web-dev-qa-db-ja.com

フィッシング教育が行き過ぎているのはいつですか?

私は現在、職場のITセキュリティチームでシニアロールを担当しています。最近、私はフィッシング/ソーシャルエンジニアリングトレーニングキャンペーンを設計する際に管理を支援しました。ITセキュリティーはフィッシングの「テスト」メールを送信し、会社の従業員がそのようなメールを見つけることにどれだけ注意しているかを確認します。

ユーザーの職務だけでなく、そのような従業員が目にする可能性のあるコンテンツにも基づいて、非常に的を絞った戦略を採用しています。コンテンツは、ソーシャルメディアの偽の投稿やターゲットを絞った広告への機密コンテンツ(パスワードの更新など)を求めるメールを含むように変化しています。

エンドユーザーからプッシュバックを受け取っています。エンドユーザーは、真に悪意のあるフィッシングメールから日常的に受信する正当なメールを区別する方法がないということです。私たちのチームから、これらのテストの難しさを縮小してほしいという要望がありました。

スピアフィッシングシミュレーションは極端すぎる/シミュレーションの設計が不適切であるとするコメントに対処するために編集

フィッシングシミュレーションの過去の結果を分析する際、クリックしたユーザーは特定のパターンを示す傾向がありました。また、財務上の損失(不要なオンライン購入)をもたらす特定の成功したフィッシングは、上級管理職のメンバーのふりをしていました。

ターゲティングの深さ/ GDPRに関するコメントに対応するために、カスタマイズの方法は、その人だけが知っているプラ​​イベートユーザーデータではなく、会社の公開データ(つまり、職務機能)に基づいています。 「ユーザーが見やすいコンテンツ」は、「典型的なシナリオnot職場のユーザーが目にするコンテンツ具体的にに基づいています。

質問

  1. フィッシング教育が行き過ぎているのはいつですか?

  2. エンドユーザーからの反論は、彼らの意識がまだ欠如しており、さらなるトレーニング、特に悪意のある電子メールから正当なものを認識できないことを示していますか?

87
Anthony

私はあなたが対処する必要がある根本的な問題があると思います。 なぜユーザーは失敗していることに気を配っているのですか?

フィッシングシミュレーションは、何よりもまず、テストツールではなく教育ツールである必要があります。

失敗の結果が悪い場合は、ユーザーは不平を言うでしょうテストが準備したよりも難しい場合あなたも不平を言うでしょう。

したがって、応答は次のようになります。

  • 彼らが(または=別の方法で)それらを教育して、それらができるテスト(または、彼らがそうあるべきである理解テスト)に合格することができるようにします
  • 失敗のマイナスの影響を取り除く

これにより、教育資料のコンテンツを変更する必要がなくなる可能性がありますが、ユーザー、管理者、およびセキュリティチームのフィッシングシミュレーションの再構成のみが必要になる場合があります。

もう1つの方法は、ユーザーがフィッシングへの対応に成功するにつれて、フィッシングシミュレーションを段階的に進め、シミュレーションを難しくすることです。私は自分のカスタムプログラムでこれを行いました。バックエンドはもっと複雑ですが、できれば見返りは大きくなります。

あなたの焦点は、フィッシング攻撃に対抗する組織の能力の進化する成熟度である必要があり、すべての人をテストで完璧にすることではありません。この見方をすれば、これらのテストと苦情の周りの文化が変化します。

それを正しく行うと、ユーザーはフィッシングシミュレーションをharderに簡単にすることを求めます。その最終結果を目指す場合、はるかに回復力のある組織になります。

101
schroeder

区別する方法はありません本当に悪質なフィッシングメールから日常的に受信する正当なメールを持っているというエンドユーザーからのプッシュバックを取得しています。

これは、訓練を受けたセキュリティ専門家による偽物として根絶される可能性のあるテストが、そうでない人々を評価するために使用されていることを示しています。あなたはメールを分けてヘッダーを解釈するスキルを持っているかもしれませんが、会計のダンはおそらくそうではなく、彼の経営陣はRFC 822のマスタークラスが彼の時間の有効利用であることに同意する可能性は低いです。

ヒット率を上げるためにターゲットを絞ったメールを作成することは、ユーザーと送信者と思われるユーザーについて収集された情報に基づいて行われる必要があります。これはフィッシャーが密告する情報ではなく、マイケルハンプトンがコメントで指摘したように、スピアフィッシングが発生しています。それは別のフィールドでプレイされる別のボールゲームです。

十分なスピアフィッシングがビジネスに損害を与える可能性のある敵(本物または潜在的)がいる場合、すべてのフィッシング対策とトレーニングは役に立ちません。あなたの仕事は、会計のダンに本物と偽物を区別する方法を与えるツールを配備することです。これは、暗号化された署名のような送信側のセキュリティを意味する可能性があり、ユーザーのメールクライアントは、何かが署名されていないか署名が一致しない場合に目立つ警告をチェックして投稿できます。特に組織が大きくなり、人々がお互いをよく知らない場合、100%の確率でこれを正しく行うために人間に依存することはできません。

59
Blrfl

私が他の回答で見たことはないが、現実の世界では見たことがあるという1つの可能性のあるポイントがあります。

ユーザーは、「日常的に受信する正当なメールを、真に悪意のあるフィッシングメールと区別する方法がない」と述べています。これからわか​​ることは、パスワードの更新やサービスの変更などに関する正当なメールは、ユーザーが従うことが期待されているルールに従っていないということです。

私は確かにトレーニング資料がユーザーに電子メールのリンクをクリックしないようにそしてそれらのリンクが指すサイトにパスワードを入れないように、またはそこからソフトウェアをインストールしないように指示する組織を見てきました。そして、それらの組織のサービスチームは、アクションが必要なサービスの更新(パスワードの更新、ソフトウェアのインストールなど)に関する大量の電子メールを送信し、クリックするのに役立つリンクをクリックします。

役立つかもしれない1つのことは、ユーザーがこれらの正当なメールを報告するであることを明確にすることです。ユーザーに直接役立つわけではないかもしれませんが、メールに従うべきルールがあることをサービスチームに思い出させることは役立つかもしれません。

36
James_pic
  1. フィッシング教育が行き過ぎているのはいつですか?

コストがメリットを超える場合。利益は通常、クリックスルー率が低く、本物のフィッシングメールの報告率が高いことで測定されます。コストは以下で測定できます:

  • テストを実装するための努力
  • フィッシングメールの(ではない)誤検知レポート
  • 正当なメールのエンゲージメント率が低い
  • セキュリティグループに対する悪意。

最後は測定するのが最も難しく、無視されることがよくありますが、自分の仕事を騙して自分の人を騙すことである場合、疑いを持ってあなたを見始めても驚かないでください。

  1. エンドユーザーからの反論は、彼らの意識がまだ欠如しており、さらなるトレーニング、特に悪意のある電子メールから正当なものを認識できないことを示していますか?

えっと、多分?

クリック率が高いままである場合は、認知度はまだ不足しており、さらなるトレーニングが必要です。

クリックスルー率は一般的に低下しているが、テストメールが一貫してだまされている場合、テストに関する懸念は正当なものである可能性があります。

あなたのコンテンツは、ユーザーや彼らの仕事の役割さえかなり厳密に調整されているようです。これがネガティブな反応を引き起こしているのかもしれません。理想的には、フィッシングテストは、攻撃者が電子メールへのアクセスを許可していないのと同じように、内部の電子メールの実践に関する知識や理解に依存すべきではありません。 (そして、同じ理由で、内部メッセージングが外部メッセージングのように見えるべきではないことに注意してください)。

フィッシングテストのアウトソーシングを検討してください。このサービスの提供に専念している組織は、「実際の」状況をよりよく理解しており、エンゲージメント率を測定およびレポートするためのツールは通常、自分で行うよりも優れています。

個人的には、ユーザーとセキュリティの間の信頼を損なうと思うので、フィッシングテストは好きではありません。しかし、問題は、ユーザーの防御を改善するための最良の方法の1つであるということです。

15
gowenfawr

これが行き過ぎた可能性のある方法が1つあります。

ユーザーの職種だけでなく、そのような従業員が目にする可能性のあるコンテンツにも基づいて、非常にターゲットを絞った戦略を採用しています。

あなたの会社の従業員が実際にこのレベルのスピアフィッシングの対象となるかかどうかを自問する必要があります。答えが「いいえ」の場合は、行き過ぎです。もちろん、これはすべてグループの活動に依存しています。 DNCの場合、答えは「はい」です。

8
Cliff AB

あなたは私たちのセキュリティ専門家の間で非常に一般的な間違いを犯したようです:あなたは多すぎるを攻撃者の考え方に入れ、あなたは一生懸命に努力しすぎています敗北同僚、それらをあなたの味方にする代わりに。

フィッシングキャンペーンは脅威モデルとリスク分析に基づいている必要があります。従業員は巧妙に細工されたスピアフィッシング攻撃の標的となる可能性が高いですか、それともリスクが高いほど、中程度の攻撃者スキルのより一般的な非標的型の大量フィッシングキャンペーンですか?

後者の場合、リスク分析によると例外的にありそうもないことを従業員に行わないでください。あなたは単にあなたがそれをしている理由を経営者に説明することができません、そしてあなたはあなたがより賢くて「負けた」正社員のように見えることから高みを得ようとしているように見えます。 (もちろん、専門知識の分野では、予算、顧客の苦情への対応、または供給管理において、彼らがあなたを打ち負かすことができるのと同じようにできます)。

脅威モデルでdoをターゲットにしてスキルの高いスピアフィッシングキャンペーンを行っている場合は、段階的にエスカレートし、複数のステップでキャンペーンを計画する必要があります。あなたの目標は教えるであり、打ち負かして恥ずかしいことではありません。つまり、すべての教師が行うことを実行します。単純な基本演習から始めて、次により難しい演習に進みます。

たとえば、3ステップのプロセスでは、偽物として見つけるのはかなり簡単ですが、見にくい要素も含まれているメールから始めます。ユーザーがそれをフィッシングメールとして正しく識別したら、それらを祝福しますそして、より良い隠されたものを含むすべての手がかりを指摘します。これは学習の一部です。彼らは発見した手がかりを積極的に強化し、見逃した追加の手がかりを教えられます。

2番目のラウンドでは、大まかに標的にされた(たとえば、部門または機能に宛てた)フィッシングメールを送信します。それらの少なくとも半分は、以前のメールで教えられたものを含むべきです。繰り返しになりますが、ユーザーがフィッシングの試みを正しく見つけたら、祝福してall手がかりを指摘します。これには、導入した新しい手がかりが含まれます。これにより、新しい手がかりが強化され、教えられ、一部の手がかりは、ユーザーが以前考えていたよりも見つけるのが難しい場合があるという認識が高まります。

3番目のラウンドでは、明確な手がかりなしで個人をターゲットにしたメールを送信しますが、非表示の手がかりの少なくとも半分は、ユーザーが以前に教えたセットに含まれている必要があります。繰り返しになりますが、ユーザーが正しく識別した場合は、すべての手がかりを祝福して強調表示するので、ユーザーはさらに学ぶことができます。

すべてのケースで、ユーザーがフィッシングメールを誤って識別した場合、also指摘all手がかり、そしてそのステップを繰り返すが届くまでそれ。学習者がまだ現在のレッスンに苦労している間は、より難しいレッスンに進まないでください。

これはあなたの側ではるかに多くの仕事ですが、従業員側ではるかに強力な強化とより高い関与を提供し、最終的にあなたは彼らのためにそれをしています。

5
Tom

「行き過ぎ」の問題には文脈が必要です。どこが行き過ぎているのか?

フィッシングテストの試行は、メールを疑わしいものにすることです。そうでないと、文字どおり招待される危険があるためです。ネットワークへの不正ユーザー。

そのため、既知の不正なメールを選別して仕事に必要なメールに到達するまでに、大量のメールが存在することはありませんが、組織内の誰かが攻撃者を描き、間違ったリンクをクリックさせようとする組織外の人々がそれを実行させようとしているためです(-===-)。

質問は誰かが策略に出たときに起こります、あなたは悪意のある俳優の代わりに彼らを捕まえてうれしいですか?他の人がここで言及しているように(そして、@ BoredToolBoxは私の意見では反対投票されるべきではありませんでした)、これはeducationについてです。

それを質問の文言に入れれば、「どれだけ教育が行き過ぎているのか?」という意味ではないと私は確信しています。正しい?

ほとんどの組織でおそらく行き過ぎているのは、徹底的にクリックしている人々への反応であり、特に懲罰的な側面がある場合はそうです。アクションをキャッチしたのは、gladである必要があります。これは、ユーザーが何が起こったのかを理解するのに役立つチャンスであり、なぜこの演習を行っているのか。人々を罰したり、恥をかかせたりすべきではありません。

これが病気が労働者に広がるのを防ぐ方法に関する演習だったと想像してください。適切なホストが見つかるまで休眠状態になり、その後すべての人を殺す可能性がある致命的なウイルスですが、パッケージを手に入れて玄関にランダムにやって来る人々によって感染が広がっていることを知りません。

私たちは建物に入る人々からの荷物を受け入れるだけではなく、人々の目に見えないのはこれがまさに彼らの電子メールで起こっていることだということを知るのに十分な常識があります。つまり、これは文化と視点の変化に関するものであり、教育について話しているときに、これについての知識のどの部分が行き過ぎているのか、実際にはわかりません。

1
Roostercrab

同様の何かに直面し、現在は同様の何かを実行するチームの一部です。これが私の2セントです。

教育は非常にトリッキーな概念です。なぜなら、人々が学ぶ方法は個人によって異なるからです。しかし、私が見たのは、伝えたい情報を2〜4点で簡潔にしようとする場合、常に役立つ最小限の言葉で表現することです。人々を教育することになると、私たちはこのようなことをします:

組織外の人からメールを受け取ったときはいつでも、次の質問をしてください。

  • このメールIDを個人的に知っていますか?
  • メールIDとドメイン名がおかしく見えますか?
  • このリンクをクリックしますか、それともこの人に個人情報を提供しますか?

そして最後に、私たちは常にそれについて言及します:

  • 不明な場合は、このメールを{これを確認するメールID}@{yourorg}.comに転送してください。

    1. 絶対に。メールを無視するか、社内のセキュリティチームに転送して確認してもらうだけでよいと思います。

ここでやらなければならないのは教育です。なぜなら、従業員は成功したフィッシングが会社だけでなく従業員にも害を及ぼす可能性があることを知る必要があるからです。

0
BoredToolBox

これがあなたのケースに当てはまるかどうかはわかりませんが、潜在的な問題の1つは、ユーザーの認識に対する期待が、使用されているセキュリティ基準よりも高い場合です。例えば:

  • Https証明書を常に確認するようにユーザーを教育することもできますが、一部の内部Webサイトでは、自己署名証明書または期限切れの証明書を使用したり、プレーンな非暗号化httpを介してユーザー名とパスワードを送信する必要がある場合もあります。
  • または、公式のすべての内部ツールが会社のドメインに存在することをユーザーに教えることもできますが、実際には、GmailやOAuthに接続されたSlackなどの一般的なサードパーティサービスを使用しています。

最初の例はインフラストラクチャの実際の問題ですが、2番目の例は古い推奨事項と組み合わせた安全な方法です。私は両方とも実際に起こっているのを見てきましたが、これらの場合、あなたが教えようとしている原則は日常の実践には適用できず、最終的に混乱と遵守の失敗につながる可能性があります。

0
Zoltan

あなたの組織の規模はわかりませんが、私が提供できる最も実用的なアドバイスは、考えすぎると行き過ぎることがあるということです。 -偽の電子メールをいくつか作成し、ユーザーに送信し、ユーザーの操作を確認します。

私たちはツール(KnowBe4)を使用します-ユーザーに対していくつかの試用版を実行し、それを使用して、ユーザーを教育/認識させます。私たちは合格者、不合格者を記録し、全体的なプロセスを使用して教育し、教育することを実証します。

カスタムターゲティングでオーディエンスを考えすぎないでください。複雑なデータ分析を行わないでください...もしそうなら、あなたはおそらく次の課題に費やすことができる時間を無駄にしているでしょう。

幹部や特定の人々にスピアフィッシングが見られた場合は、個人的かつ頻繁に関与させ、だまされた場合にそれを確実に捕まえるために何らかの操作を行ってください。たとえば、誰かがあなたのCFOに電信送金をリリースさせようとしている場合、運用上の変更により、CFOは追加のメーカー/チェッカープロセスを持っているか、電信送金が必要であることの二次的な非メール(音声?)確認を取得します。

0
subs

ここでは2つの問題があるように思えます。

  1. ユーザーは、不可能だと思われるテストに失敗したため、定期的に非難されていることに不満を感じています。

  2. ユーザーは、ITが疑わしい価値の無限のテストで時間を浪費していることに苛立ちを感じています。

RE#1、3つの可能性があります。

A:ユーザーに不可能な要求を出しています。少なくとも、セキュリティの専門家でない人に合理的に期待できるレベルをはるかに超える高度なレベルを示すことを要求しているという意味では不可能です。たとえを言えば、すべての従業員が基本的な応急処置を実行する準備ができていることを要求するのが妥当かもしれません:包帯を巻いたり、誰かにアスピリンを与えたりするなどです。 。緊急心臓手術の練習訓練を開始し、ステントを埋め込む方法を適切に説明できない従業員、または心臓移植の182のステップすべてを正しくリストできない従業員を爆破する場合、明らかにそれは不合理です。非現実的な要求を行い、それを満たせなかった従業員を激怒させることは、恨みを築き、士気を殺すこと以外何も達成しません。

B:あなたの期待は完全に合理的であり、従業員は十分に訓練されていません。その場合、明白な答えはトレーニングを提供することです。トレーニングを一度も行ったことがなく、今まで教えられたことのないことを知らないために従業員を怒らせているなら、これもまた無理です。コンピュータセキュリティの専門家にとって「自明」なことは、そのようなバックグラウンドを持たない人にとっては必ずしも明白ではないことを覚えておいてください。私にはプロの会計士には自明であるがアカウンティングには自明ではない多くの事柄や、プロのメカニックなどには自明な自動車整備に関する事柄があると思います。

C:あなたの期待は完全に合理的であり、従業員は怠惰で無責任であり、努力をすることができません。その場合、それは管理上の問題です。誰かが従業員に一生懸命働くための適切なインセンティブを与えなければなりません。それは励ましのペップトークから、計り知れない人を解雇することまで及ぶ可能性があります。

RE#2:私が空軍にいたとき、もちろん安全は大きな関心事でした。私たちには、航空機を破壊して私たちを殺そうとする人々がいました。しかし、そのような極端な状況でも、セキュリティ担当者は、より厳格なセキュリティが常に最良であるとは限らないことをよく知っていました。基準は、セキュリティは、実際のリスクに対処するためにできるだけ効果的であると同時に、仕事をしている人々にできるだけ干渉しないことでした。

この場合、もちろん、悪意のあるハッカーがパスワードを手に入れてデータを盗んだり破壊したりすることは悪いことです。それはあなたに多額の費用をかけるかもしれません、多分あなたを廃業に追いやります。しかし、脅威が巨大でなければ、従業員が時間の90%を脅威の回避に費やし、会社に収入をもたらす仕事をするのは10%だけであると期待することはできません。それも破産するためのレシピです。脅威から保護することと、だれでも自分の仕事を実行できないようにすることとの間に適切なバランスが必要です。

0
Jay