ABONAMENTE VIDEO REDACȚIA
RO
EN
×
▼ LISTĂ EDIȚII ▼
Numărul 96
Abonament PDF

Arta de a face phishing

Anett Stoica
Security Training & Awareness Lead @ Paddy Power Betfair
DIVERSE

Orice activitate pe care o facem poate deveni operă de artă dacă investim pasiune, creativitate și perseverență. Cele mai impresionante tablouri, piese și clădiri ale lumii au fost realizate ca urmare a experimentării, a planificării, a învățării continue din greșeli. Frecvența/rata clickurilor (click rate), frecvența/rata rapoartelor (report rate), recidiviștii (repeated offenders), motivația emoțională, grupul țintă, scenariul (scenario) sunt doar câteva din elementele ce fac parte din paradigma complexă a programelor de tip phishing. În cele mai multe cazuri, procesul de combinare și potrivire (mix and match) care stă la baza unui program de succes devine o operă de artă pentru creatorul său.

Deși de multe ori este trecută cu vederea, partea umană a securității oferă o bună cunoaștere a comportamentului uman care este ultima "linie de apărare" împotriva atacurilor cibernetice. În timp ce dezvoltarea continuă de tehnologie duce la instrumente fiabile pentru vizualizarea în timp real a atacurilor și a metodelor de a opri sau reduce impactul, unele domenii se bazează încă tot pe judecata umană. În această industrie care se dezvoltă rapid, elementul uman este unul care nu poate fi peticit sau actualizat (upgradat) cu singură linie de cod. Lipsa unei soluții facile pentru această situație complexă duce la frecvența mare a exercițiilor de phishing din cadrul programelor de conștientizare a securității.

Pentru cei care nu sunt familiarizați cu termenul, "phishing" este o modalitate prin care atacatorii cibernetici manipulează oamenii, astfel încât aceștia din urmă să ofere informații sau să facă o anumită acțiune. Aceste personaje folosesc e-mailul, SMS-ul sau apelurile pentru a lansa aceste atacuri și a țese intrigi/scenarii care au la bază răspunsul nostru emoțional. Deși nu discutăm în detaliu anatomia phishingului, trebuie să înțelegem că acest tip de atac este des folosit, deoarece necesită un efort mai mic în etapa de pregătire, dar, dacă are succes, aduce beneficii enorme.

De ce să investiți într-un program de phishing?

Angajații dețin credențiale și informații esențiale pentru a sparge cu succes securitatea unei companii. Personajele rău intenționate vor folosi phishingul pentru a obține informații sensibile care să le permită să desfășoare atacul. Deoarece phishingul este una din cauzele principale care duce la un număr din ce în ce mai crescut de breșe la nivel de date, companiile recurg la testare internă pentru a întări rezistența împotriva unui astfel de atac cibernetic. Dacă nu reușiți să îi convingeți pe cei din jur de necesitatea acestui program, citiți următoarele date.

Când se solicită buget pentru achiziționarea unui program de phishing, datele organizației sunt cheia care va atrage atenția liderilor. Analiza incidentelor este punctul de pornire pentru a monitoriza dacă și unde apar problemele. Analiza frecvenței atacurilor, timpul (și banii) echipei de operațiuni pentru investigarea incidentelor poate fi comparată cu investiția într-un instrument de tip phishing. La aceste date trebuie să adăugăm rezultatele publicate de organizații care rulează campanii care se concentrează pe fezabilitatea testelor active. Evoluția datelor metrice pe parcursul timpului ar trebui să se reflecte în schimbarea comportamentului oamenilor, iar acesta va fi un argument valid care să motiveze profitabilitatea instrumentului.

Dacă organizația a ajuns la concluzia că atacurile phishing sunt un risc care trebuie rezolvat, un tool care să se ocupe de acest aspect este o investiție pe termen lung. Când vine vorba de dezvoltarea abilităților, adulții învață cel mai bine atunci când fac un anumit lucru. Campaniile phishing sunt un mod practic de a exersa cum să vă feriți de acest pericol cibernetic, ajutând astfel la păstrarea intactă a informației pentru perioade mai lungi de timp.

Carte de rețete pentru phishing

Dacă vorbim de artă, cea culinară este una din preferatele mele, deoarece necesită ingrediente de calitate, pregătiri, măsurători, urmând o serie de pași, experimentând și folosindu-ne curiozitatea. Ca bucătar amator, compar pregătirea unei mese sofisticate cu pregătirea unei campanii de phishing.

Așa cum coacerea unei prăjituri după rețeta bunicii necesită o experiență diferită de ceea necesară pentru a pregăti patiserie franțuzească, tot așa sunt diferențe între lansarea unui program de phishing și gestionarea unuia care este activ de câțiva ani.

Iată câteva rețete de succes pentru fiecare dintre ele.

Phishing - rețeta #1: Începătorii

Alegerea unei platforme este pasul inițial în cadrul căruia trebuie regăsite toate cerințele pentru instrumentele folosite. Un tool de phishing trebuie să fie ușor de utilizat, să permită încărcarea rapidă de date, să includă scenarii și tipare ce pot fi customizate. Unele platforme au o interfață prietenoasă cu utilizatorul pentru actualizarea scenariilor, în timp ce majoritatea vor necesita abilități de scriere de cod pentru a modifica elementele componente ale scenariului. Când evaluăm un instrument, rugați-l pe furnizor să explice care este sursa scenariilor, cât de des le actualizează. Un sistem solid de raportare este esențial pentru a reduce munca manuală când oferim statistici liderilor.

Primele voastre campanii. Dacă programul urmează să fie lansat curând, includeți toți angajații în acest exercițiu și folosiți un scenariu simplu. Lansările efectuate la fiecare trei luni sunt o modalitate bună de a-i obișnui pe oameni cu exercițiul și de a strânge date pentru a calcula click rate-ul companiei. Rezultatul va fi baza pe care va evolua programul în al doilea an, inclusiv activitățile de informare și de conștientizare a pericolului. Înainte de a lansa primul exercițiu, este recomandat să organizați sesiuni de conștientizare a pericolului, ca oamenii să aibă informații de bază despre cum să identifice atacurile.

Momente cheie. Caracterul practic al exercițiului de phishing creează oportunități pentru răspândirea mesajelor de conștientizare. Utilizați pagina accesată ca rezultat al acțiunii de click pentru a furniza informații despre program și despre modalitatea de a raporta evenimente suspecte. La finalul fiecărei campanii, trimiteți un mesaj de informare angajaților cu privire la rezultate, semne la care ar fi trebuit să fie atenți și reiterați unde se pot raporta e-mailurile suspecte.

SOC este cel mai bun prieten al vostru. Exercițiile de phishing au impact cu precădere asupra echipei Security Operations. Înainte de lansarea oricărei campanii, stabiliți cu echipa care este ziua exercițiului și furnizați o mostră a scenariului.

Datele metrice. Măsurarea rezultatelor este esențială în a arăta liderilor din echipa executivă valoarea programului și cât de expusă ar putea fi organizația. Rata de suspiciune sau click rate se calculează raportat la numărul țintă de utilizatori. Raportarea va avea valoare mai mare dacă include cifre legate de rata de raportare, înregistrate de SOC precum și statistici legate de cei ce dau click în mod repetat (repeated clickers).

Rezultatele nu vor avea mereu o progresie liniară, deoarece rezultatele sunt influențate de dificultatea scenariului. Includeți în raport nivelul de dificultate și observațiile care permit interpretarea corectă a rezultatelor.

De partea sigură a legii. Drepturile de proprietate intelectuală și copyright nu trebuie trecute cu vederea. Nu putem să ne prefacem că suntem pur și simplu un alt brand, chiar dacă o facem cu scop educativ. Dacă nu avem aprobarea scrisă a companiei al cărei nume dorim să îl folosim, echipa juridică ne poate da indicații legate de modul în care trebuie să acționăm. Furnizorii bine cunoscuți nu vor permite realizarea de scenarii ce pot duce la probleme legale. 

Phishing - rețeta #2: Avansații

Campaniile, trei sau patru la număr, ce au la bază scenarii diferite, oferă o situație clară a gradului de securitate pe care îl are o companie. Interpretarea datelor oferă lista de oportunități de îmbunătățire și duce mai departe evoluția planului pentru anul următor.

Reevaluați-vă platforma. Dacă produsul urmează să fie reînnoit sau nu se ridică la nivelul dorit, trebuie să reevaluați platforma periodic. Programele de phishing devin mai bune cu fiecare release. Două funcționalități ce îmbunătățesc programul de phishing sunt Active Directory (pentru automatizarea încărcării datelor) și AI (pentru a programa sesiuni viitoare de phishing pe baza rezultatelor obținute de fiecare angajat). Accentul se pune și pe furnizarea materialelor de training, mai ales dacă nu aveți buget ca să le realizați. 

Automatizarea rapoartelor. Fișele Excel vor fi din ce în ce mai greu de gestionat pe măsură ce trece timpul. Liderii seniori doresc vizibilitate și acces ușor la date. Prin urmare, un panou (dasboard) de raportare poate să scoată în evidență valoarea muncii noastre. Panourile de securitate realizate intern se pot conecta cu ușurință la platforma de phishing folosind un API. Configurarea unei vederi (view) de raportare poate fi realizată de colegii mai tehnici. De multe ori, solicitarea de idei bune și planificarea muncii din timp vor da rezultate excelente și vor întări echipa. 

Picanteriile din scenarii. Invariabil, oamenii se obișnuiesc repede cu campaniile și devin cumva dezinteresați. Creșterea graduală a nivelului de dificultate îi va ține implicați și mai pregătiți pentru pericolele reale. 

Reevaluați abordarea. După ce ați stabilit un standard, trebuie să reevaluați programul și să construiți un plan pe baza lecțiilor învățate. Dacă grupul țintă este întreaga voastră organizație, compararea datelor este ușoară, dar trimiterea acelorași e-mailuri tuturor angajaților va face ca aceștia să își dea seama repede în situația în care corectitudinea rezultatelor este problematică. Drept soluție, abordarea bazată pe mostre țintă oferă date mai clare despre cum reacționează oamenii când doar ei, nu și cei din jurul lor, primesc e-mailurile. O abordare specifică creează scenarii realiste având în vedere rolul persoanelor în companie. Este cea mai bună metodă de a pregăti oamenii pentru amenințări reale de phishing. La nivel de procente, o mostră aleatorie de 30% din baza totală de utilizatori va oferi rezultate reprezentative.

Într-o fază avansată a programului, puteți încerca să combinați două abordări și să decideți dacă doriți să creșteți sau să reduceți frecvența exercițiilor voastre. În acest moment, puteți folosi programul pentru scenarii din viața reală, așa cum vă semnalează echipa SOC.

Ce facem cu cei care dau click în mod repetat? Numiți și recidiviști, acești oameni sunt un risc real pentru organizație. Unele companii folosesc un proces unde prima greșeală va fi urmată de un e-mail, a doua de un training, iar a treia o discuție cu managerul ce se ocupă de raportare. Cultura organizațională va fi cel mai bun indicator referitor la abordarea ce trebuie adoptată. Indiferent de decizie, a fi asertiv în comunicare și a înțelege motivele pentru care pică testele sunt două soluții pentru o colaborare bună. 

Conștientizarea pericolului. Realizarea sesiunilor de training sau conștientizare trebuie să evolueze pe măsură ce evoluează programul pentru a menține viu interesul angajaților. Cursurile tradiționale de phishing pot fi înlocuite cu un atelier în care oamenii învață să-și construiască propria campanie de phishing. Unii ar putea să se întrebe dacă este etic să facem așa ceva. Dacă nu avem persoane tehnice în audiență și nu le dăm un manual de utilizare, nu vor ști să își lanseze propriile atacuri. O altă metodă de a promova implicarea este să solicitați idei noi pentru campaniile viitoare. Un concurs și un premiu pot stimula rata de participare și pot uni echipele.

Simplificați raportarea. Măsurarea ratei de raportare ne arată cât de mult ne putem baza pe oameni când vine vorba de evenimente suspecte. Pentru a crește acest număr și a motiva oamenii să se implice trebuie să le dăm instrumentele potrivite. Implementarea unui buton de raportare phishing în Outlook face raportarea simplă, accesibilă, rapidă. După instalarea acestui buton, cazurile vor crește foarte repede, deci pregătiți-vă echipele implicate.

Lecții și sfaturi de la un chef cu experiență

Fie că tocmai începem, fie că avem deja câțiva ani de experiență, testele de phishing pot duce la rezultate surprinzătoare. Deoarece se bazează exclusiv pe comportamentul uman, cu fiecare campanie phishing vom descoperi ceva nou.  

După trei ani de phishing, iată ce am învățat și ce sfaturi pot să ofer:

Încheiere: Ca profesionist în conștientizarea importanței securității, susțin importanța elementului uman. Nu avem soluții perfecte sau instrumente perfecte. E nevoie de o combinare de resurse adaptate nevoilor organizației, iar acestea vor fi decisive în privința rezultatului obținut. Tehnologia poate oferi un răspuns susținut problemelor noastre, dar cei care stau în spatele tehnologiilor sunt oamenii. Comunicarea eficientă și transparentă este cheia către un personal implicat care are sentimentul că realizează ceva împreună. Nu sunt de acord cu cei care susțin că oamenii sunt veriga slabă. Chiar dacă acest lucru ar fi adevărat, dacă ne-am baza programul pe această presupunere, am da naștere unei falii și mai mari. Securitatea este și responsabilitatea angajatului și trebuie să existe consecințe pentru acțiunile riscante efectuate, dar specialiștii în securitate au și ei un rol important de jucat. Responsabilitatea noastră este să ne echipăm oamenii cu informația necesară pentru a recunoaște atacurile phishing, iar utilizarea instrumentelor potrivite este o operă de artă în sine.

Sponsori

  • comply advantage
  • ntt data
  • 3PillarGlobal
  • Betfair
  • Accenture
  • Siemens
  • Bosch
  • FlowTraders
  • MHP
  • Connatix
  • MetroSystems
  • BoatyardX
  • Colors in projects

VIDEO: NUMĂRULUI 97