پنج راه برای دستیابی به یک کمپین آنتی فیشینگ موفق

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir five ways successful antiphishing
فیشینگ به مشکل شماره یک سایبری برای سازمان‌ها تبدیل شده است، به طوری که ۹۱ درصد از حملات سایبری از طریق‌ایمیل‌های مخرب انجام می‌شود. همانطور که سازمان‌ها شروع به اجرای کمپین‌های ضد فیشینگ می‌کنند، شرکت آگاهی امنیتی CybSafe اخیراً استدلال کرده است که این کمپین‌ها همیشه موفق نیستند.

مجموعه CybSafe در جدیدترین کتاب الکترونیکی این شرکت، (رویکردی جدید برای فیشینگ شبیه‌سازی‌شده)، که در ۲۴ آگوست ۲۰۲۲ منتشر شد، چهار نقص قابل توجه فیشینگ شبیه‌سازی‌شده سنتی را شناسایی کرد: «آن‌ها مردم را غافلگیر می‌کنند. آن‌ها برای اختصاص دادن آموزش‌های بیشتر مورد استفاده قرار می‌گیرند. آن‌ها روی معیار‌های اشتباه متمرکز شده‌اند. آن‌ها بسیار کوتاه هستند. »

ابتدا، این شرکت گفت، اگرچه ممکن است به نظر غیرقابل بررسی به نظر برسد، کمپین‌های فیشینگ شبیه‌سازی شده هرگز نباید مخفیانه اجرا شوند. این می‌تواند انگیزه کارکنان را تغییر دهد و بی‌اعتمادی ایجاد کند، و به مردم یاد نمی‌دهد که علائم فیشینگ را تشخیص دهند.

بهتر است مردم فکر کنند که همیشه فیش می‌شوند. زیرا آن‌ها توسط مجرمان واقعی قابل انجام هستند.

علاوه بر این، CybSafe استدلال می‌کند که کمپین‌های ضد فیشینگ نباید تنها مبنایی برای تخصیص آموزش جدید در رویکرد «gun-to-the-head» باشند. اول، معیار‌هایی که به طور سنتی استفاده می‌شوند، نرخ کلیک و نرخ گزارش، توضیح نمی‌دهند که چرا مردم کلیک می‌کنند و خطا می‌کنند. علاوه بر این، «این باعث می‌شود افراد «عدم شکست» در آزمون فیشینگ را با آموزش مرتبط کنند. این باعث می‌شود تمرین احساس تنبیه شدن را القا کند.

مجموعه CybSafe یک رویکرد چهار مرحله‌ای «مردم‌محور» مبتنی بر روش‌شناسی Agile را ترویج می‌کند. در اینجا نکات مهم این شرکت آمده است.

۱. اهداف خاص و فهرست گسترده‌ای از معیار‌های مهم تعیین کنید
اولین گام روش فیشینگ شبیه‌سازی شده CybSafe، «تعیین اهداف و برنامه‌ریزی خود»، با فهرست کردن مواردی که تصمیم‌گیرندگان امنیتی می‌خواهند به دست آورند، شروع می‌شود. این کتاب الکترونیکی مثال‌هایی مانند «می‌خواهم بفهمم افراد من با چه نوع‌ایمیل‌هایی بیشتر درگیر هستند» یا «می‌خواهم توانایی افرادم برای شناسایی و گزارش حملات فیشینگ واقعی را افزایش دهم» ارائه می‌دهد.

این دو هدف، برای مثال، بسیار متفاوت هستند. در حالی که، در مورد اول، تصمیم گیرندگان امنیتی بر تأثیر دسته‌بندی‌ایمیل‌ها، اصالت آن‌ها و تکنیک‌های تأثیرگذاری در نرخ کلیک تمرکز خواهند کرد، در مورد دوم، به احتمال زیاد هدفشان افزایش نرخ و دقت گزارش‌ایمیل‌های مخرب از قربانیان است.

این اهداف را می‌توان در یک کمپین واحد ترکیب کرد. اما CybSafe می‌گوید برای برآورده کردن آن‌ها، اندازه‌گیری نرخ کلیک ناکافی خواهد بود.

در اینجا چند معیار دیگر برای بررسی وجود دارد:

• حوادث امنیتی تأیید شده مرتبط با فیشینگ
• زمان شناسایی حوادث امنیتی مرتبط با فیشینگ است
• از دست دادن محدود، به فیشینگ مرتبط است
• تعداد کارمندانی که برای تعیین مشروعیت‌ایمیل درخواست کمک می‌کنند
• نقض خط‌مشی مرتبط با فیشینگ (مانند اشتراک‌گذاری اطلاعات حساس از طریق‌ایمیل)
• تعداد کل کلیک‌های تکراری
• بررسی رضایت و نگرش کارکنان
• بازخورد مستقیم از کارکنان
• نرخ باز و تعامل با ارتباطات مرتبط با فیشینگ

۲. مدیریت ارشد را با شاخص‌های مالی درگیر کنید
با اینکه معیار‌های مربوطه به دقت انتخاب شدند، مرحله برنامه‌ریزی هنوز تمام نشده است. برای یک کمپین موفق ضد فیشینگ، تصمیم گیرندگان امنیتی باید افراد را در تمام بخش‌های شرکت، از جمله تیم‌های منابع انسانی و حقوقی و مدیریت ارشد درگیر کنند.

برای جلب مشارکت مدیران ارشد، CybSafe استفاده از دو استدلال مختلف را توصیه می‌کند. ابتدا، با نشان دادن آمار فیشینگ، «مطمئن شوید [آنها] خطرات را درک کرده‌اند».

سپس، با محاسبه برخی از اعداد زیر، «به آن‌ها نشان دهید که کمپین شما چقدر پول پس انداز خواهد کرد»:

• انتظار از دست دادن واحد (SLE)، میانگین مقدار از دست رفته در هر حمله فیشینگ
• انتظار از دست دادن سالانه (ALE)، ضرر ناشی از حملات موفق فیشینگ در هر سال
• انتظار ضرر سالانه اصلاح شده (mALE)، ضرر ناشی از حملات موفق فیشینگ هر سال پس از اجرای برنامه امنیتی خود
• بازگشت سرمایه‌گذاری امنیتی (ROSI)، درصدی که انتظار می‌رود برنامه امنیتی شما هر سال پس انداز کند

۳. یک مکانیسم گزارش دهی تنظیم کنید
مرحله دوم روش CybSafe بر طراحی کمپین متمرکز است. در اینجا، دو اولویت اول اضافه کردن یک دکمه گزارش است که هر کارمندی می‌تواند به محض اینکه با‌ایمیلی مخرب مواجه شد فشار دهد و بطور خودکار پاسخ تشکر را دریافت کند.

در کتاب الکترونیکی آمده است: «همه به کمی شناخت نیاز دارند، و شما متعجب خواهید شد اگر بدانید که نشان دادن قدردانی برای افزایش انگیزه و تقویت رفتار‌های امنیتی خوب چه کار می‌تواند انجام دهد».

۴. داده‌ها را برای اندازه‌گیری محرک‌های فنی و احساسی تجزیه و تحلیل کنید
برای تجزیه و تحلیل داده‌های حاصل از گزارش‌ها، لزوماً به ابزار‌های شیک نیاز ندارید. کتاب الکترونیکی می‌گوید: « مثلاً یک گزینه رایگان عالی GoPhish […] and a good ol\' spreadsheet است».

با این حال، CybSafe بر اهمیت گسترش تجزیه و تحلیل برای اندازه‌گیری نه تنها معیار‌های ساده، بلکه محرک‌های احساسی و درک اینکه چرا شخصی روی آن‌ایمیل کلیک کرده است نیز اصرار دارد.

مجموعه CybSafe سه راه را پیشنهاد می‌کند که می‌توان این کار را مستقیماً در قالب‌های فیشینگ نظارت کرد، با نظرسنجی‌های نقطه‌ای کلیک که زمانی که شخصی روی یک پیوند مخرب کلیک می‌کند ظاهر می‌شود یا با نظرسنجی‌های بعدی که بعداً در فرآیند ارسال می‌کنید.

۵. ساختار آموزش شخصی را تنظیم کنید
هنگامی که کمپین خود را اجرا کردید و داده‌های مربوطه را تجزیه و تحلیل کردید، وقت آن است که بر اساس آنچه پیدا کرده‌اید عمل کنید. در اینجا، CybSafe توصیه می‌کند که آموزش‌های اختصاصی یا آنچه را که آموزش «هوشمند» مینامد، به کار گرفته شود. اینکه چقدر «هوشمندانه» کمپین خود را بسازید به شما و منابع شما بستگی دارد. اگر فقط می‌توانید از آموزش در سطح بخش پشتیبانی کنید، این کار را انجام دهید. اگر فقط می‌توانید بر اساس کشور شخصی‌سازی کنید، بر اساس کشور شخصی‌سازی کنید! »

«فقط از شخصی‌سازی به عنوان بهانه‌ای برای به تعویق انداختن کمپین خود استفاده نکنید. زیرا ارائه جزیی شخصی‌سازی بهتر از عدم آموزش شخصی است».

برچسب ها: فیشینگ شبیه‌سازی‌شده, anti-phishing campaign, Agile, Phishing Campaign, campaign, کمپین فیشینگ, کمپین, CybSafe, آسیب‌پذیری, Vulnerability, phishing, آنتی فیشینگ, Cyber Security, حملات سایبری, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ