Будинки Securitywatch Навчайте тренувань із вогнем виявлення фішингу для армії

Навчайте тренувань із вогнем виявлення фішингу для армії

Відео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Листопад 2024)

Відео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Листопад 2024)
Anonim

Кібер-шпигуни розробляють складні руткіти та майстерно приховані зловмисні програми, щоб красти секрети та слухати привілейовані комунікації. Щоб встановити ці шпигунські інструменти, вони зазвичай покладаються на найслабший елемент на арені безпеки; користувач. Освітні кампанії з підвищення рівня обізнаності щодо безпеки можуть бути великою допомогою, але для цього є правильний шлях та неправильний шлях.

Підняття червоних прапорів

На минулому тижні Washington Post повідомляв, що командир бойових дій армії взяв на себе оцінку здатності свого підрозділу виявляти фішинг-повідомлення. Його тестове повідомлення спрямовувало одержувачів (менше 100 з них) відвідати веб-сайт пенсійного плану для необхідного скидання пароля. Однак повідомлення пов’язане з підробленим сайтом з URL-адресою, дуже схожою на реальну для агентства, Thrift Plan Savings Plan.

Одержувачі були розумні; жоден з них не натиснув фальшиве посилання. Однак вони поділилися підозрілим листом з "тисячею друзів та колег", викликаючи потік дзвінків до фактичного плану заощаджень, який тривав тижнями. Врешті-решт начальник управління пенсійного плану простежив повідомлення до армії, і Пентагон відстежив винного. Згідно посади, неназваному командиру "не доручили за те, що діяли самостійно, бо правила були невиразними".

Факт занепокоєння постраждалих у федеральних службовців додав той факт, що план заощаджень заощаджень зазнав фактичного порушення в 2011 році. Службовець оборони заявив "Пошті": "Це гнізда яєць людей, їхні важкі заощадження. Коли ви почали чути про те, наскільки це все, ТУР розгулюється". Агентство продовжує отримувати стурбовані дзвінки на основі тестування фішингу.

У публікації повідомляється, що будь-які майбутні фішинг-тести потребуватимуть схвалення головного інформаційного директора Пентагону. Будь-який тест із участю суб'єкта реального світу, наприклад, план ощадних заощаджень, вимагатиме попереднього дозволу цієї організації. Виконавчий директор TSP Грег Лонг дав зрозуміти, що його організація не братиме участі.

Повністю Неправильно

Отже, де цей командир армії пішов не так? Нещодавній допис в блозі PhTOMe Aaron Higbee говорить, ну, майже всюди. "Ця вправа здійснила кожен кардинальний гріх симульованого фішингу, не маючи визначених цілей, не враховуючи наслідків, які електронна пошта могла мати, не повідомляючи всіх потенційно залучених сторін і, можливо, зловживаючи торговими марками / торговою сукні або захищеними авторським правом матеріалами", - сказав Хігбі.

"Для того, щоб бути ефективною, модельована фішинг-атака повинна надати одержувачу інформацію про те, як в майбутньому поліпшитись", - сказав Хігбі. "Простий спосіб зробити це - повідомити одержувачам знати, що напад був тренувальним вправою, і провести навчання негайно після взаємодії з електронною поштою."

"Люди часто ставлять під сумнів значення, яке надає PhishMe, кажучи, що вони можуть проводити симульовані фішингові вправи", - зазначила Хігбі. "Ті, хто має такий розум, повинні сприймати останні армії армії як застереження". Ідентифікуючи PhishMe як "безперечних чемпіонів важкої ваги" з фішинг-освіти, він зробив висновок: "За останні 90 днів PhishMe надіслав 1790, 089 електронних листів. Причина, за якою наші фішинг-симуляції не складають загальнонаціональних заголовків, - це те, що ми знаємо, що робимо".

Правильний шлях

Організація, яка укладає контракти з PhishMe для фішинг-освіти, може вибрати різні тестові стилі електронної пошти, жоден з яких не передбачає моделювання такої сторони, як TSP. Наприклад, вони можуть створити повідомлення, яке пропонує співробітникам безкоштовний обід. Все, що потрібно зробити, - це увійти на веб-сайт для замовлення на обід, "використовуючи своє мережеве ім’я користувача та пароль". Інший підхід - це атака з подвійним стволом, яка використовує один електронний лист для підтвердження дійсності іншого - тактика, що використовується в реальних атаках Advanced Persistent Threat.

Незалежно від обраного стилю фішинг-пошти, будь-який користувач, який потрапляє на нього, отримує негайний зворотній зв’язок та навчання, а керівництво отримує детальну статистику. Завдяки повторним раундам тестування та навчання, PhishMe прагнув знизити ризик проникнення в мережу через фішинг на "до 80 відсотків".

Більшість організацій добре захищені від мережевих атак, які надходять через Інтернет. Найпростіший спосіб проникнути в безпеку - обдурити довірливого працівника. Захист від фішингу, вбудований у сучасні пакети безпеки, добре допомагає проти шахрайства у стилі трансляції, але цілеспрямовані атаки "підводного фішингу" - це ще одна історія.

Якщо ви відповідаєте за безпеку вашої організації, вам дійсно потрібно навчити цих співробітників, щоб вони не обманювали. Ви можете впоратися з тренуванням самостійно, але якщо ні, сторонні тренери, такі як PhishMe, готові допомогти.

Навчайте тренувань із вогнем виявлення фішингу для армії