it-swarm.com.de

Das Unternehmen möchte keine Namen in Phishing-Berichten

Wir wurden kürzlich beauftragt, Phishing-Tests für ein Unternehmen durchzuführen. Nennen wir es ein Unternehmen, aber im Grunde sind sie gesetzlich verpflichtet, die Sicherheit ihrer Umgebung mit Phishing-Kampagnen zu bewerten.

Wir haben unsere ersten Kampagnen vor nicht allzu langer Zeit durchgeführt und die Ergebnisse waren ziemlich schlecht. Über 70% ihrer Benutzer vertrauten den von uns gesendeten "böswilligen E-Mails" und taten, was auch immer die E-Mail von ihnen verlangte.

Nachdem es vorbei war, hatten wir natürlich eine kurze Beschreibung unserer Ergebnisse. Kurz gesagt, sie wollten keine Identifikatoren (E-Mail, Benutzername, was auch immer), die sich in den Phish verliebt haben. Sie wollten, dass "X von 300" die E-Mail nicht identifizieren konnte. Ihr Grund war, dass sie niemanden beleidigen wollten. (Ich wollte sagen, dass die Gefühle Ihrer Kunden verletzt werden, wenn Ihre Mitarbeiter auf einen möglichen Angriff und Leckinformationen hereinfallen.) Ich beschuldigte sie höflich, ein Kästchen angekreuzt zu haben und nicht wirklich daran interessiert zu sein, ihre Benutzer zu schulen. Sie waren nicht sehr glücklich. Ich sollte näher darauf eingehen, dass sie nicht einmal zwei Berichte wollten, von denen einer die E-Mails und der andere die E-Mails nicht zeigt. Ich habe es ihnen angeboten, weil sie zumindest sehen können, wie diese einzelnen Personen auf verschiedene Kampagnen im Laufe der Zeit reagieren. Dies wäre absolut hilfreich, wenn Benutzer "Sam" im Verlauf von zehn Kampagnen jedes Mal auf jeden einzelnen Link in einer E-Mail klickt. Sicherlich möchten Sie Sam anders erziehen als andere Benutzer?

Meine Frage ist, ob dies nicht den Zweck von Phishing-Kampagnen und die Verbesserung der Informationssicherheit in Ihrem Netzwerk zunichte macht. Ist das überhaupt normal?

78
pm1391

Diese erste Kampagne legte zuerst eine Basis fest. Also ja, es ist normal. "Wie stehen wir als Unternehmen? Auf welchem ​​Niveau müssen wir trainieren? Haben wir insgesamt sichere Benutzer oder haben wir insgesamt unsichere Benutzer?" In diesem Bericht wird dies und das Ausmaß festgelegt, in dem das Management an Phishing-Schulungen teilnehmen muss. Würden nur 5% der Benutzer auf den Phishing-Versuch hereinfallen, wäre der Trainingsfokus sehr unterschiedlich. Derzeit weiß das Management, dass es im Wesentlichen ein unternehmensweites Problem gibt und dass eine Phish-Kampagne im Grunde genommen eine 70% ige Erfolgschance hat.

Wenn das Unternehmen nun ein zukünftiges Phishing-Training durchführt, kann es die Ergebnisse vergleichen und feststellen, ob das Training erfolgreich war. "Wir sind anfangs 70% der Zeit darauf hereingefallen. Dieses Mal sind wir 68% der Zeit darauf hereingefallen. Es war daher nicht erfolgreich." Oder "Wir sind anfangs 70% der Zeit darauf hereingefallen und jetzt 50% der Zeit darauf hereingefallen. Wir machen es besser, brauchen aber weiteres Training."

152
baldPrussian

Nein, denn durch die Angabe von Namen, die Sie beschuldigen, muss die Sicherheit nicht mehr die Schuld an Einzelpersonen geben, sondern sie als Ganzes betrachten. Es ist dasselbe wie das Auffinden einer Sicherheitslücke auf einer Website: Sie sollten nicht den Entwickler beschuldigen, sondern stattdessen versuchen, den gesamten Prozess zu verbessern.

Wir führen Phishing-Kampagnen durch und identifizieren keine Benutzer. Wir verwenden es, um Schwachstellen von unserer Seite zu identifizieren und um unsere Mitarbeiter besser zu schulen. Es macht keinen Sinn, dieses Training nur auf eine einzelne Person zu konzentrieren.

Nach einer Kampagne senden wir allen Mitarbeitern eine E-Mail, stellen Statistiken zu Fehlern/Erfolgen bereit und geben Tipps zum Erkennen von Phishing und zur allgemeinen Behandlung von E-Mails.

128
McMatty

Ich denke, der richtige Blickwinkel ist, die folgende Frage zu stellen:

Welche (Sicherheits-) Ziele würden mit der Anzahl der Personen, die den Test nicht bestanden haben, erreicht, wenn das Unternehmen diese Namen hätte?

Ich würde sagen: keine.


Was ist das Sicherheitsziel eines unternehmensweiten Phishing-Tests überhaupt?

In der Regel werden diese Mitarbeiter in jedem Unternehmen, das auf IT angewiesen ist und eine bestimmte Anzahl von Mitarbeitern beschäftigt, Schulungen zur Informationssicherheit unterzogen. Diese Schulungen behandeln hauptsächlich grundlegende Themen wie E-Mail-Kommunikation, Desktop-Sicherheit usw. Bei der Durchführung eines Phishing-Tests möchte das Management Folgendes wissen:

  1. wenn diese Trainings erfolgreich waren (wie in: ihr Geld wert)
  2. wenn Daten oder IT-Systeme, die zum Unternehmen gehören, aufgrund mangelnder Schulung kompromittiert werden können

Wenn Sie als Auftragnehmer ihnen mitteilen, dass "70% Ihrer Mitarbeiter den Test nicht bestanden haben", werden die beiden oben genannten Fragen beantwortet. Wenn das Management nach Namen in einem Unternehmen mit mehr als 300 Mitarbeitern fragt, erhält es keine relevanteren Informationen und erledigt seine Arbeit nicht richtig.

Der nächste Schritt besteht nun darin, ein neues Sicherheitsziel zu definieren. Es sollte ungefähr so ​​lauten:

"In den nächsten X Monaten muss jeder Mitarbeiter an einer Sicherheitsschulung teilnehmen. Bis zum Monat des Jahres soll der Auftragnehmer einen weiteren Phishing-Test durchführen, und der Prozentsatz der Personen, die diesen Test nicht bestehen, sollte unter X% liegen."

Wären diese Schulungen kostengünstiger, wenn nur die Mitarbeiter teilnehmen müssten, die den Phishing-Test nicht bestanden haben? Wahrscheinlich.
Aber: Sie präsentieren sie 30% des Unternehmens (diejenigen, die nicht gehen müssen) als "zu dumm, um einen Phishing-Versuch zu identifizieren". Was dies für die Moral bedeutet, überwiegt alle Kosten, wenn Sie nur alle Ihre Mitarbeiter zu einer Schulung schicken. Außerdem: Eine weitere Erinnerung an die 30% über Informationssicherheit tut nicht wirklich weh.
Es gibt noch einen weiteren Grund, warum dies eine gute Idee ist: Wenn Sie einen Phishing-Test durchführen, wissen Sie normalerweise nicht, warum die Leute nicht darauf hereingefallen sind. Vielleicht haben einige von ihnen die E-Mail nicht gelesen, weil sie im Urlaub waren, krank waren oder sie einfach übersprungen haben, weil sie einen Posteingang voller wichtigerer Mails haben. Niemand kann Ihnen sagen, ob sie den Test beim nächsten Mal bestehen werden. Mitarbeiter sind immer Ihr Risikofaktor Nummer eins. Trainieren Sie sie, wenn Sie können.

Ein weiterer Punkt, den ich erwähnen möchte, der bisher in den anderen Antworten übersehen wurde, ist, dass je nachdem, wie Sie die Ergebnisse kommunizieren: die meisten Leute selbst wissen, dass sie diesen Test nicht bestanden haben .
Sie müssen Ihre Mitarbeiter auf die eine oder andere Weise informieren, und ich gehe davon aus, dass die meisten Unternehmen dies so tun: Senden Sie eine unternehmensweite E-Mail mit einem Screenshot der Phishing-Mail.

"Sehr geehrte Mitarbeiter, es tut mir leid, Ihnen dies zu sagen, aber dies war ein Phishing-Test. Es wartet keine kostenlose Yacht auf Sie. Die Anzahl der Personen, die den Test nicht bestanden haben, war schlecht. Deshalb werden wir einige Sicherheitsschulungen in der In naher Zukunft. Ein Auftragnehmer hat dies für uns getan und wir haben keine personenbezogenen Daten gesammelt. Daher wissen wir nicht, wer auf einen Link geklickt hat und wer nicht. Es wird keine Auswirkungen geben. Phishing-Mails können wirklich sehr, sehr schlimme Folgen haben, wie z ... yadda, yadda, yadda .. ".

Die Leute überprüfen ihren Posteingang und wenn es noch nicht lange her ist, erinnern Sie sich daran, was sie getan haben. Dies erhöht die Akzeptanz für ein Sicherheitstraining und eine Verhaltensanpassung. Angst zu haben und Menschen unter Druck zu setzen, nützt nichts.

49
Tom K.

Es scheint einige Missverständnisse über den Zweck dieser Tests zu geben.

Identifikatoren zu verwenden bedeutet, Verantwortliche zu finden, um sie zu erziehen und/oder zu bestrafen. Es kann ein expliziter Parameter des Tests sein, dass keine Personen identifiziert werden können. In vielen europäischen Ländern müssten der lokale Arbeitnehmerrat oder Gewerkschaftsvertreter einem solchen Test zustimmen und könnten dies als Bedingung festlegen.

Statistiken verwenden bedeutet Leistungsindikatoren identifizieren. Sie können diese aneinander messen, um beispielsweise festzustellen, ob Sie sich verbessern oder ob eine von Ihnen durchgeführte Sensibilisierungskampagne effektiv war. Sie brauchen dafür keine identifizierten Personen und es könnte sogar die Ergebnisse verwischen.

Schließlich bezahlt der Kunde die Rechnung. Sie arbeiten für sie. Während Sie also auf Ihre beruflichen Bedenken oder Gedanken hinweisen sollten, sofern dies nicht gegen Ihre persönliche oder berufliche Ethik verstößt (z. B. gegen die ISACA-Ethikstandards, wenn Sie Mitglied sind), liefern Sie das, was der Kunde verlangt.

22
Tom

Zur Beantwortung Ihrer Frage:

verstößt dies nicht gegen den Zweck von Phishing-Kampagnen und die Verbesserung der Informationssicherheit in Ihrem Netzwerk? Ist das überhaupt normal?

Nein. Wenn der Kunde eine verwässerte Version des Forschungsergebnisses wünscht, ist dies letztendlich sein Anruf. Sie haben jedoch alle Rechte, Ihre besten Ratschläge zu geben und ihnen die Macht der Wahl zu geben.

Ist es normal, mit solchen Kundenreaktionen konfrontiert zu werden? Ja, es kann die ganze Zeit passieren, und das könnte die Folge vieler Dinge sein. Der Kunde hat möglicherweise seine eigenen Unsicherheiten (z. B. was, wenn Mitglieder des Managements erwischt wurden, wie er damit umgeht) oder möchte seine Mitarbeiter nicht schmälern, weiß möglicherweise nicht, wie er seine Schulung danach handhaben soll, sobald der Bericht veröffentlicht ist.

Wenn sie dafür bezahlen, müssen Sie als Berater ihre Entscheidung endlich erfüllen.

Als zusätzliche Randnotiz zu etwas, das mir aufgefallen ist:

Ich beschuldigte sie höflich, ein Kästchen angekreuzt zu haben und nicht wirklich daran interessiert zu sein, ihre Benutzer zu schulen.

Es gibt keine Möglichkeit, höflich zu sagen, was Sie gerade gesagt haben. Es gibt aber auch andere Möglichkeiten, es auszudrücken, ohne auf etwas Falsches zu stoßen. Willkommen in der Welt der Politik. Ich sehe, dass die meisten anderen Antworten den Sicherheitsaspekt abdecken, daher möchte ich den anderen subtilen politischen Aspekt in meiner Antwort behandeln.

Sie haben sichtlich viel guten Willen und Know-how, und Ihr Kunde scheint aus Ihrer Sicht hartnäckig zu sein, weil er diese Übung nicht in voller Länge absolviert hat.

Ich fand, dass der beste Weg, so etwas zu kommunizieren, darin besteht, etwas andere Ausdrucksweisen zu verwenden, die Ihre Sache fördern, ohne den Kunden notwendigerweise zu ärgern oder dem Kunden das Gefühl zu geben, dass Sie ihn nicht das Sagen haben oder kritisieren lassen ihn und auf den falschen Weg kommen.

Hier sind einige Möglichkeiten, wie Sie es hätten sagen können, die wahrscheinlich dazu beigetragen hätten, Ihre Vision zu fördern. Es ist alles Politik und kann separat studiert werden.

  • Politisch korrektester Weg (maximale Nachrichtenverdünnung): Wir würden eine großartige Gelegenheit verpassen, wenn wir diesen Teil der Übung weglassen würden. Sind Sie sicher, dass Sie das tun möchten, Herr Kunde?
  • Ein bisschen weniger politisch korrekt, aber die Botschaft ist weniger verwässert und kommt immer noch nicht rüber: Wenn wir nicht in vollem Umfang vorgehen und das Training dort stattfinden lassen, wo es fällig ist, würden wir viel Energie verschwenden. Sind Sie sicher, dass Sie das tun möchten, Herr Kunde?

Beachten Sie in beiden Fällen, dass ich mit Are you sure you want to do that Mr. Customer?. Das nennt man die Macht der Wahl. Legen Sie die Wahl am Ende aller Versuche, ihr Verhalten oder Denken zu ändern, wieder in ihre Hände.

Wenn Sie keinen Erfolg haben und sie es immer noch nicht wollen, lassen Sie es sein. Sie hatten sowieso keine Autorität, Sie können sie nur so gut wie möglich beraten. In einem anderen Szenario hätten Sie jedoch das Denken des Kunden beeinflussen und es nach Ihren Wünschen gestalten können. Das ist aber nicht immer der Fall.

6
Wadih M.

Ich habe gerade eine solche Kampagne (als Kunde) beendet und wollte absolute Anonymität der Nutzer.

Es gab einige Gründe, darunter die wichtigsten

  • privatsphäre, eine komplizierte Angelegenheit in einigen Ländern
  • die Tatsache, dass ich eine globale Notiz über die Kampagne und die Ergebnisse senden würde

Ihr Kunde hatte möglicherweise andere Gründe. Sie haben ihnen die Möglichkeit gegeben, vollständige Ergebnisse zu erzielen, möglicherweise mit einigen Ratschlägen. Sie wollten die anonyme Version, ihre Wahl.

Hinweis: Entschuldigung für die Tippfehler (oder tatsächlich - falsche automatische Vervollständigungen durch mein Telefon), die meine anfängliche Antwort ziemlich seltsam aussehen ließen.

3
WoJ

Ich verstehe Ihren Wunsch, diese Daten zu erfassen, vollkommen. Also anonymisiere sie. Die allgemeine Idee ist, dass Sie einen MD5-Hash der E-Mail-Adresse in Kleinbuchstaben verwenden und so viele Auflösungsbits wie nötig abrufen und diese entweder b7R+ Belassen oder in "AOL-Passwörter" wie shave-pen-osram Konvertieren. .

Verboten

   John Smith           FAIL
   Frank Frink          FAIL
   Juliana Crain        PASS

Was könnte dir erlaubt sein

   Rufus-Castle-Uniform-Enemy    FAIL
   Zion-Lathe-Shoot-Loyal        FAIL
   Flee-Worldly-Variable-Key     PASS

Was ist noch sicherer

   Bucket Stop-Bad         4/6 failed (66%)
   Bucket Wax-Scissors     5/6 failed (83%)
   Bucket Memory-Egg       4/5 failed (80%)

Es gibt zwei Möglichkeiten, um die Anonymität zu erreichen: Stellen Sie sich vor, n Bits können die Anzahl der Mitarbeiter enthalten (z. B. Mitarbeiter = 700 n = 10).

  • Sie können ein paar zusätzliche Bits wie n + 6 Bits verwenden. In diesem Fall wäre die Anonymisierung umkehrbar und der Mitarbeiter könnte entlarvt werden: Rufus-Castle-Uniform-Enemy normalerweise hasches nur an [email protected] ... Gotcha! Es könnte eine zweite E-Mail geben, aber je mehr Bits, desto weniger wahrscheinlich.
  • Sie können ein paar zu wenige Bits wie n - 3 Bits gehen. In diesem Fall zeigt der umgekehrte Lauf Stop-Bad Hashes an jsmith, emccarthy, jcrian, tkido, ctagawa, und ffrink, was Vergeltung undurchführbar macht. Dies führt dazu, dass sozusagen eine Gruppe von "Eimern" entsteht.
  • sie können den MD5 salzen, aber das schlägt fehl, wenn der Verfolger
    • lernt das Salz durch einen Brute-Force-Kryptoangriff
    • befiehlt Ihnen einfach, es umzudrehen
    • notiert das Muster der protokollierten Aktivitäten und leitet den Benutzer ab

Ihre Uneinigkeit mit ihren Gründen ist ein klassisches arbeitsplatz.se Problem, aber sie sagen Ihnen möglicherweise nicht alle ihre Gründe *. Unabhängig davon müssen Sie sie in Ihrem Bericht einhalten.

Die Methoden, die ich hier mit Anonymisierung bereitgestellt habe, ermöglichen es Ihnen, in Ihrem Bericht die Detaildaten darzustellen, die Sie präsentieren möchten, während Sie deren Richtlinie technisch einhalten. Sie können dies entweder in der Form n + many tun, wodurch sie zu einzelnen Benutzern zurückkehren können, wenn sie dies wirklich möchten - oder in der Form mit Bucket, die dies nicht tut.

Bucketing ist mit 70% ziemlich nutzlos, es sei denn, Sie präsentieren "In Bucket 127 sind 4/6 Benutzer auf den Phish hereingefallen". Das Bucketing funktioniert am besten, wenn die Trefferquote 1/3 der Anzahl der Buckets oder weniger beträgt, sodass 2 Treffer im selben Bucket selten sind. "In 512 Eimern hatten 90 Eimer Treffer, höchstwahrscheinlich sind das 90-95 Personen, das ist die Zahl, die Sie wollen.

* Als Prozessanwalt kann ich mir einen wirklich großen vorstellen. Wenn ich es wäre, würde ich die personalisierten Daten "routinemäßig" löschen. Alles für immer zu speichern ist alles Spaß und Spiel, bis die Vorladung kommt.

Ich bin damit einverstanden, dass die Wahl des Kunden anscheinend keine Verbesserungsmöglichkeiten verhindert. Es gibt jedoch noch einen anderen Weg zur Verbesserung.

Lassen Sie alle Mitarbeiter wissen: "Wir wissen nicht, wer darauf hereingefallen ist und wer nicht, daher können wir niemanden entlassen oder belohnen." Wir führen diesen Test jedoch jeden Monat durch und veröffentlichen die Prozentsätze. Wenn die 70% bis Ende des Jahres auf 20% gesunken sind, erhalten alle Mitarbeiter einen Bonus. Die Höhe des Bonus hängt davon ab, wie viel unter zwanzig. Um dieses Ziel zu erreichen, wird wöchentlich eine E-Mail gesendet, in der eine Technik zur Identifizierung von Phishing vermittelt wird. Nächstes Jahr wird der Bonus jedes Quartal sein, aber das Ziel wird auch jedes Quartal kleiner sein. “

1
WGroleau