stringtranslate.com

Имитация фишинга

Имитация фишинга или фишинговый тест — это когда организация рассылает своим сотрудникам обманные письма , похожие на вредоносные, чтобы оценить их реакцию на фишинг и подобные атаки по электронной почте. Сами письма часто являются формой обучения, но такое тестирование обычно проводится в сочетании с предшествующим обучением; и часто сопровождается дополнительными элементами обучения. Это особенно касается тех, кто «проваливается», открывая вложения электронной почты, нажимая на включенные веб-ссылки или вводя учетные данные.

Обоснование

В сфере ИТ-безопасности широко распространено мнение, что технические меры сами по себе не могут остановить все вредоносные атаки по электронной почте, и что необходима хорошая подготовка персонала. [ требуется ссылка ] [1] Имитация фишинга позволяет напрямую измерить соответствие персонала требованиям, а при регулярном запуске может измерить прогресс в поведении пользователей. Имитация фишинга рекомендуется различными официальными агентствами, которые часто предоставляют рекомендации по разработке таких политик. [2] Имитация фишинга иногда сравнивается с пожарными учениями , поскольку дает персоналу регулярную практику правильного поведения. [3]

Этика

Такие кампании должны быть авторизованы на соответствующем уровне [4] и проводиться профессионально. [5] Если такой метод используется небрежно, он может нарушить законы, повлечь за собой судебные иски, а также вызвать недовольство или травмировать персонал.

Однако, если сотрудники уведомлены об изменении политики, например, что «компания оставляет за собой право время от времени отправлять сотрудникам обманчивые «имитированные фишинговые» электронные письма для оценки осведомленности и соответствия сотрудников требованиям безопасности», а также заранее проведено обучение и предоставлены инструкции, то таких проблем возникнуть не должно. Некоторые организации могут решить потребовать от пользователей давать свое согласие путем согласия [6] , а другие могут предоставить сотрудникам возможность отказаться. [7]

Стандартный совет заключается в том, что «неудачливых» сотрудников никоим образом не следует стыдить, но целесообразно и разумно предоставить им поддерживающее последующее обучение. [8] [9] [10]

Некоторые методы, которые могут быть эффективными и использоваться злоумышленниками, обычно избегаются в имитации фишинга по этическим или юридическим причинам. К ним относятся электронные письма с содержанием, которое может вызвать стресс у получателя, или использование сторонних товарных знаков, [5] [8] хотя иногда также утверждается, что это покрывается добросовестным использованием . [11]

Методы

Такое тестирование можно провести несколькими способами.

Поскольку организации обычно используют комплекс многоуровневых мер защиты для предотвращения реального вредоносного фишинга, при моделировании часто требуется вводить определенные белые списки на шлюзах электронной почты, в антивирусном программном обеспечении и веб-прокси, чтобы электронная почта могла попадать на рабочие столы и устройства пользователей и принимать по ней меры.

Частота

Большинство рекомендаций сводятся к тому, что тестирование следует проводить несколько раз в год, чтобы дать сотрудникам возможность попрактиковаться в правильном реагировании и предоставить руководству обратную связь о прогрессе в выявлении сотрудниками потенциально опасных электронных писем и сообщении о них.

Смотрите также

Ссылки

  1. ^ Джемпен, Даниэль; Гюр, Гюркан; Саттер, Томас; Телленбах, Бернхард (2020-08-09). «Не нажимайте: на пути к эффективному обучению по борьбе с фишингом. Сравнительный обзор литературы». Human-centric Computing and Information Sciences . 10 (1). doi : 10.1186/s13673-020-00237-7 . hdl : 11475/20346 . ISSN  2192-1962.
  2. ^ "Designing Phishing Simulations" (PDF) . Центр защиты национальной инфраструктуры . Получено 12 сентября 2018 г. .
  3. ^ Фишбейн, Джонатан. «Советский пост: киберновые решения 2021 года». Forbes . Получено 03.10.2021 .
  4. ^ Ковач, Эдуард (23 августа 2018 г.). «Атака на DNC — часть имитации фишингового теста». Security Week . Получено 12 сентября 2018 г.
  5. ^ ab Cheng, Joey (18 марта 2014 г.). «Вышедший из-под контроля армейский тест на фишинг приводит к новым рекомендациям». DefenseSystems . Получено 12 сентября 2018 г.
  6. ^ "Имитация фишинга". Berkeley Lab . Получено 12 сентября 2018 г.
  7. ^ "Имитация фишинговой электронной рассылки". Калифорнийский университет в Санта-Крузе . Получено 12 сентября 2018 г.
  8. ^ ab Прендергаст, Том. «Все ли честно в имитации фишинга?». www.csoonline.com . Получено 9 сентября 2018 г. .
  9. ^ Мейдам, Катриен. «Фишинг как услуга: разработка этичного способа имитации целевых фишинговых атак для обучения сотрудников» . Получено 10 сентября 2018 г.
  10. ^ R, Kate. «Проблемы с фишингом». Национальный центр кибербезопасности . GCHQ . Получено 12 сентября 2018 г.
  11. ^ Каларко, Дэниел. «Остановите фишинг с помощью плохой поддельной приманки». EDUCAUSEreview . Получено 12 сентября 2018 г.
  12. ^ Салла, Себастьян. "бесплатные тестовые кампании фишинга". CanIPhish . Получено 10 октября 2022 г.
  13. ^ Королева, Мария. «10 компаний, которые помогут вам бороться с фишингом». CSO Online . Получено 12 сентября 2018 г.
  14. ^ например, GoPhish, King Phisher, The SocialEngineer Toolkit
  15. ^ Паули, Даррен (4 февраля 2016 г.). «Идите фишинговать свой собственный персонал: разработчик создает инструмент для тестирования с открытым исходным кодом». The Register . Получено 12 сентября 2018 г.
  16. ^ "Имитаторы фишинговых кампаний". Противодействие фишингу . Получено 12 сентября 2018 г.
  17. ^ Гош, Дебрадж. "GA of Attack Simulator For Office 365 Threat Intelligence". Сообщество Microsoft Tech . Получено 12 сентября 2018 г.
  18. ^ Лардинуа, Фредерик. «Microsoft запускает симулятор фишинговых атак и другие инструменты безопасности». TechCrunch . Получено 12 сентября 2018 г.