ABONAMENTE VIDEO REDACȚIA
RO
EN
NOU
Numărul 150
Numărul 149 Numărul 148 Numărul 147 Numărul 146 Numărul 145 Numărul 144 Numărul 143 Numărul 142 Numărul 141 Numărul 140 Numărul 139 Numărul 138 Numărul 137 Numărul 136 Numărul 135 Numărul 134 Numărul 133 Numărul 132 Numărul 131 Numărul 130 Numărul 129 Numărul 128 Numărul 127 Numărul 126 Numărul 125 Numărul 124 Numărul 123 Numărul 122 Numărul 121 Numărul 120 Numărul 119 Numărul 118 Numărul 117 Numărul 116 Numărul 115 Numărul 114 Numărul 113 Numărul 112 Numărul 111 Numărul 110 Numărul 109 Numărul 108 Numărul 107 Numărul 106 Numărul 105 Numărul 104 Numărul 103 Numărul 102 Numărul 101 Numărul 100 Numărul 99 Numărul 98 Numărul 97 Numărul 96 Numărul 95 Numărul 94 Numărul 93 Numărul 92 Numărul 91 Numărul 90 Numărul 89 Numărul 88 Numărul 87 Numărul 86 Numărul 85 Numărul 84 Numărul 83 Numărul 82 Numărul 81 Numărul 80 Numărul 79 Numărul 78 Numărul 77 Numărul 76 Numărul 75 Numărul 74 Numărul 73 Numărul 72 Numărul 71 Numărul 70 Numărul 69 Numărul 68 Numărul 67 Numărul 66 Numărul 65 Numărul 64 Numărul 63 Numărul 62 Numărul 61 Numărul 60 Numărul 59 Numărul 58 Numărul 57 Numărul 56 Numărul 55 Numărul 54 Numărul 53 Numărul 52 Numărul 51 Numărul 50 Numărul 49 Numărul 48 Numărul 47 Numărul 46 Numărul 45 Numărul 44 Numărul 43 Numărul 42 Numărul 41 Numărul 40 Numărul 39 Numărul 38 Numărul 37 Numărul 36 Numărul 35 Numărul 34 Numărul 33 Numărul 32 Numărul 31 Numărul 30 Numărul 29 Numărul 28 Numărul 27 Numărul 26 Numărul 25 Numărul 24 Numărul 23 Numărul 22 Numărul 21 Numărul 20 Numărul 19 Numărul 18 Numărul 17 Numărul 16 Numărul 15 Numărul 14 Numărul 13 Numărul 12 Numărul 11 Numărul 10 Numărul 9 Numărul 8 Numărul 7 Numărul 6 Numărul 5 Numărul 4 Numărul 3 Numărul 2 Numărul 1
×
▼ LISTĂ EDIȚII ▼
Numărul 96
Abonament PDF

Arta de a face phishing

Anett Stoica
Security Training & Awareness Lead @ Paddy Power Betfair



DIVERSE

Orice activitate pe care o facem poate deveni operă de artă dacă investim pasiune, creativitate și perseverență. Cele mai impresionante tablouri, piese și clădiri ale lumii au fost realizate ca urmare a experimentării, a planificării, a învățării continue din greșeli. Frecvența/rata clickurilor (click rate), frecvența/rata rapoartelor (report rate), recidiviștii (repeated offenders), motivația emoțională, grupul țintă, scenariul (scenario) sunt doar câteva din elementele ce fac parte din paradigma complexă a programelor de tip phishing. În cele mai multe cazuri, procesul de combinare și potrivire (mix and match) care stă la baza unui program de succes devine o operă de artă pentru creatorul său.

Deși de multe ori este trecută cu vederea, partea umană a securității oferă o bună cunoaștere a comportamentului uman care este ultima "linie de apărare" împotriva atacurilor cibernetice. În timp ce dezvoltarea continuă de tehnologie duce la instrumente fiabile pentru vizualizarea în timp real a atacurilor și a metodelor de a opri sau reduce impactul, unele domenii se bazează încă tot pe judecata umană. În această industrie care se dezvoltă rapid, elementul uman este unul care nu poate fi peticit sau actualizat (upgradat) cu singură linie de cod. Lipsa unei soluții facile pentru această situație complexă duce la frecvența mare a exercițiilor de phishing din cadrul programelor de conștientizare a securității.

Pentru cei care nu sunt familiarizați cu termenul, "phishing" este o modalitate prin care atacatorii cibernetici manipulează oamenii, astfel încât aceștia din urmă să ofere informații sau să facă o anumită acțiune. Aceste personaje folosesc e-mailul, SMS-ul sau apelurile pentru a lansa aceste atacuri și a țese intrigi/scenarii care au la bază răspunsul nostru emoțional. Deși nu discutăm în detaliu anatomia phishingului, trebuie să înțelegem că acest tip de atac este des folosit, deoarece necesită un efort mai mic în etapa de pregătire, dar, dacă are succes, aduce beneficii enorme.

De ce să investiți într-un program de phishing?

Angajații dețin credențiale și informații esențiale pentru a sparge cu succes securitatea unei companii. Personajele rău intenționate vor folosi phishingul pentru a obține informații sensibile care să le permită să desfășoare atacul. Deoarece phishingul este una din cauzele principale care duce la un număr din ce în ce mai crescut de breșe la nivel de date, companiile recurg la testare internă pentru a întări rezistența împotriva unui astfel de atac cibernetic. Dacă nu reușiți să îi convingeți pe cei din jur de necesitatea acestui program, citiți următoarele date.

Când se solicită buget pentru achiziționarea unui program de phishing, datele organizației sunt cheia care va atrage atenția liderilor. Analiza incidentelor este punctul de pornire pentru a monitoriza dacă și unde apar problemele. Analiza frecvenței atacurilor, timpul (și banii) echipei de operațiuni pentru investigarea incidentelor poate fi comparată cu investiția într-un instrument de tip phishing. La aceste date trebuie să adăugăm rezultatele publicate de organizații care rulează campanii care se concentrează pe fezabilitatea testelor active. Evoluția datelor metrice pe parcursul timpului ar trebui să se reflecte în schimbarea comportamentului oamenilor, iar acesta va fi un argument valid care să motiveze profitabilitatea instrumentului.

Dacă organizația a ajuns la concluzia că atacurile phishing sunt un risc care trebuie rezolvat, un tool care să se ocupe de acest aspect este o investiție pe termen lung. Când vine vorba de dezvoltarea abilităților, adulții învață cel mai bine atunci când fac un anumit lucru. Campaniile phishing sunt un mod practic de a exersa cum să vă feriți de acest pericol cibernetic, ajutând astfel la păstrarea intactă a informației pentru perioade mai lungi de timp.

Carte de rețete pentru phishing

Dacă vorbim de artă, cea culinară este una din preferatele mele, deoarece necesită ingrediente de calitate, pregătiri, măsurători, urmând o serie de pași, experimentând și folosindu-ne curiozitatea. Ca bucătar amator, compar pregătirea unei mese sofisticate cu pregătirea unei campanii de phishing.

Așa cum coacerea unei prăjituri după rețeta bunicii necesită o experiență diferită de ceea necesară pentru a pregăti patiserie franțuzească, tot așa sunt diferențe între lansarea unui program de phishing și gestionarea unuia care este activ de câțiva ani.

Iată câteva rețete de succes pentru fiecare dintre ele.

Phishing - rețeta #1: Începătorii

Alegerea unei platforme este pasul inițial în cadrul căruia trebuie regăsite toate cerințele pentru instrumentele folosite. Un tool de phishing trebuie să fie ușor de utilizat, să permită încărcarea rapidă de date, să includă scenarii și tipare ce pot fi customizate. Unele platforme au o interfață prietenoasă cu utilizatorul pentru actualizarea scenariilor, în timp ce majoritatea vor necesita abilități de scriere de cod pentru a modifica elementele componente ale scenariului. Când evaluăm un instrument, rugați-l pe furnizor să explice care este sursa scenariilor, cât de des le actualizează. Un sistem solid de raportare este esențial pentru a reduce munca manuală când oferim statistici liderilor.

Primele voastre campanii. Dacă programul urmează să fie lansat curând, includeți toți angajații în acest exercițiu și folosiți un scenariu simplu. Lansările efectuate la fiecare trei luni sunt o modalitate bună de a-i obișnui pe oameni cu exercițiul și de a strânge date pentru a calcula click rate-ul companiei. Rezultatul va fi baza pe care va evolua programul în al doilea an, inclusiv activitățile de informare și de conștientizare a pericolului. Înainte de a lansa primul exercițiu, este recomandat să organizați sesiuni de conștientizare a pericolului, ca oamenii să aibă informații de bază despre cum să identifice atacurile.

Momente cheie. Caracterul practic al exercițiului de phishing creează oportunități pentru răspândirea mesajelor de conștientizare. Utilizați pagina accesată ca rezultat al acțiunii de click pentru a furniza informații despre program și despre modalitatea de a raporta evenimente suspecte. La finalul fiecărei campanii, trimiteți un mesaj de informare angajaților cu privire la rezultate, semne la care ar fi trebuit să fie atenți și reiterați unde se pot raporta e-mailurile suspecte.

SOC este cel mai bun prieten al vostru. Exercițiile de phishing au impact cu precădere asupra echipei Security Operations. Înainte de lansarea oricărei campanii, stabiliți cu echipa care este ziua exercițiului și furnizați o mostră a scenariului.

Datele metrice. Măsurarea rezultatelor este esențială în a arăta liderilor din echipa executivă valoarea programului și cât de expusă ar putea fi organizația. Rata de suspiciune sau click rate se calculează raportat la numărul țintă de utilizatori. Raportarea va avea valoare mai mare dacă include cifre legate de rata de raportare, înregistrate de SOC precum și statistici legate de cei ce dau click în mod repetat (repeated clickers).

Rezultatele nu vor avea mereu o progresie liniară, deoarece rezultatele sunt influențate de dificultatea scenariului. Includeți în raport nivelul de dificultate și observațiile care permit interpretarea corectă a rezultatelor.

De partea sigură a legii. Drepturile de proprietate intelectuală și copyright nu trebuie trecute cu vederea. Nu putem să ne prefacem că suntem pur și simplu un alt brand, chiar dacă o facem cu scop educativ. Dacă nu avem aprobarea scrisă a companiei al cărei nume dorim să îl folosim, echipa juridică ne poate da indicații legate de modul în care trebuie să acționăm. Furnizorii bine cunoscuți nu vor permite realizarea de scenarii ce pot duce la probleme legale. 

Phishing - rețeta #2: Avansații

Campaniile, trei sau patru la număr, ce au la bază scenarii diferite, oferă o situație clară a gradului de securitate pe care îl are o companie. Interpretarea datelor oferă lista de oportunități de îmbunătățire și duce mai departe evoluția planului pentru anul următor.

Reevaluați-vă platforma. Dacă produsul urmează să fie reînnoit sau nu se ridică la nivelul dorit, trebuie să reevaluați platforma periodic. Programele de phishing devin mai bune cu fiecare release. Două funcționalități ce îmbunătățesc programul de phishing sunt Active Directory (pentru automatizarea încărcării datelor) și AI (pentru a programa sesiuni viitoare de phishing pe baza rezultatelor obținute de fiecare angajat). Accentul se pune și pe furnizarea materialelor de training, mai ales dacă nu aveți buget ca să le realizați. 

Automatizarea rapoartelor. Fișele Excel vor fi din ce în ce mai greu de gestionat pe măsură ce trece timpul. Liderii seniori doresc vizibilitate și acces ușor la date. Prin urmare, un panou (dasboard) de raportare poate să scoată în evidență valoarea muncii noastre. Panourile de securitate realizate intern se pot conecta cu ușurință la platforma de phishing folosind un API. Configurarea unei vederi (view) de raportare poate fi realizată de colegii mai tehnici. De multe ori, solicitarea de idei bune și planificarea muncii din timp vor da rezultate excelente și vor întări echipa. 

Picanteriile din scenarii. Invariabil, oamenii se obișnuiesc repede cu campaniile și devin cumva dezinteresați. Creșterea graduală a nivelului de dificultate îi va ține implicați și mai pregătiți pentru pericolele reale. 

Reevaluați abordarea. După ce ați stabilit un standard, trebuie să reevaluați programul și să construiți un plan pe baza lecțiilor învățate. Dacă grupul țintă este întreaga voastră organizație, compararea datelor este ușoară, dar trimiterea acelorași e-mailuri tuturor angajaților va face ca aceștia să își dea seama repede în situația în care corectitudinea rezultatelor este problematică. Drept soluție, abordarea bazată pe mostre țintă oferă date mai clare despre cum reacționează oamenii când doar ei, nu și cei din jurul lor, primesc e-mailurile. O abordare specifică creează scenarii realiste având în vedere rolul persoanelor în companie. Este cea mai bună metodă de a pregăti oamenii pentru amenințări reale de phishing. La nivel de procente, o mostră aleatorie de 30% din baza totală de utilizatori va oferi rezultate reprezentative.

Într-o fază avansată a programului, puteți încerca să combinați două abordări și să decideți dacă doriți să creșteți sau să reduceți frecvența exercițiilor voastre. În acest moment, puteți folosi programul pentru scenarii din viața reală, așa cum vă semnalează echipa SOC.

Ce facem cu cei care dau click în mod repetat? Numiți și recidiviști, acești oameni sunt un risc real pentru organizație. Unele companii folosesc un proces unde prima greșeală va fi urmată de un e-mail, a doua de un training, iar a treia o discuție cu managerul ce se ocupă de raportare. Cultura organizațională va fi cel mai bun indicator referitor la abordarea ce trebuie adoptată. Indiferent de decizie, a fi asertiv în comunicare și a înțelege motivele pentru care pică testele sunt două soluții pentru o colaborare bună. 

Conștientizarea pericolului. Realizarea sesiunilor de training sau conștientizare trebuie să evolueze pe măsură ce evoluează programul pentru a menține viu interesul angajaților. Cursurile tradiționale de phishing pot fi înlocuite cu un atelier în care oamenii învață să-și construiască propria campanie de phishing. Unii ar putea să se întrebe dacă este etic să facem așa ceva. Dacă nu avem persoane tehnice în audiență și nu le dăm un manual de utilizare, nu vor ști să își lanseze propriile atacuri. O altă metodă de a promova implicarea este să solicitați idei noi pentru campaniile viitoare. Un concurs și un premiu pot stimula rata de participare și pot uni echipele.

Simplificați raportarea. Măsurarea ratei de raportare ne arată cât de mult ne putem baza pe oameni când vine vorba de evenimente suspecte. Pentru a crește acest număr și a motiva oamenii să se implice trebuie să le dăm instrumentele potrivite. Implementarea unui buton de raportare phishing în Outlook face raportarea simplă, accesibilă, rapidă. După instalarea acestui buton, cazurile vor crește foarte repede, deci pregătiți-vă echipele implicate.

Lecții și sfaturi de la un chef cu experiență

Fie că tocmai începem, fie că avem deja câțiva ani de experiență, testele de phishing pot duce la rezultate surprinzătoare. Deoarece se bazează exclusiv pe comportamentul uman, cu fiecare campanie phishing vom descoperi ceva nou.  

După trei ani de phishing, iată ce am învățat și ce sfaturi pot să ofer:

Încheiere: Ca profesionist în conștientizarea importanței securității, susțin importanța elementului uman. Nu avem soluții perfecte sau instrumente perfecte. E nevoie de o combinare de resurse adaptate nevoilor organizației, iar acestea vor fi decisive în privința rezultatului obținut. Tehnologia poate oferi un răspuns susținut problemelor noastre, dar cei care stau în spatele tehnologiilor sunt oamenii. Comunicarea eficientă și transparentă este cheia către un personal implicat care are sentimentul că realizează ceva împreună. Nu sunt de acord cu cei care susțin că oamenii sunt veriga slabă. Chiar dacă acest lucru ar fi adevărat, dacă ne-am baza programul pe această presupunere, am da naștere unei falii și mai mari. Securitatea este și responsabilitatea angajatului și trebuie să existe consecințe pentru acțiunile riscante efectuate, dar specialiștii în securitate au și ei un rol important de jucat. Responsabilitatea noastră este să ne echipăm oamenii cu informația necesară pentru a recunoaște atacurile phishing, iar utilizarea instrumentelor potrivite este o operă de artă în sine.

NUMĂRUL 149 - Development with AI

Sponsori

  • Accenture
  • BT Code Crafters
  • Accesa
  • Bosch
  • Betfair
  • MHP
  • BoatyardX
  • .msg systems
  • P3 group
  • Ing Hubs
  • Cognizant Softvision
  • Colors in projects