Orice activitate pe care o facem poate deveni operă de artă dacă investim pasiune, creativitate și perseverență. Cele mai impresionante tablouri, piese și clădiri ale lumii au fost realizate ca urmare a experimentării, a planificării, a învățării continue din greșeli. Frecvența/rata clickurilor (click rate), frecvența/rata rapoartelor (report rate), recidiviștii (repeated offenders), motivația emoțională, grupul țintă, scenariul (scenario) sunt doar câteva din elementele ce fac parte din paradigma complexă a programelor de tip phishing. În cele mai multe cazuri, procesul de combinare și potrivire (mix and match) care stă la baza unui program de succes devine o operă de artă pentru creatorul său.
Deși de multe ori este trecută cu vederea, partea umană a securității oferă o bună cunoaștere a comportamentului uman care este ultima "linie de apărare" împotriva atacurilor cibernetice. În timp ce dezvoltarea continuă de tehnologie duce la instrumente fiabile pentru vizualizarea în timp real a atacurilor și a metodelor de a opri sau reduce impactul, unele domenii se bazează încă tot pe judecata umană. În această industrie care se dezvoltă rapid, elementul uman este unul care nu poate fi peticit sau actualizat (upgradat) cu singură linie de cod. Lipsa unei soluții facile pentru această situație complexă duce la frecvența mare a exercițiilor de phishing din cadrul programelor de conștientizare a securității.
Pentru cei care nu sunt familiarizați cu termenul, "phishing" este o modalitate prin care atacatorii cibernetici manipulează oamenii, astfel încât aceștia din urmă să ofere informații sau să facă o anumită acțiune. Aceste personaje folosesc e-mailul, SMS-ul sau apelurile pentru a lansa aceste atacuri și a țese intrigi/scenarii care au la bază răspunsul nostru emoțional. Deși nu discutăm în detaliu anatomia phishingului, trebuie să înțelegem că acest tip de atac este des folosit, deoarece necesită un efort mai mic în etapa de pregătire, dar, dacă are succes, aduce beneficii enorme.
Angajații dețin credențiale și informații esențiale pentru a sparge cu succes securitatea unei companii. Personajele rău intenționate vor folosi phishingul pentru a obține informații sensibile care să le permită să desfășoare atacul. Deoarece phishingul este una din cauzele principale care duce la un număr din ce în ce mai crescut de breșe la nivel de date, companiile recurg la testare internă pentru a întări rezistența împotriva unui astfel de atac cibernetic. Dacă nu reușiți să îi convingeți pe cei din jur de necesitatea acestui program, citiți următoarele date.
Statistici despre răspândirea phishingului. Conform raportului pe 2020 al Verizon în privința breșelor de securitate și a securității datelor, cazurile de phishing sunt în primele 20% din clasament, iar compromiterea datelor se află pe locul întâi înaintea credențialelor furate prin hacking.[^1] Studiul Accenture din 2019 "Costul crimelor cibernetice" susține că "atacurile de tip phishing și inginerie socială sunt resimțite de 85% dintre organizații, cu o creștere de 16% pe parcursul unui an".[^2] Aceste date devin mai relevante pentru planurile de viitor ale unei companii în momentul în care companiile evaluează cât de puternică este securitatea lor și ce investiții viitoare sunt dispuse să facă.
Costurile unei breșe de securitate. Un studiu IBM arată că în 2018 costul mediu al unei breșe a fost de $3.9 milioane, 150 $ pentru fiecare element furat.[^3] Acum că GDPR protejează drepturile cetățenilor UE, amenzile ajung și la 20mil euro sau 4% din cifra de afaceri globală anuală, iar aici nu includem impactul negativ asupra reputației. Procesul prin care se realizează evaluarea riscurilor poate influența aceste decizii și poate determina investiții în securitate.
Când se solicită buget pentru achiziționarea unui program de phishing, datele organizației sunt cheia care va atrage atenția liderilor. Analiza incidentelor este punctul de pornire pentru a monitoriza dacă și unde apar problemele. Analiza frecvenței atacurilor, timpul (și banii) echipei de operațiuni pentru investigarea incidentelor poate fi comparată cu investiția într-un instrument de tip phishing. La aceste date trebuie să adăugăm rezultatele publicate de organizații care rulează campanii care se concentrează pe fezabilitatea testelor active. Evoluția datelor metrice pe parcursul timpului ar trebui să se reflecte în schimbarea comportamentului oamenilor, iar acesta va fi un argument valid care să motiveze profitabilitatea instrumentului.
Dacă organizația a ajuns la concluzia că atacurile phishing sunt un risc care trebuie rezolvat, un tool care să se ocupe de acest aspect este o investiție pe termen lung. Când vine vorba de dezvoltarea abilităților, adulții învață cel mai bine atunci când fac un anumit lucru. Campaniile phishing sunt un mod practic de a exersa cum să vă feriți de acest pericol cibernetic, ajutând astfel la păstrarea intactă a informației pentru perioade mai lungi de timp.
Dacă vorbim de artă, cea culinară este una din preferatele mele, deoarece necesită ingrediente de calitate, pregătiri, măsurători, urmând o serie de pași, experimentând și folosindu-ne curiozitatea. Ca bucătar amator, compar pregătirea unei mese sofisticate cu pregătirea unei campanii de phishing.
Așa cum coacerea unei prăjituri după rețeta bunicii necesită o experiență diferită de ceea necesară pentru a pregăti patiserie franțuzească, tot așa sunt diferențe între lansarea unui program de phishing și gestionarea unuia care este activ de câțiva ani.
Iată câteva rețete de succes pentru fiecare dintre ele.
Alegerea unei platforme este pasul inițial în cadrul căruia trebuie regăsite toate cerințele pentru instrumentele folosite. Un tool de phishing trebuie să fie ușor de utilizat, să permită încărcarea rapidă de date, să includă scenarii și tipare ce pot fi customizate. Unele platforme au o interfață prietenoasă cu utilizatorul pentru actualizarea scenariilor, în timp ce majoritatea vor necesita abilități de scriere de cod pentru a modifica elementele componente ale scenariului. Când evaluăm un instrument, rugați-l pe furnizor să explice care este sursa scenariilor, cât de des le actualizează. Un sistem solid de raportare este esențial pentru a reduce munca manuală când oferim statistici liderilor.
Primele voastre campanii. Dacă programul urmează să fie lansat curând, includeți toți angajații în acest exercițiu și folosiți un scenariu simplu. Lansările efectuate la fiecare trei luni sunt o modalitate bună de a-i obișnui pe oameni cu exercițiul și de a strânge date pentru a calcula click rate-ul companiei. Rezultatul va fi baza pe care va evolua programul în al doilea an, inclusiv activitățile de informare și de conștientizare a pericolului. Înainte de a lansa primul exercițiu, este recomandat să organizați sesiuni de conștientizare a pericolului, ca oamenii să aibă informații de bază despre cum să identifice atacurile.
Momente cheie. Caracterul practic al exercițiului de phishing creează oportunități pentru răspândirea mesajelor de conștientizare. Utilizați pagina accesată ca rezultat al acțiunii de click pentru a furniza informații despre program și despre modalitatea de a raporta evenimente suspecte. La finalul fiecărei campanii, trimiteți un mesaj de informare angajaților cu privire la rezultate, semne la care ar fi trebuit să fie atenți și reiterați unde se pot raporta e-mailurile suspecte.
SOC este cel mai bun prieten al vostru. Exercițiile de phishing au impact cu precădere asupra echipei Security Operations. Înainte de lansarea oricărei campanii, stabiliți cu echipa care este ziua exercițiului și furnizați o mostră a scenariului.
Datele metrice. Măsurarea rezultatelor este esențială în a arăta liderilor din echipa executivă valoarea programului și cât de expusă ar putea fi organizația. Rata de suspiciune sau click rate se calculează raportat la numărul țintă de utilizatori. Raportarea va avea valoare mai mare dacă include cifre legate de rata de raportare, înregistrate de SOC precum și statistici legate de cei ce dau click în mod repetat (repeated clickers).
Rezultatele nu vor avea mereu o progresie liniară, deoarece rezultatele sunt influențate de dificultatea scenariului. Includeți în raport nivelul de dificultate și observațiile care permit interpretarea corectă a rezultatelor.
De partea sigură a legii. Drepturile de proprietate intelectuală și copyright nu trebuie trecute cu vederea. Nu putem să ne prefacem că suntem pur și simplu un alt brand, chiar dacă o facem cu scop educativ. Dacă nu avem aprobarea scrisă a companiei al cărei nume dorim să îl folosim, echipa juridică ne poate da indicații legate de modul în care trebuie să acționăm. Furnizorii bine cunoscuți nu vor permite realizarea de scenarii ce pot duce la probleme legale.
Campaniile, trei sau patru la număr, ce au la bază scenarii diferite, oferă o situație clară a gradului de securitate pe care îl are o companie. Interpretarea datelor oferă lista de oportunități de îmbunătățire și duce mai departe evoluția planului pentru anul următor.
Reevaluați-vă platforma. Dacă produsul urmează să fie reînnoit sau nu se ridică la nivelul dorit, trebuie să reevaluați platforma periodic. Programele de phishing devin mai bune cu fiecare release. Două funcționalități ce îmbunătățesc programul de phishing sunt Active Directory (pentru automatizarea încărcării datelor) și AI (pentru a programa sesiuni viitoare de phishing pe baza rezultatelor obținute de fiecare angajat). Accentul se pune și pe furnizarea materialelor de training, mai ales dacă nu aveți buget ca să le realizați.
Automatizarea rapoartelor. Fișele Excel vor fi din ce în ce mai greu de gestionat pe măsură ce trece timpul. Liderii seniori doresc vizibilitate și acces ușor la date. Prin urmare, un panou (dasboard) de raportare poate să scoată în evidență valoarea muncii noastre. Panourile de securitate realizate intern se pot conecta cu ușurință la platforma de phishing folosind un API. Configurarea unei vederi (view) de raportare poate fi realizată de colegii mai tehnici. De multe ori, solicitarea de idei bune și planificarea muncii din timp vor da rezultate excelente și vor întări echipa.
Picanteriile din scenarii. Invariabil, oamenii se obișnuiesc repede cu campaniile și devin cumva dezinteresați. Creșterea graduală a nivelului de dificultate îi va ține implicați și mai pregătiți pentru pericolele reale.
Reevaluați abordarea. După ce ați stabilit un standard, trebuie să reevaluați programul și să construiți un plan pe baza lecțiilor învățate. Dacă grupul țintă este întreaga voastră organizație, compararea datelor este ușoară, dar trimiterea acelorași e-mailuri tuturor angajaților va face ca aceștia să își dea seama repede în situația în care corectitudinea rezultatelor este problematică. Drept soluție, abordarea bazată pe mostre țintă oferă date mai clare despre cum reacționează oamenii când doar ei, nu și cei din jurul lor, primesc e-mailurile. O abordare specifică creează scenarii realiste având în vedere rolul persoanelor în companie. Este cea mai bună metodă de a pregăti oamenii pentru amenințări reale de phishing. La nivel de procente, o mostră aleatorie de 30% din baza totală de utilizatori va oferi rezultate reprezentative.
Într-o fază avansată a programului, puteți încerca să combinați două abordări și să decideți dacă doriți să creșteți sau să reduceți frecvența exercițiilor voastre. În acest moment, puteți folosi programul pentru scenarii din viața reală, așa cum vă semnalează echipa SOC.
Ce facem cu cei care dau click în mod repetat? Numiți și recidiviști, acești oameni sunt un risc real pentru organizație. Unele companii folosesc un proces unde prima greșeală va fi urmată de un e-mail, a doua de un training, iar a treia o discuție cu managerul ce se ocupă de raportare. Cultura organizațională va fi cel mai bun indicator referitor la abordarea ce trebuie adoptată. Indiferent de decizie, a fi asertiv în comunicare și a înțelege motivele pentru care pică testele sunt două soluții pentru o colaborare bună.
Conștientizarea pericolului. Realizarea sesiunilor de training sau conștientizare trebuie să evolueze pe măsură ce evoluează programul pentru a menține viu interesul angajaților. Cursurile tradiționale de phishing pot fi înlocuite cu un atelier în care oamenii învață să-și construiască propria campanie de phishing. Unii ar putea să se întrebe dacă este etic să facem așa ceva. Dacă nu avem persoane tehnice în audiență și nu le dăm un manual de utilizare, nu vor ști să își lanseze propriile atacuri. O altă metodă de a promova implicarea este să solicitați idei noi pentru campaniile viitoare. Un concurs și un premiu pot stimula rata de participare și pot uni echipele.
Simplificați raportarea. Măsurarea ratei de raportare ne arată cât de mult ne putem baza pe oameni când vine vorba de evenimente suspecte. Pentru a crește acest număr și a motiva oamenii să se implice trebuie să le dăm instrumentele potrivite. Implementarea unui buton de raportare phishing în Outlook face raportarea simplă, accesibilă, rapidă. După instalarea acestui buton, cazurile vor crește foarte repede, deci pregătiți-vă echipele implicate.
Fie că tocmai începem, fie că avem deja câțiva ani de experiență, testele de phishing pot duce la rezultate surprinzătoare. Deoarece se bazează exclusiv pe comportamentul uman, cu fiecare campanie phishing vom descoperi ceva nou.
După trei ani de phishing, iată ce am învățat și ce sfaturi pot să ofer:
Faceți o lansare oficială. Începeți programul comunicând personalului ce intenționați să faceți. O comunicare inițială înainte de începerea programului îi implică pe toți, stabilește așteptările și reduce percepția unei activități din umbră ("shadow security activity"). Dacă ne referim la cei care tocmai au intrat în companie, asigurați-vă că știu de programul de phishing și de motivele pentru care este implementat.
Cumpărați-vă domeniile. Furnizorii oferă o listă de domenii ce pot fi utilizate, dar acestea pot să nu se potrivească cu scenariile voastre sau pot fi ușor identificate după câteva runde de exerciții. Este o bună practică să cumpărați toate domeniile care sunt similare cu domeniul original. Achiziționarea acestor domenii permite realizarea unor atacuri de phishing realiste.
Nu apelați la mentalitatea de a-i prinde pe oameni în plasă. Amintiți-vă că grupul vostru țintă este compus din adulți cărora nu le place să fie testați și evaluați până pică examenul. Învățarea la adulți se bazează pe respect. Tratați-i cu respect și oferiți feedback constructiv. Cu toate că ideal este să nu cădem în plasa phishingului, rata clickurilor nu va fi niciodată 0. Dorim să prevenim daunele cât de repede posibil, deci încurajați oamenii să raporteze echipei SOC atacurile phishing.
Comunicarea asertivă merge departe. Din cauza creșterii atacurilor sofisticate, este din ce în ce mai greu să identificăm atacurile phishing. Dacă aveți filtre și scanări configurate, doar atacurile cu adevărat bune vor trece de sistem, acestea fiind mai greu de recunoscut. Reiterați ideea că este greu să identificați un atac phishing, că accidentele se pot întâmpla și că în loc să îi facem pe angajați să se simtă prost, vrem să încurajăm semnalarea incidentelor către persoanele desemnate.
Transformați experiența în ceva familiar. Revenind la modul în care învață adulții, oamenii trebuie să înțeleagă de ce fac ceva anume înainte de a face acel lucru. Fiți expliciți. Spuneți de ce atacurile phishing sunt un aspect vital, exemplificând cu evenimente din viața reală. SOC este cea mai bună resursă ce vă poate ajuta cu furnizarea datelor. Dacă arătați cu ce atacuri s-a confruntat compania în viața reală, atacurile phishing devin ceva palpabil, familiar.
Nu dați nume și nu faceți angajații de rușine. Există mai multe motive pentru care oamenii dau click pe linkuri, așadar, identificați cauzele. Adaptați trainingul sau procesul de conștientizare pe baza nevoilor de învățare reale. Adulții nu reacționează bine la comentariile negative, dar folosiți comunicarea asertivă când evidențiați problemele care se tot repetă. Implementați un proces pentru a escalada problemele de severitate maximă unde angajații expun (intenționat sau neintenționat) compania la riscuri.
Phishingul nu este o știință exactă, prin urmare, faceți experimente. Folosiți elemente ce contribuie la motivarea emoțională a angajaților. Faceți teste și identificați ce este important pentru angajații voștri. Scenariile ce au dificultate similară pot da rezultate diferite în funcție de factorii emoționali la care apelați. Faceți presupuneri înainte de fiecare exercițiu, identificați elementele ce diferă de la o campanie la alta și faceți deducții pe baza rezultatelor. Factori precum perioada (vacanțe, evenimente importante pentru companie) vor influența rezultatele. Unii furnizori susțin că un scenariu ce vizează introducerea datelor este foarte dificil, dar aspectul important este cum afectează acest lucru grupul țintă.
Încheiere: Ca profesionist în conștientizarea importanței securității, susțin importanța elementului uman. Nu avem soluții perfecte sau instrumente perfecte. E nevoie de o combinare de resurse adaptate nevoilor organizației, iar acestea vor fi decisive în privința rezultatului obținut. Tehnologia poate oferi un răspuns susținut problemelor noastre, dar cei care stau în spatele tehnologiilor sunt oamenii. Comunicarea eficientă și transparentă este cheia către un personal implicat care are sentimentul că realizează ceva împreună. Nu sunt de acord cu cei care susțin că oamenii sunt veriga slabă. Chiar dacă acest lucru ar fi adevărat, dacă ne-am baza programul pe această presupunere, am da naștere unei falii și mai mari. Securitatea este și responsabilitatea angajatului și trebuie să existe consecințe pentru acțiunile riscante efectuate, dar specialiștii în securitate au și ei un rol important de jucat. Responsabilitatea noastră este să ne echipăm oamenii cu informația necesară pentru a recunoaște atacurile phishing, iar utilizarea instrumentelor potrivite este o operă de artă în sine.