La compañía no quiere ningún nombre en los informes de phishing

80

Recientemente hemos sido contratados para realizar pruebas de phishing para una empresa. Llamémoslo una empresa, pero básicamente están obligados, por ley, a evaluar la seguridad de su entorno con campañas de phishing.

Hace poco hicimos nuestras primeras campañas y los resultados fueron bastante malos. Más del 70% de sus usuarios confiaban en los "correos electrónicos maliciosos" que enviamos e hicieron lo que el correo electrónico les pedía.

Después de que terminó, por supuesto, tuvimos un breve resumen de nuestros hallazgos. En pocas palabras, no querían ~ ningún ~ identificadores (correo electrónico, nombre de usuario, lo que sea) de quién se enamoró del phish. Querían que "X de 300" no identificara el correo electrónico. Su razón fue que no querían ofender a nadie. (Quería decirles que los sentimientos de sus clientes se verán perjudicados cuando sus empleados caigan en un posible ataque e información de fuga) Les acusé cortésmente de marcar una casilla y no estar realmente interesado en educar a sus usuarios. No estaban muy felices. Debería explicarlo diciendo que ni siquiera querían 2 informes, uno que muestra los correos electrónicos y otro que no los muestra. Se lo ofrecí porque, al menos, pueden ver cómo reaccionan estas personas individuales a las diferentes campañas a lo largo del tiempo. Esto ayudaría absolutamente si el usuario "Sam" hace clic en cada enlace en un correo electrónico cada vez en el transcurso de diez campañas. ¿Seguramente le gustaría educar a Sam de manera diferente a otros usuarios?

Mi pregunta es: ¿esto no anula el propósito de las campañas de phishing y la mejora de la seguridad de la información en su red? ¿Esto es normal?

    
pregunta pm1391 30.01.2018 - 01:53
fuente

8 respuestas

152

Esta campaña inicial estableció primero una línea de base. Entonces, sí, es normal. "¿Cómo nos posicionamos como empresa? ¿A qué nivel debemos capacitar? ¿Tenemos, en general, usuarios seguros o tenemos, en general, usuarios sin seguridad?" Este informe establece esto y la medida en que la administración debe participar en la capacitación de phishing. Si solo el 5% de los usuarios se cayera al intento de phishing, el enfoque de la capacitación sería muy diferente. En su estado actual, ahora la gerencia sabe que tienen, esencialmente, un problema corporativo y que una campaña de phish tiene un 70% de posibilidades de éxito.

Ahora, cuando la compañía realiza una capacitación futura de phishing, pueden comparar los resultados y determinar si la capacitación fue exitosa. "Inicialmente, caímos por ello el 70% del tiempo. Esta vez, lo hicimos por el 68% del tiempo. Por lo tanto, no fue exitoso". O "Inicialmente, caímos al 70% del tiempo y ahora lo hacemos el 50% del tiempo. Lo estamos haciendo mejor, pero necesitamos más capacitación".

    
respondido por el baldPrussian 30.01.2018 - 02:01
fuente
130

No, porque al dar nombres a los que está culpando, la seguridad debe alejarse de culpar a las personas y, en su lugar, tomarlas como un todo. Es lo mismo que encontrar una vulnerabilidad de seguridad en un sitio web: no debes culpar al desarrollador, sino que debes mejorar el proceso completo.

Ejecutamos campañas de phishing y no identificamos a los usuarios. Para lo que lo usamos es para identificar la debilidad de nuestra parte y para lo que necesitamos capacitar mejor a nuestro personal. No tiene sentido enfocar esta capacitación en una sola persona.

Después de una campaña, enviamos un correo electrónico a todo el personal, proporcionamos estadísticas de fallas / éxitos y luego brindamos consejos para detectar el phishing y cómo tratar el correo electrónico en general.

    
respondido por el McMatty 30.01.2018 - 03:47
fuente
49

Creo que el ángulo correcto para ver esto es hacer la siguiente pregunta:

Con la cantidad de personas que no pasaron la prueba, ¿qué objetivos (de seguridad) se lograrían si la empresa tuviera estos nombres?

Yo diría: ninguno .

¿Cuál es el objetivo de seguridad de una prueba de phishing en toda la empresa de todos modos?

Normalmente, en todas las empresas que dependen de TI y tienen una cierta cantidad de empleados, estos empleados están sujetos a capacitaciones de seguridad de la información. Estos entrenamientos cubren principalmente temas básicos como la comunicación por correo electrónico, la seguridad de escritorio, etc. Cuando se ejecuta una prueba de phishing, la administración quiere saber:

  1. si estos entrenamientos tuvieron éxito (como en: vale la pena su dinero)
  2. si cualquier dato o sistema de TI que pertenezca a la empresa puede verse comprometido debido a la falta de una buena capacitación

Si usted como contratista les dice "el 70% de sus empleados no pasó la prueba", responde a las dos preguntas anteriores. Si la administración solicita nombres en una empresa con más de 300 empleados, no obtienen más información relevante y no están haciendo su trabajo correctamente.

El siguiente paso es ahora, para definir un nuevo objetivo de seguridad. Debería leer algo como esto:

"En los próximos X meses, todos los empleados deben participar en una capacitación de seguridad. Por $ meses de $ año, queremos que $ el contratista realice otra prueba de phishing y el porcentaje de personas que no aprueben esta prueba debe ser inferior al X%".

¿Estas capacitaciones serían más rentables, si solo esos empleados tuvieran que participar, que fallaran la prueba de phishing? Probablemente.
Pero: los presentas al 30% de la empresa (los que no tienen que ir) como "demasiado estúpidos para identificar un intento de phishing". Lo que esto hace a la moral es mayor que el costo de solo enviar a todos sus empleados a una capacitación. Además: otro recordatorio para el 30% sobre la seguridad de la información realmente no duele.
Hay otra razón por la que esta es una buena idea: por lo general, si realiza una prueba de suplantación de identidad (phishing), no sabe por qué la gente no se lo creyó. Tal vez algunos de ellos no leyeron el correo electrónico porque estaban de vacaciones, enfermos o simplemente lo omitieron, porque tienen una bandeja de entrada llena de correos más importantes. Nadie te puede decir si pasarán la prueba la próxima vez. Los empleados son siempre su factor de riesgo número uno, capacítelos si puede.

Otro punto que quiero mencionar que se omitió hasta ahora en las otras respuestas es que, dependiendo de cómo comunique los resultados: la mayoría de las personas sabrán que no pasaron esa prueba . Tiene que informar a sus empleados de una forma u otra y asumo que esta es la forma en que la mayoría de las empresas lo hacen: envíe un correo electrónico de toda la empresa con una captura de pantalla del correo de phishing.

  

"Estimados empleados, lamento informarles, pero esta fue una prueba de suplantación de identidad. No hay un yate gratis esperándole. La cantidad de personas que no pasaron la prueba fue mala, por eso tendremos algo de seguridad capacitaciones en el futuro cercano. Un contratista hizo esto por nosotros y no recopilamos datos personales, por lo que no sabemos quién hizo clic en un enlace y quién no. No habrá repercusiones. Los correos electrónicos de phishing pueden ser realmente malos. consecuencias tales como ... yadda, yadda, yadda .. ".

La gente verificará su bandeja de entrada y, si no hace mucho tiempo, recuerda lo que hicieron. Esto aumentará la aceptación hacia una capacitación de seguridad y un ajuste en el comportamiento. Invocar el miedo y presionar a las personas no es bueno.

    
respondido por el Tom K. 30.01.2018 - 15:21
fuente
23

Parece que hay alguna falta de comunicación sobre el propósito de estas pruebas.

Usar identificadores significa encontrar personas responsables para educarlos y / o castigarlos. Puede ser un parámetro explícito de la prueba que ninguna persona puede ser identificada. En muchos países europeos, el consejo local de trabajadores o los representantes sindicales tendrían que aceptar tal prueba y podrían poner esto como una condición.

Usar estadísticas significa identificar indicadores de rendimiento . Puede medirlos entre sí para identificar, por ejemplo, si está mejorando o si alguna campaña de sensibilización que realizó fue efectiva. No necesitas personas identificadas para esto, e incluso podría confundir los resultados.

Finalmente, el cliente paga la factura. Trabaja para ellos, por lo que, si bien debe señalar cualquier inquietud o pensamiento profesional que tenga, a menos que vaya en contra de su ética personal o profesional (p. Ej., Las normas de ética de ISACA, si usted es miembro), entrega lo que el cliente solicita.

    
respondido por el Tom 30.01.2018 - 13:59
fuente
6

Para responder a su pregunta:

  

¿Esto no anula el propósito de las campañas de phishing y la mejora?   ¿La seguridad de la información en su red? ¿Esto es normal?

No. Si el cliente desea una versión diluida del resultado de la investigación, en última instancia es su decisión. Pero tiene todos los derechos para ofrecer su mejor consejo y darles el poder de elección.

¿Es normal enfrentarse a ese tipo de reacciones de los clientes? Sí, puede suceder todo el tiempo, y eso podría ser la consecuencia de muchas cosas. El cliente puede tener sus propias inseguridades (por ejemplo, si los miembros de la gerencia fueron atrapados, cómo manejarlos), o si no quieren menospreciar a sus empleados, es posible que no sepan cómo manejar su capacitación una vez que el informe sea público.

Si ellos son los que pagan por ello, como su asesor, usted finalmente tiene que cumplir con su decisión.

Como nota adicional, sobre algo que noté :

  

Los acusé cortésmente de marcar una casilla y no estar realmente   Interesados en educar a sus usuarios.

No hay manera de decir cortésmente lo que acabas de decir. Pero hay otras formas de decirlo sin encontrarnos con nada malo. Bienvenido al mundo de la política. Veo que la mayoría de las otras respuestas cubren el aspecto de seguridad, por lo que deseo cubrir el otro aspecto político sutil en mi respuesta.

Visiblemente tiene mucha buena voluntad y conocimientos, y su cliente se muestra obstinado desde su punto de vista por no haber realizado todo el ejercicio.

Descubrí que la mejor manera de comunicar algo así es usar formas ligeramente diferentes de decirlo, que promoverán su causa sin molestar necesariamente al cliente o hacer que el cliente sienta que no está permitiendo que lo hagan. Lo criticamos y nos cruzamos por el camino equivocado.

Aquí hay algunas formas en que podría haberlo dicho que probablemente hubieran ayudado a promover su visión. Todo es política y puede ser estudiado por separado.

  • La forma más correcta desde el punto de vista político (dilución máxima del mensaje): estaríamos perdiendo una gran oportunidad si omitimos esa parte del ejercicio. ¿Estás seguro de que quieres hacer eso, señor cliente?
  • Un poco menos políticamente correcto, pero el mensaje está menos diluido y aún no aparece: si no abordamos al máximo y permitimos que la capacitación se realice donde se debe, estaríamos desperdiciando mucha energía. ¿Estás seguro de que quieres hacer eso, señor cliente?

Observe que en ambos casos, terminé con Are you sure you want to do that Mr. Customer? . Eso se llama el poder de elección, poner la elección de nuevo en sus manos al final de cualquier intento de modificar su comportamiento o pensamiento.

Si no tienes éxito y todavía no quieren, déjalo ser. No tenías la autoridad de todos modos, todo lo que puedes hacer es aconsejarles lo mejor que puedas. Pero aún así, en un escenario diferente, podría haber afectado el pensamiento del cliente y hacerlo a su manera. Pero no siempre es el caso.

    
respondido por el Wadih M. 30.01.2018 - 15:28
fuente
3

Acabo de terminar una campaña (como cliente) y quería el anonimato absoluto de los usuarios.

Hubo algunas razones, entre ellas las más importantes fueron

  • la privacidad, un asunto complicado en algunos países
  • el hecho de que enviaría una nota global sobre la campaña y los resultados

Su cliente puede haber tenido otras razones. Les diste la oportunidad de tener resultados completos, posiblemente con algún consejo. Querían la versión anónima, su elección.

Nota: perdón por los errores tipográficos (o en realidad, autocompletaciones incorrectas de mi teléfono) que hicieron que mi respuesta inicial pareciera bastante extraña.

    
respondido por el WoJ 31.01.2018 - 23:13
fuente
1

Capto totalmente tu deseo de capturar esos datos. Así que anónimalas. La idea general es que tomas un hash MD5 de su dirección de correo electrónico en minúsculas, y tomas tantos bits de resolución como necesites, y les dejas b7R+ o los conviertes a "contraseñas de AOL" como shave-pen-osram .

Prohibido

   John Smith           FAIL
   Frank Frink          FAIL
   Juliana Crain        PASS

Lo que podría estar permitido

   Rufus-Castle-Uniform-Enemy    FAIL
   Zion-Lathe-Shoot-Loyal        FAIL
   Flee-Worldly-Variable-Key     PASS

Lo que es más seguro aún

   Bucket Stop-Bad         4/6 failed (66%)
   Bucket Wax-Scissors     5/6 failed (83%)
   Bucket Memory-Egg       4/5 failed (80%)

Hay dos formas de llegar al anonimato, imaginando que los bits n pueden contener el número de empleados (por ejemplo, empleados = 700 n = 10).

  • Puede usar algunos bits adicionales, como n +6 bits, en cuyo caso la anonimización sería reversible y el empleado podría estar expuesto: Rufus-Castle-Uniform-Enemy generalmente solo se envía a jsmith@foo.com ... Gotcha! Puede haber un segundo correo electrónico, pero cuantos más bits, menos probable será.
  • Puede ir unos pocos muy pocos bits, como n -3 bits, en cuyo caso, la ejecución inversa revelará Stop-Bad hashes a jsmith, emccarthy , jcrian, tkido, ctagawa, y ffrink, haciendo que la retribución sea impracticable. Esto termina creando un grupo de "cubos" por así decirlo.
  • puedes saltear el MD5, pero eso falla si el perseguidor
    • aprende la sal a través de un ataque criptográfico de fuerza bruta
    • simplemente te ordena que lo gires
    • toma nota del patrón de actividades que se ha registrado y deduce al usuario

Su desacuerdo con sus razones es un problema clásico de empleo.se , pero es posible que no le informen todas sus razones *. Independientemente usted debe cumplir con su informe a ellos.

Los métodos que he proporcionado aquí con la anonimización le permiten presentar, en su informe, los datos detallados que desea presentar, mientras cumple técnicamente con su directiva. Puede hacerlo en la forma n + muchas formas, lo que les permite retroceder a usuarios individuales si realmente lo desean, o la forma agrupada, que no lo hace.

Bucketing es bastante inútil al 70% a menos que presente "En el cubo 127, 4/6 usuarios cayeron por el phish". El uso de los cubos funciona mejor cuando la tasa de aciertos es 1/3 del número de cubos o menos, por lo que dos golpes en el mismo compartimiento son raros. "En 512 cubos, 90 cubos tuvieron visitas, lo más probable es que sean 90-95 personas, que es el número que desea.

* como litigante puedo pensar en uno realmente grande. Si fuera yo, eliminaría los datos personalizados "como una cuestión de rutina". Guardar todo para siempre es todo diversión y juegos hasta que llegue la citación.

    
respondido por el Harper 30.01.2018 - 22:06
fuente
1

Estoy de acuerdo en que la elección del cliente aparentemente impide cualquier oportunidad de mejora. Sin embargo, hay otra manera de mejorar.

Permita que todos los empleados sepan "No sabemos quién se enamoró y quién no, por lo que no podemos despedir ni recompensar a nadie". Sin embargo, hacemos esta prueba todos los meses y publicaremos los porcentajes. Si el 70% ha bajado a 20% al final del año, todos los empleados recibirán una bonificación. El tamaño de la bonificación dependerá de cuánto menos de veinte. Para ayudarnos a alcanzar ese objetivo, habrá un correo electrónico semanal que enseñará una técnica para identificar el phishing. El próximo año, la bonificación será cada trimestre, pero la meta también será menor cada trimestre ".

    
respondido por el WGroleau 31.01.2018 - 03:34
fuente

Lea otras preguntas en las etiquetas