Veiligheidsbewustzijn Training: Omgaan met herhaalde klikkers

Beveiligingsprofessionals worden voortdurend geconfronteerd met afwegingen bij het toewijzen van de weinige kostbare middelen die ze hebben. Een goed voorbeeld: 70% van de respondenten van een recente enquête is van mening dat het gedrag van werknemers, zoals het klikken op onbetrouwbare koppelingen, een risico vormt voor hun bedrijf. Maar hoe kunt u, met zo'n groot aanvalsoppervlak, het probleem realistisch aanpakken?

Dat is waar het Pareto Principe (aka 80/20 regel) om de hoek komt kijken. Het grootste deel van het risico van menselijke fouten wordt veroorzaakt door een klein percentage van de werknemers. Als u dit erkent, kunt u het rendement van uw beveiligingsbudget maximaliseren door uw campagnes voor beveiligingsbewustzijnstraining te richten op degenen die de meeste hulp nodig hebben.

Vraag uzelf eens af: Wanneer u de gegevens van uw gesimuleerde phishing-campagnes bekijkt, valt het u dan op dat sommige medewerkers herhaaldelijk meer lijken te falen in de trainingsoefeningen dan anderen? Presteren andere medewerkers consequent veel beter - door meer nep-e-mails in trainingscampagnes te identificeren en te rapporteren?

Herhaalde klikkers analyseren voor e-mailbeveiliging

In een recente analyse van 6.000 werknemers die gesimuleerde phishing-e-mails ontvingen, ontdekten mijn collega's en ik dat ongeveer 6% van de gebruikers verantwoordelijk was voor ongeveer 29% van de mislukkingen. [1] Een mislukking werd in dit geval gedefinieerd als het klikken op een link, het downloaden van een bijlage, of het reageren op de afzender.

Deze groep gebruikers, bekend als "repeat clickers", faalde vier of meer trainingscampagnes gedurende een periode van 18 maanden. Gemiddeld trapten deze gebruikers ongeveer één op de twee pogingen in een phishing-poging. Dit betekent dat, vanuit het perspectief van een aanvaller, het benaderen van drie terugkerende klikkers vrijwel zeker succes zou hebben.

Gelukkig ontdekten we ook de organisatorische dubbelganger van de herhalingsklikker, de "beschermende steward". Deze gebruikers identificeerden en rapporteerden vier of meer phishing-e-mails die in de training werden gebruikt, kwamen vaker voor (33% van alle gebruikers) en rapporteerden 92% van het totaal aantal phishing-e-mails in de training.

Omgaan met herhaalde klikkers

Herhaalde klikkers aanpakken is moeilijk en wordt zelden opgelost met een pasklare oplossing. Volgens het 80/20-principe zal deze kleine subgroep van gebruikers inspanningen vergen, maar ook een onevenredige verbetering van uw algehele e-mailbeveiligingsbeleid moeten opleveren.

Sommige organisaties hanteren een nultolerantiebeleid waarbij werknemers streng worden gestraft en aan de schandpaal worden genageld of worden ontslagen als ze meer dan een paar campagnes falen. Andere organisaties hanteren een mildere veiligheidsaanpak en staan toe dat deze werknemers doorgaan met het mislukken van campagnes. Ongeacht de aanpak van uw organisatie, is het belangrijk te begrijpen hoe herhaalklikkers omgaan met e-mails.

De gewoonten van e-mail klikkers

Uit eerder onderzoek bleek dat zowel herhalingsklikkers als "nooitklikkers" hun e-mails automatisch afhandelden door vaste gewoonten, en dat geen van beide groepen zich herinnerde welke e-mails zij openden of naar de prullenbak stuurden. [2] Interviews die ik persoonlijk heb afgenomen met herhalingsklikkers komen overeen met deze eerdere bevindingen, in die zin dat herhalingsklikkers zich niet herinneren dat zij de phishing-e-mails in de training hebben gezien. [3]

Door dieper in te gaan op dit soort gewoonten, kunt u mensen die herhaaldelijk klikken helpen converteren in plaats van ze gewoon te verwijderen. De meeste gebruikers verwerken de e-mail in hun inbox door te vertrouwen op "gewoonte-lussen". Gewoonte-loops bestaan uit een trigger, een routine en feedback over of de actie tot een bevredigend resultaat heeft geleid. Omdat herhalingsklikkers ook op gewoonte berusten, moeten beveiligingsteams de gewoonte-loops van deze gebruikers evalueren om het faalpunt vast te stellen.

Zijn herhaalde klikkers niet in staat om phishing signalen op te merken? Dit wijst op een falen van de trigger-component. Nemen ze geen passende maatregelen? Dit wijst op een fout in hun e-mailbehandelingsroutine. Begrijpen ze de betekenis of gevolgen van hun acties niet? Dit wijst op een gebrekkige feedback. Een individuele ontmoeting met de ergste overtreders om te weten te komen waar hun gewoonten het laten afweten, kan zeer nuttig zijn.

Triggers versterken met feedback

Gebruikers moeten onmiddellijk feedback krijgen over hun acties om een verband te leggen tussen signalen en acties. De meeste phishing-trainingsplatforms bieden een landingspagina die de gebruiker uitlegt dat dit een gesimuleerde phishing-oefening was en die de gebruiker vervolgens laat zien welke aanwijzingen hij had moeten opmerken om te detecteren dat de e-mail een phish was.

Het verzenden van moeilijke phishing-e-mails aan uw gebruikers kan gunstig zijn, maar u moet de herhalingsklikkers misschien "oefenwieltjes" geven door de moeilijkheidsgraad van de e-mails te verlagen totdat hun prestaties verbeteren. Verhoog vervolgens geleidelijk de moeilijkheidsgraad om hun verbetering te evenaren. Het is van cruciaal belang dat deze gebruikers onmiddellijk feedback krijgen als ze in een phish-training trappen, zodat ze leren om verdachte berichten te herkennen. Deze feedback moet het verzonden bericht bevatten met de aanwijzingen die zij hadden kunnen gebruiken om de phish te detecteren.

Routines aanleren met oefening

In het algemeen bestaat een benadering van het trainen van automatische reacties in gewoontepatronen uit het routinematig oefenen van actiesequenties. Een vechtsporter kan bijvoorbeeld een bepaalde trap duizenden keren oefenen om hem te perfectioneren. De optimale phishing-trainingsfrequentie voor uw gebruikers zal voor elk individu anders zijn. Herhaalde klikkers zullen echter waarschijnlijk baat hebben bij een frequentere blootstelling aan gesimuleerde phishing-e-mails als een vorm van training.

Leer van uw gebruikers

Mijn grootste inzicht in hoe en waarom mensen ten prooi vallen aan phishingcampagnes heb ik verkregen door rechtstreeks met gebruikers te spreken. Als de hierboven beschreven benaderingen niet werken, probeer dan zo snel mogelijk na het mislukken van e-mailberichten een een-op-een-gesprek te plannen met probleemgebruikers.

Deze aanpak kost veel tijd en middelen, maar kan ook verhelderend zijn. Ik heb persoonlijk een aantal zeer interessante dingen geleerd van het interviewen van gebruikers. Een voorbeeld is de werknemer die er de voorkeur aan gaf "verdachte" e-mails van zijn persoonlijke e-mailaccount door te sturen naar zijn werkaccount omdat, zo zei hij, "de beveiliging op het werk beter is dan thuis".

De kern van de zaak

Door u te richten op het trainen van medewerkers die dit het meest nodig hebben, zou de ROI op uw e-mailbeveiliging moeten verbeteren. Zelfs een kleine verbetering in de prestaties van een herhalingsklikker kan de algehele beveiligingsstatus van uw organisatie onevenredig verbeteren. Hoewel de in dit artikel beschreven technieken allemaal gericht zijn op het verminderen van de nadelen van recidiverende klikkers, moet u niet vergeten dat het ook mogelijk kan zijn om uw voordelen te vergroten door hun dubbelganger, de beschermende steward, te cultiveren.

[1] " Phishing for Long Tails: Examining Organizational Repeat Clickers and Protective Stewards ," SAGE Journals

[2] " Going Spear Phishing: Exploring Embedded Training and Awareness ," IEEE Security & Privacy

[3] "Kenmerken van Repeat Clickers en Protective Stewards" (manuscript in voorbereiding), Figueroa, A., Hawkins, S. & Canham, M.