünftiges Phishing-Training durchführt, kann es die Ergebnisse vergleichen und feststellen, ob das Training erfolgreich war. "Wir sind anfangs 70% der Zeit darauf hereingefallen. Dieses Mal sind wir 68% der Zeit darauf hereingefallen. Es war daher nicht erfolgreich." Oder "Wir sind anfangs 70% der Zeit darauf hereingefallen und jetzt 50% der Zeit darauf. Wir machen es besser, brauchen aber weiteres Training."

Guter Punkt, ich würde Ihnen eher zustimmen, aber sie haben nie etwas über die Festlegung einer Basislinie gesagt, als ich meine Bedenken äußerte.Außerdem wollten sie nicht einmal, dass ich die Ergebnisse speichere, also war ich verwirrt.
Du bist derjenige, der den Phishing-Test macht.Sie sollten wissen, dass Verbesserungen Training und Zeit erfordern
Man könnte argumentieren, dass ein Unternehmen, in dem 70% der Benutzer auf Phishing-Kampagnen hereinfallen, im Grunde genommen eine 100% ige Chance hat, auf eine Phishing-Kampagne hereinzufallen, da es normalerweise ausreicht, wenn eine einzelne Person darauf hereinfällt.
In der Tat ist 1 Person, die auf Phishing hereinfällt, eine Person zu viel.Und die Schulung muss verbessert werden, ob Namen vergeben werden sollen oder nicht, wenn es sich um ein weit verbreitetes Problem handelt, das wahrscheinlich nicht erforderlich ist.Lass jeden trotzdem trainieren.Wenn es sich um eine kleine Teilmenge handelt, ist die Identifizierung wahrscheinlich gut, insbesondere wenn es sich um eine identifizierbare Kerngruppe handelt, z. B. eine Liste von Personen, deren Berufsbezeichnung mit C (USA) oder D (Großbritannien) beginnt, eine bestimmte Abteilung usw.
+1 und ein Nitpick: Wenn 70% der Benutzer positiv reagieren sollen, d.h.e.Jeder Benutzer hat eine Wahrscheinlichkeit von p = 0,7, positiv auf eine Phishing-Kampagne zu reagieren. Die Erfolgschance der Kampagne ist dann die Wahrscheinlichkeit P von mindestens einer positiven Antwort und "P = 1- (1-p) ^ n", wobei nist die Anzahl der Benutzer, die während der Kampagne angesprochen wurden.Dies entspricht weitgehend dem Kommentar von @Christoph.
… Für ein mittelständisches Unternehmen mit n = 50 und p = 0,7 beträgt die Wahrscheinlichkeit eines Kampagnenfehlers * 1 - P ungefähr 10 ^ −26.
@pm1391 Ich weiß nicht, wie Ihre Kampagne ausgeführt wurde, aber in einem der Dutzend, die ich durchlaufen habe, werden die Benutzer, die auf den fehlerhaften Link oder was auch immer klicken, sofort aufgerufen, da der Link zu einer Seite führt, auf der steht: "Sie haben die Kampagne nicht bestanden."test "oder ähnlich.Es besteht (zumindest anfangs) keine Notwendigkeit, genau zu melden, * wer * gescheitert ist, da die Kampagne selbst eine Art Training war.
Auf der anderen Seite erhielten Personen, die die verdächtigen Aktivitäten dem Sicherheitsteam gemeldet hatten, einen persönlichen Klaps auf den Rücken, was ihr Verhalten positiv verstärkte.Es ist möglich, dass ein Bericht weiter oben in der Lebensmittelkette mit tatsächlichen Benutzernamen und Antworten geliefert wurde, aber ich sehe (insbesondere in einem großen Unternehmen) nicht, wie nützlich dies für das Verfassen / Konsumieren wäre.
@thanby Richtig, wir haben etwas Ähnliches getan (die Benutzer benachrichtigen, dass sie versagt haben).Das Management wollte jedoch keine Benutzerinformationen und beabsichtigt nicht, Überstunden zu erfassen.Meiner Ansicht nach kann man aus einem Phishing-Test so viele Informationen erhalten, und es ist meiner Meinung nach dumm, sie auf x / 300 zu verkleinern
Fair genug, darüber wird nicht viel gestritten.Aber am Ende können Sie nur Ihren besten Rat geben, und wenn sie es nicht wollen, sollten Sie das Problem nicht erzwingen.Dokumentieren Sie einfach, dass sie Ihren Empfehlungen an CYA nicht gefolgt sind
@pm1391 Wirklich, sie bezahlen dich dafür, etwas zu tun, und solange es nicht illegal, unmoralisch oder unethisch ist, ist das, was sie mit deiner Arbeit machen, wirklich ihr Problem.Es fällt uns schwer zu akzeptieren, dass "wir bezahlt wurden und sie mit unserer Arbeit machen können, was sie wollen", aber das ist die Art eines Beratungsauftritts.Ja, sie könnten mehr tun.Aber am Ende bieten wir den erforderlichen Service und gehen weg in dem Wissen, dass wir das Beste getan haben, was wir konnten.
@DavidFoerster: mit der Aussage "bla-bla 10 ^ -26 Chance auf ein Scheitern der Phishing-Kampagne bla-bla" wird in keinem Sitzungssaal in Amerika Eindruck machen.Der richtige Weg, dies auszudrücken, lautet: "Wenn Sie nicht sofort und drastisch etwas unternehmen, verliert jeder in diesem Raum seine Boni, Aktienzuteilungen, Optionen und Abfindungspakete, nachdem die Regierung Ihre Türen geschlossen hat."DAS wird die Aufmerksamkeit wie nichts anderes lenken - und selbst * das * wird dazu führen, dass nur ein paar Manager entlassen und die C-Suite neu gemischt werden.Ordnen Sie einfach diese Liegestühle neu und wir sind gut, Cap'n ..!
@BobJarvis: Sicher.Mein Argument war jedoch nicht für einen Vorstand gedacht.Es war eine an den Autor der Frage gerichtete und eine Kritik an ihrer Mathematik.
McMatty
2018-01-30 08:47:08 UTC
view on stackexchange narkive permalink

Nein, denn durch die Angabe von Namen, die Sie beschuldigen, muss die Sicherheit nicht mehr die Schuld an Einzelpersonen geben, sondern sie als Ganzes betrachten. Es ist dasselbe wie das Auffinden einer Sicherheitslücke auf einer Website: Sie sollten nicht den Entwickler beschuldigen, sondern den gesamten Prozess verbessern.

Wir führen Phishing-Kampagnen durch und identifizieren keine Benutzer. Wir verwenden es, um Schwachstellen von unserer Seite zu identifizieren und um unsere Mitarbeiter besser zu schulen. Es macht keinen Sinn, diese Schulung auf eine einzelne Person zu konzentrieren.

Nach einer Kampagne senden wir allen Mitarbeitern eine E-Mail, stellen Statistiken über Fehler / Erfolge bereit und geben dann Tipps zum Erkennen von Phishing und zur allgemeinen Behandlung von E-Mails .

Besteht die "Sicherheit als Ganzes nehmen" nicht aus Ihren Individuen?Ihre Umgebung ist also nur in diesem Sinne so sicher wie Ihre Personen.Ich verstehe, dass es nicht darum geht, Benutzer zu beschuldigen, aber es besteht die Möglichkeit, dass einige Benutzer anfälliger für Angriffe sind und daher anders behandelt und geschult werden sollten.Ich glaube nicht, dass es sich um einen Webentwickler handelt, weil ich einen Webentwickler für eine schlecht eingerichtete Website verantwortlich machen würde, es ist seine Aufgabe.
@pm1391 Eines der potenziellen Probleme, an das ich denken kann, wenn die Benutzer identifiziert werden, ist, dass es schwierig sein wird, diese Benutzer zu vergessen, und sie könnten in Zukunft voreingenommen beurteilt werden, wenn es zu einem Vorfall kommt, der mit dem Vertrauen in etwas zusammenhängt (z. B. Datenleck,usw.).
@pm1391 Wenn Sie die Tatsache berücksichtigen, dass Benutzer dazu neigen, das Unternehmen zu verlassen und sich ihm anzuschließen, verstehen Sie, dass es keinen Grund gibt, sich auf bestimmte Benutzer zu konzentrieren, sondern nur auf Schulungsprozesse und Sicherheitsverfahren.
Mit 70% haben sie eindeutig ein systemisches Problem.Sie können durch unternehmensweite Schulungen eine massive Verbesserung erzielen und müssen niemandem die Schuld geben.Auf diesen Ebenen, wenn jemand schuld ist, sind es sowieso diejenigen an der Spitze ~ (vorausgesetzt, das Unternehmen besteht nicht aus Sicherheitsprofis, die über diese Dinge Bescheid wissen sollten);Die anderen 30% haben in ihrer Freizeit vielleicht etwas Vorsicht walten lassen, oder sie waren einfach zu beschäftigt und haben die Phishing-Versuche ignoriert.
Auch wenn nicht nominative Berichte vorliegen, sind sie nicht an die Vorschriften für private Daten gebunden, während dennoch aussagekräftige Ergebnisse erzielt werden.
@pm1391 Sie sollten immer versuchen, alle die gleiche Behandlung zu geben.Wenn Sie anfangen, Menschen herauszusuchen, fühlen sie sich möglicherweise in Zukunft diskriminiert.
Ich stimme zu, Sie alle haben meine Meinung geändert.Die Antwort, die sie mir gaben, gefiel mir einfach nicht.Aber das ist ihre Sache, denke ich, nicht meine
Dies ist die richtige Antwort.Ich weiß nicht, woher die Idee kam, dass es eine gute Sicherheit ist, Menschen zu beschämen.Wenn überhaupt, macht es die Leute defensiver und weniger wahrscheinlich, Ratschlägen zu folgen.Ich wünschte wirklich, Sicherheitsprofis würden erkennen, dass es eine riesige Welt außerhalb ihrer winzigen kleinen Domäne gibt.
@Jorrit das ist in diesem Fall wahr, wo ~ 70% darauf hereinfielen.Wahrscheinlich muss das gesamte Unternehmen geschult werden.Wenn jedoch 2% des gesamten Unternehmens dafür anfällig wären, wäre es nicht sinnvoll, das gesamte Unternehmen anhand einiger Fehler zu schulen.Ein Gespräch auf individueller Ebene könnte hier viel effektiver sein.
@ChrisH gibt es Druck, auf Phishing zu reagieren.Wenn Ihr Vorgesetzter Ihnen routinemäßig eine E-Mail von seinem persönlichen Konto sendet und eine Antwort erwartet, ist es sinnvoll, auf einen Phishing-Angriff zu reagieren.Es kann sein, dass die 70% angesichts der tatsächlichen Arbeitsweise der Organisation nur das "Richtige" tun. Wenn dies wahr wäre, wäre es nicht ihre Schuld.
@emory, das war es, worauf ich mich einließ * Auf diesen Ebenen, wenn jemand schuld ist, sind es sowieso die an der Spitze *
Wenn ich die Sicherheit dieses Unternehmens betreibe und die Namen hätte, würde ich gerne mit einer kleinen Stichprobe von Opfern sprechen, um zu versuchen, das spezifische Problem zu identifizieren, bevor ich das gesamte Unternehmen aufkläre.Andernfalls könnte meine "Ausbildung" die Marke völlig verfehlen!Sie finden heraus, wo das Problem liegt, und beheben es dann.Sie werfen nicht nur Fixes an die Wand, ohne das Problem zu kennen, bis sie hängen bleiben.
Tom K.
2018-01-30 20:21:58 UTC
view on stackexchange narkive permalink

Ich denke, der richtige Blickwinkel besteht darin, die folgende Frage zu stellen:

Mit der Anzahl der Personen, die den Test nicht bestanden haben, welche (Sicherheits-) Ziele würden erreicht, wenn das Unternehmen diese hätte Namen?

Ich würde sagen: keine .

Was ist das Sicherheitsziel eines unternehmensweiten Phishing-Tests überhaupt?

In der Regel werden diese Mitarbeiter in jedem Unternehmen, das auf IT angewiesen ist und eine bestimmte Anzahl von Mitarbeitern hat, Schulungen zur Informationssicherheit unterzogen. Diese Schulungen behandeln hauptsächlich grundlegende Themen wie E-Mail-Kommunikation, Desktop-Sicherheit usw. Bei der Durchführung eines Phishing-Tests möchte das Management wissen:

  1. , ob diese Schulungen erfolgreich waren (wie in: Ihr Geld wert)
  2. , ob Daten oder IT-Systeme dazu gehören Das Unternehmen kann aufgrund mangelnder Schulung kompromittiert werden.
    3. ol>

    Wenn Sie als Auftragnehmer angeben, dass "70% Ihrer Mitarbeiter den Test nicht bestanden haben", werden die beiden oben genannten Fragen beantwortet. Wenn das Management in einem Unternehmen mit mehr als 300 Mitarbeitern nach Namen fragt, erhalten diese keine relevanteren Informationen und erledigen ihre Arbeit nicht richtig.

    Der nächste Schritt besteht nun darin, ein neues Sicherheitsziel zu definieren. Es sollte ungefähr so ​​lauten:

    "In den nächsten X Monaten muss jeder Mitarbeiter an einem Sicherheitstraining teilnehmen. Bis zum Monat des Jahres möchten wir, dass der Auftragnehmer einen weiteren Phishing-Test und den Prozentsatz der Personen durchführt Wenn dieser Test nicht bestanden wird, sollte er unter X% liegen. "

    Wären diese Schulungen kostengünstiger, wenn nur die Mitarbeiter teilnehmen müssten, die den Phishing-Test nicht bestanden haben? Wahrscheinlich.
    Aber: Sie präsentieren sie 30% des Unternehmens (diejenigen, die nicht gehen müssen) als "zu dumm, um einen Phishing-Versuch zu identifizieren". Was dies für die Moral bedeutet, überwiegt alle Kosten, wenn Sie nur alle Ihre Mitarbeiter zu einer Schulung schicken. Außerdem: Eine weitere Erinnerung für die 30% über Informationssicherheit tut nicht wirklich weh.
    Es gibt noch einen weiteren Grund, warum dies eine gute Idee ist: Wenn Sie einen Phishing-Test durchführen, wissen Sie normalerweise nicht, warum die Leute nicht darauf hereingefallen sind. Vielleicht haben einige von ihnen die E-Mail nicht gelesen, weil sie im Urlaub waren, krank waren oder sie einfach übersprungen haben, weil sie einen Posteingang voller wichtigerer Mails haben. Niemand kann Ihnen sagen, ob sie den Test beim nächsten Mal bestehen werden. Mitarbeiter sind immer Ihr Risikofaktor Nummer eins. Trainieren Sie sie, wenn Sie können.

    Ein weiterer Punkt, den ich erwähnen möchte, der bisher in den anderen Antworten übersehen wurde, ist, dass je nachdem, wie Sie die Ergebnisse kommunizieren: die meisten Leute selbst wissen, dass sie diesen Test nicht bestanden haben
    Sie müssen Ihre Mitarbeiter auf die eine oder andere Weise informieren, und ich gehe davon aus, dass die meisten Unternehmen dies so tun: Senden Sie eine unternehmensweite E-Mail mit einem Screenshot der Phishing-Mail.

    "Liebe Mitarbeiter, tut mir leid, aber dies war ein Phishing-Test. Es wartet keine kostenlose Yacht auf Sie. Die Anzahl der Personen, die den Test nicht bestanden haben, war schlecht Warum wir in naher Zukunft einige Sicherheitsschulungen durchführen werden. Ein Auftragnehmer hat dies für uns getan und wir haben keine personenbezogenen Daten gesammelt, sodass wir nicht wissen, wer auf einen Link geklickt hat und wer nicht. Es wird keine Auswirkungen geben. Phishing-Mails können wirklich sehr, sehr schlimme Folgen haben, wie ... yadda, yadda, yadda ... ".

    Die Leute überprüfen ihren Posteingang und wenn es noch nicht lange her ist, merken Sie sich, was sie getan haben. Dies erhöht die Akzeptanz für ein Sicherheitstraining und eine Verhaltensanpassung. Angst zu haben und Menschen unter Druck zu setzen, nützt nichts.

"Senden Sie eine unternehmensweite E-Mail mit einem Screenshot der Phishing-Mail."Guter Punkt
+1, insbesondere, weil Sie nicht wissen, WARUM sie versagt oder bestanden haben und wie stark die Moral beeinflusst wird.Das Gleiche gilt in gewisser Weise auch für die Ausfälle!Ja, selbst eine Person, die den Test nicht besteht, ist wirklich schlecht für das Unternehmen, aber selbst diese Person wurde möglicherweise von den Umständen beeinflusst.Und wenn das Unternehmen Umstände hat, unter denen EINE Person scheitern kann, kann JEDE Person scheitern.Und wieder lässt die Schuld an dieser einen Person NOCH ein potenzielles strukturelles Problem offen, und der eine Mitarbeiter fühlt sich schrecklich.
Wenn es mehrere Phishing-Tests gibt, könnte es nützlich sein zu wissen, welcher Anteil der Benutzer auf einen von ihnen hereinfiel, und ich bin mir nicht sicher, wie dies festgestellt werden kann, ohne irgendwie aufzuzeichnen, welche Benutzer auf welche Tests gefallen sind.
"Post-Besitzer oder Mod", der die Bearbeitungsgenehmigung überschrieben hat, erläutern Sie bitte, warum der Ausdruck "An einem Sicherheitstraining teilnehmen" und "Einige Sicherheitstrainings" besser Englisch ist als "An Sicherheitstraining teilnehmen" und "Sicherheitstraining".Es gibt keinen Plural von "Training" und es gibt kein "Training".Es ist kein Substantiv.
[Eigentlich ist es ein zählbares Substantiv] (https://english.stackexchange.com/questions/354625/what-is-the-correct-plural-of-training).Noch wichtiger war, dass sich die Frage (und die Antwort) auf mehrere Schulungen bezog.Ihre Bearbeitung hat die Bedeutung der Antwort geändert, deshalb habe ich sie überschrieben.
Das einzige, was ich als Management sehen möchte, ist eine Aufschlüsselung nach Abteilungen oder Funktionsbereichen ... nicht nach einzelnen Namen, sondern nach den einzelnen Büros, die schwächer sind.Dies kann wertvoll sein, da es die Manager in den schwächeren Bereichen unter Druck setzt, selbstständig nachzufolgen.
@TomK, aus der von Ihnen verlinkten SE-Antwort: Training ist sowohl zählbar als auch unzählbar.* Normalerweise bezieht sich ein Prozess auf einen Prozess und hat keinen Plural. * Ihre Verwendung war falsch.Ich bin ein englischer Muttersprachler und bin wie der englische Muttersprachler in dieser Frage gleichermaßen "amüsiert" über Ihren Missbrauch des Wortes.Für das zählbare Substantiv möchten Sie "Schulungskurs" (der dann zu "Schulungskursen" wird).
@Phil Haben Sie die akzeptierte Antwort gelesen?Wenn nicht, bitte.Wenn Sie dann weiterhin darüber streiten möchten, tun Sie dies bitte im Chat und nicht in den Kommentaren zu dieser Antwort.Vielen Dank.
Tom
2018-01-30 18:59:43 UTC
view on stackexchange narkive permalink

Über den Zweck dieser Tests scheint es einige Missverständnisse zu geben.

Die Verwendung von Kennungen bedeutet, verantwortliche Personen zu finden, um sie aufzuklären und / oder zu bestrafen. Es kann ein expliziter Parameter des Tests sein, dass keine Personen identifiziert werden können. In vielen europäischen Ländern müssten der lokale Arbeitnehmerrat oder Gewerkschaftsvertreter einem solchen Test zustimmen und könnten dies als Bedingung festlegen.

Die Verwendung von Statistiken bedeutet, Leistungsindikatoren zu identifizieren . Sie können diese aneinander messen, um beispielsweise festzustellen, ob Sie sich verbessern oder ob eine von Ihnen durchgeführte Sensibilisierungskampagne effektiv war. Sie benötigen dafür keine identifizierten Personen und es kann sogar zu einer Verwischung der Ergebnisse kommen.

Schließlich zahlt der Kunde die Rechnung. Sie arbeiten für sie. Sie sollten also auf Ihre beruflichen Bedenken oder Gedanken hinweisen, sofern dies nicht gegen Ihre persönliche oder berufliche Ethik verstößt (z. B. gegen die ISACA-Ethikstandards, wenn Sie Mitglied sind), aber Sie liefern, was der Kunde verlangt.

Verstanden.Ich fand es nur beunruhigend, dass sie diese Referenz nicht für zukünftige Phishing-Tests behalten wollten.Und es widerspricht in gewisser Weise meiner "persönlichen" Ethik.Ich bin stolz darauf, die Menschen zur Rechenschaft zu ziehen.Aus den anderen Antworten geht jedoch hervor, dass es wichtiger ist, systematisch darauf einzugehen
"Ich bin stolz darauf, die Menschen zur Rechenschaft zu ziehen."- Aber wie würden Sie das in diesem Fall tun?Erwarten Sie, dass das Unternehmen seine Kunden dafür bestraft, dass sie auf Phishing hereinfallen?Zum Beispiel sollten sie eine zweite E-Mail verschicken, in der steht: "Wenn Sie auf die letzte E-Mail hereinfallen, sollten Sie sich schlecht fühlen."
@pm1391, Wenn Sie daran interessiert sind, Ihre persönlichen Überzeugungen in Frage zu stellen, lesen Sie ein Buch von W. Edward Deming.https://www.amazon.com/s/ref=nb_sb_noss_1?url=search-alias%3Daps&field-keywords=w+edward+deming Er war sehr daran interessiert, die Mängel eines Unternehmens nicht der tatsächlichen Belegschaft, sondern der tatsächlichen zuzuschreibenSystem von seinem Management entworfen.
@industry7 ist in dem Sinne verantwortlich, dass wir uns nach 10 Kampagnen mit Benutzer x zusammensetzen müssen, wenn sich Benutzer x nicht verbessert.Weil sich Benutzer x nicht verbessert und es ihm egal ist.
@pm1391 auf der Ebene des Top-Level-Managements ist die individuelle Leistung irrelevant.Sie haben größere Fische zum Braten.Sie könnten an dem Prozentsatz der Mitarbeiter interessiert sein, die es nach 10 Kampagnen nicht bekommen, aber nicht an Einzelpersonen.
@Tom Ohne zu verraten, wer dieser Vertrag ist, haben die Mitarbeiter in der Organisation das Potenzial, ** viel ** mehr als ihr Amazon-Passwort zu verlieren
Das könnte durchaus zutreffen, und Sie sollten es in Ihre Wirkungsanalyse einbeziehen.Dennoch möchte die Managementebene, mit der Sie sich befassen, möglicherweise nicht mit Einzelpersonen umgehen.
Wadih M.
2018-01-30 20:28:50 UTC
view on stackexchange narkive permalink

Um Ihre Frage zu beantworten:

Verstößt dies nicht gegen den Zweck von Phishing-Kampagnen und die Verbesserung der Informationssicherheit in Ihrem Netzwerk? Ist das überhaupt normal?

Nein. Wenn der Kunde eine verwässerte Version des Forschungsergebnisses wünscht, ist dies letztendlich sein Anruf. Sie haben jedoch alle Rechte, Ihre besten Ratschläge zu geben und ihnen die Macht der Wahl zu geben.

Ist es normal, mit solchen Kundenreaktionen konfrontiert zu werden? Ja, es kann die ganze Zeit passieren, und das könnte die Folge vieler Dinge sein. Der Kunde hat möglicherweise seine eigenen Unsicherheiten (z. B. was, wenn Mitglieder des Managements erwischt wurden, wie er damit umgeht) oder möchte seine Mitarbeiter nicht schmälern, weiß möglicherweise nicht, wie er seine Schulung danach handhaben soll, sobald der Bericht veröffentlicht ist.

Wenn sie dafür bezahlen, müssen Sie als Berater ihre Entscheidung endlich erfüllen.

Als zusätzliche Randnotiz zu etwas, das mir aufgefallen ist :

Ich beschuldigte sie höflich, ein Kästchen angekreuzt zu haben und nicht wirklich an Bildung interessiert zu sein ihre Benutzer.

Es gibt keine Möglichkeit, höflich zu sagen, was Sie gerade gesagt haben. Aber es gibt andere Möglichkeiten, es zu sagen, ohne auf etwas Falsches zu stoßen. Willkommen in der Welt der Politik. Ich sehe, dass die meisten anderen Antworten den Sicherheitsaspekt abdecken, daher möchte ich den anderen subtilen politischen Aspekt in meiner Antwort behandeln.

Sie haben sichtbar viel guten Willen und Know-how, und Ihr Kunde erscheint aus Ihrer Sicht hartnäckig, weil Sie nicht die volle Länge dieser Übung erreicht haben.

Ich habe festgestellt, dass der beste Weg, so etwas zu kommunizieren, darin besteht, etwas andere Ausdrucksweisen zu verwenden, die Ihre Sache fördern, ohne den Kunden notwendigerweise zu ärgern oder dem Kunden das Gefühl zu geben, dass Sie ihn nicht anrufen lassen die Schüsse oder du kritisierst ihn und kommst auf den falschen Weg.

Hier sind einige Möglichkeiten, wie Sie es hätten sagen können, die wahrscheinlich dazu beigetragen hätten, Ihre Vision zu fördern. Es ist alles Politik und kann separat studiert werden.

  • Politisch korrektester Weg (maximale Nachrichtenverdünnung): Wir würden eine großartige Gelegenheit verpassen, wenn wir diesen Teil der Übung weglassen würden. Sind Sie sicher, dass Sie das tun möchten, Herr Kunde?
  • Ein bisschen weniger politisch korrekt, aber die Botschaft ist weniger verwässert und kommt immer noch nicht rüber: Wenn wir nicht in vollem Umfang gehen und das Training dort stattfinden lassen, wo es fällig ist, würden wir viel verschwenden von Energie. Sind Sie sicher, dass Sie das tun möchten, Herr Kunde?

Beachten Sie, dass ich in beiden Fällen mit fertig bin. Sind Sie sicher, dass Sie das tun möchten, Herr Kunde? . Das nennt man die Macht der Wahl. Legen Sie die Wahl am Ende aller Versuche, ihr Verhalten oder Denken zu ändern, wieder in ihre Hände.

Wenn Sie keinen Erfolg haben und sie es immer noch nicht wollen, lassen Sie es sein. Sie hatten sowieso keine Autorität, Sie können sie nur so gut wie möglich beraten. In einem anderen Szenario hätten Sie jedoch das Denken des Kunden beeinflussen und es nach Ihren Wünschen gestalten können. Das ist aber nicht immer der Fall.

Vielen Dank, Sie sprechen die politische Seite der Schlacht an, wie Sie erwähnen.Ich bin jung auf diesem Gebiet und habe die Sprache des Handels vielleicht noch nicht gelernt.Ich kann nicht darüber sprechen, ob es eine Antwort sein sollte, aber ich schätze die Perspektive
WoJ
2018-02-01 04:13:45 UTC
view on stackexchange narkive permalink

Ich habe gerade eine solche Kampagne (als Kunde) beendet und wollte absolute Anonymität der Benutzer.

Es gab einige Gründe, darunter die wichtigsten waren

  • die Tatsache, dass ich eine globale Notiz über die Kampagne und die Ergebnisse senden würde

Ihr Kunde hatte möglicherweise andere Gründe dafür. Sie haben ihnen die Möglichkeit gegeben, vollständige Ergebnisse zu erzielen, möglicherweise mit einigen Ratschlägen. Sie wollten die anonyme Version, ihre Wahl.

Hinweis: Entschuldigen Sie die Tippfehler (oder tatsächlich - falsche automatische Vervollständigungen durch mein Telefon), die meine anfängliche Antwort ziemlich seltsam aussehen ließen.

Stimmt, und ich respektiere, dass es ihre Entscheidung ist.Es schmerzt mich jedoch, dass es so viele Daten gibt, die meiner Ansicht nach zum weiteren Schutz ihrer Umwelt verwendet werden könnten.Sie können die Daten weiterhin behalten und ohne Einzelpersonen die Schuld zuzuweisen.
Die Privatsphäre spielt eine große Rolle, insbesondere in Ländern der Europäischen Union.
@pm1391 Namen von Naiven sind wertlos, um ihre Umwelt zu schützen.Wie Sie richtig identifiziert haben, geht es darum, eine Umgebung zu schaffen, in der Phishing-Resistenzen auftreten - und nicht darum, Sam Anti-Phishing-Helfer zu geben.Auch die 30%, die bestanden haben, hätten es einfach verpassen können, Bildung muss einheitlich sein. Als jemand, der sich mit Sicherheit befasst, sollten Sie am besten wissen, dass Sie keine Daten speichern dürfen, die Sie nicht benötigen.Das ist eine Verletzung, die darauf wartet, passiert zu werden.Sie waren schlau, indem sie sich weigerten, Ihre Liste zu sehen. Wenn die Liste jemals auftaucht, ist dies nur Ihre Schuld.Ich rate dir, es zu zerstören.
Harper - Reinstate Monica
2018-01-31 03:06:57 UTC
view on stackexchange narkive permalink

Ich verstehe Ihren Wunsch, diese Daten zu erfassen, vollkommen. Also anonymisiere sie. Die allgemeine Idee ist, dass Sie einen MD5-Hash der E-Mail-Adresse in Kleinbuchstaben verwenden und so viele Auflösungsbits wie nötig abrufen und diese entweder b7R + belassen oder in "AOL-Passwörter" wie rasieren konvertieren -pen-osram .

Verboten 

  John Smith FAIL Frank Frink FAIL Juliana Crain PASS

Was Ihnen erlaubt sein könnte 

  Rufus-Castle-Uniform-Feind FAIL Zion-Lathe-Shoot-Loyal FAIL Flucht-Weltlich-variabler-Schlüssel PASS

Was ist noch sicherer 

  Bucket Stop-Bad 4/6 fehlgeschlagen (66%) Bucket Wax-Scissors 5/6 fehlgeschlagen (83%) Bucket Memory-Egg 4/5 fehlgeschlagen (80%)

Dort Es gibt zwei Möglichkeiten, um die Anonymität zu erreichen. Stellen Sie sich vor, n -Bits können die Anzahl der Mitarbeiter enthalten (z. B. Mitarbeiter = 700 n = 10).

  • Sie können a Einige zusätzliche Bits, wie n +6 Bits. In diesem Fall wäre die Anonymisierung reversibel und der Mitarbeiter könnte entlarvt werden: Rufus-Castle-Uniform-Enemy normalerweise wird nur an jsmith@foo.com gesendet ... Gotcha! Möglicherweise gibt es eine zweite E-Mail, aber je mehr Bits, desto weniger wahrscheinlich.
  • Sie können ein paar zu wenige Bits verwenden, z. B. n -3 Bits. In diesem Fall zeigt der umgekehrte Lauf Stop- Schlechte -Hashes an jsmith, emccarthy, jcrian, tkido, ctagawa, und ffrink machen Vergeltung unmöglich. Dies führt dazu, dass sozusagen eine Gruppe von "Eimern" entsteht.
  • Sie können das MD5 salzen, aber das schlägt fehl, wenn der Verfolger
    • das Salz durch einen Brute-Force-Kryptoangriff lernt.
    • befiehlt Ihnen einfach, es umzudrehen
    • notiert das Muster der protokollierten Aktivitäten und leitet den Benutzer
ab

Ihre Uneinigkeit mit ihren Gründen ist ein klassisches arbeitsplatz.se Problem, aber sie geben Ihnen möglicherweise nicht alle Gründe * an. Unabhängig davon müssen Sie sie in Ihrem Bericht einhalten.

Mit den Methoden, die ich hier mit Anonymisierung bereitgestellt habe, können Sie in Ihrem Bericht die Detaildaten darstellen, die Sie präsentieren möchten, während Sie deren Richtlinie technisch einhalten. Sie können dies entweder in der Form n + many tun, wodurch sie zu einzelnen Benutzern zurückkehren können, wenn sie dies wirklich möchten - oder in der Form mit Bucket, die dies nicht tut.

Bucketing ist mit 70% ziemlich nutzlos, es sei denn, Sie präsentieren "In Bucket 127 sind 4/6 Benutzer auf den Phish hereingefallen". Bucketing funktioniert am besten, wenn die Trefferquote 1/3 der Anzahl der Buckets oder weniger beträgt, sodass 2 Treffer im selben Bucket selten sind. "In 512 Eimern hatten 90 Eimer Treffer, höchstwahrscheinlich 90-95 Personen, das ist die Zahl, die Sie wollen.

* Als Prozessanwalt kann ich mir einen wirklich großen vorstellen. Wenn ich es wäre, Ich würde die personalisierten Daten "routinemäßig" löschen. Alles für immer zu speichern ist alles Spaß und Spiel, bis die Vorladung kommt.

@schroeder Ich werde versuchen, das zu klären.Ich sage, setzen Sie "Rufus-Castle-Uniform-Enemy" in die Berichte, wo der Name sonst wäre.
Ok, es ist jetzt ein bisschen sinnvoller, Personen in den Daten mithilfe einer reversiblen Anonymisierung darzustellen, damit der Kunde diesen Schleier durchstoßen kann.Aber meine Güte, war das am Anfang unklar.
@schroeder Kann ich noch etwas tun, um das Problem zu beheben?Beispiele?
Wäre es nicht einfacher, nur eine zufällig generierte ID anstelle von Hashes zu verwenden?
Das Problem bei diesem Schema ist, dass es die Dekanonymisierung immer noch nicht unbedingt verhindert.Wenn Sie Rufus-Castle im Datensatz für die Buchhaltungsabteilung, Mitarbeiter im Alter von 30 bis 40 Jahren und in der Liste der Auftragnehmer sehen, gibt es möglicherweise nur einen Mitarbeiter, der diesem Profil entspricht.Wenn Sie wirklich einen technischen Mechanismus zur Anonymisierung der Daten wünschen und dennoch nützliche statistische Informationen erhalten möchten, empfehlen wir Ihnen, stattdessen [differenzielle Privatsphäre] (https://en.m.wikipedia.org/wiki/Differential_privacy) zu prüfen.
@LieRyan Ich stimme vollkommen zu, ich schlug es vor, weil die Verhinderung der Dekanonymisierung nicht das war, was OP überhaupt wollte.Die Eimertechnik hilft dabei.Sourav das wäre viel einfacher, würde es Ihnen aber nicht erlauben, nachfolgende Tests mit früheren Ergebnissen zu verbinden.Sie würden wissen, dass Sie von 70% auf 44% gescheitert sind, aber nicht wissen, dass 56% der vorherigen Fehler erfolgreich waren und (alarmierend) 61% der vorherigen Nachfolger fehlgeschlagen sind.
Der Ort, von dem ich mich zurückgezogen habe, hat eine jährliche "Umfrage zur Mitarbeiterzufriedenheit" durchgeführt.Bei der Umfrage wurden nie demografische Informationen abgefragt, es wurde jedoch eine Mitarbeiter-ID-Nummer abgerufen.Jeder, dem sieben oder weniger Personen Bericht erstatteten, erhielt keinen Bericht - zu leicht zu erraten, wer was gesagt hat.Führungskräfte mit mehr Untergebenen erhielten für jede Frage einen Bericht über ihre durchschnittliche Punktzahl.
WGroleau
2018-01-31 08:34:21 UTC
view on stackexchange narkive permalink

Ich stimme zu, dass die Wahl des Kunden anscheinend keine Verbesserungsmöglichkeiten verhindert. Es gibt jedoch noch einen anderen Weg zur Verbesserung.

Lassen Sie alle Mitarbeiter wissen: "Wir wissen nicht, wer darauf hereingefallen ist und wer nicht, daher können wir niemanden entlassen oder belohnen." Wir führen diesen Test jedoch jeden Monat durch und veröffentlichen die Prozentsätze. Wenn die 70% bis Ende des Jahres auf 20% gesunken sind, erhalten alle Mitarbeiter einen Bonus. Die Höhe des Bonus hängt davon ab, wie viel unter zwanzig. Um dieses Ziel zu erreichen, wird wöchentlich eine E-Mail gesendet, in der eine Technik zur Identifizierung von Phishing vermittelt wird. Nächstes Jahr wird der Bonus jedes Quartal sein, aber das Ziel wird auch jedes Quartal kleiner sein. “



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...