De beveiligingsparadox: hoe phishingfilters uw organisatie minder veilig kunnen maken

Geautomatiseerde phishingfilters zijn zeer effectief geworden in het filteren van spam en phishing-e-mails uit de inbox van gebruikers. Geen enkel systeem is echter 100% effectief, en af en toe dringen phishing-e-mails toch door de mazen van het net. Hoe reageren gebruikers op deze phishing-e-mails als ze minder vaak voorkomen?

Verrassend genoeg suggereert onderzoek dat het zelden tegenkomen van phishing-e-mails kan leiden tot een "prevalentieparadox" waarin gebruikers vatbaarder worden voor phishing-e-mails wanneer ze die minder vaak tegenkomen. [1] Mensen hebben een evenwichtige blootstelling aan doelstimuli nodig om waakzaam te blijven tegen bedreigingen. Dit principe geldt voor bagagecontroleurs, röntgentechnici, politieagenten, piloten van luchtvaartmaatschappijen en zelfs voor spinnen die op vliegen wachten.

We moeten allemaal af en toe worden blootgesteld aan prikkels om waakzaam te blijven. Een van de doeltreffendste manieren om waakzaam te blijven tegen kwaadaardige e-mails is gebruikers trainingsversies van phishing-e-mails te sturen. Deze trainingsmails zijn het meest effectief als ze sterk lijken op echte phishingmails die aan informatiebeveiligingsafdelingen worden gemeld.

Maar, zoals met de meeste dingen, is evenwicht nodig. Als we voortdurend worden blootgesteld aan nieuwe bedreigingen, raken we overweldigd en treedt vermoeidheid in; als we zelden worden blootgesteld aan bedreigingen, treedt zelfgenoegzaamheid in en zijn we minder op onze hoede. De optimale frequentie en moeilijkheidsgraad van deze campagnes zal per gebruiker verschillen, waarbij sommigen vaker aan phishing-e-mails moeten worden blootgesteld en anderen slechts af en toe een phishing-e-mail nodig hebben. Ongeacht onze individuele waakzaamheidsoriëntatie, moeten we allemaal af en toe worden blootgesteld aan goedaardige phishing-e-mails om er waakzaam tegen te blijven. Te weinig blootstelling zal waarschijnlijk leiden tot verminderde waakzaamheid.

Waarom hebben we af en toe een Phish nodig?

Zoals ik in een eerdere post heb besproken, vertrouwen mensen op gewoonte-lussen bij het sorteren van de e-mail in hun inbox. Alleen als iets in een e-mail onze aandacht trekt - als de bewoording of een detail in het bericht "vreemd" lijkt - beginnen we de details ervan bewust onder de loep te nemen.

Onderzoek suggereert dat de cyberrisicovertuigingen die we hebben over de waarschijnlijkheid dat we een phishing-e-mail tegenkomen, ons niveau van wantrouwen over die e-mail in onze inbox beïnvloeden. [2] Dit is een van de redenen waarom mensen in de beveiligingsindustrie het vaak moeilijk hebben om de onveilige handelingen van gebruikers te begrijpen; wij hebben een andere set overtuigingen over cyberrisico's dan niet-beveiligingsmensen. Mensen vertrouwen op een heuristiek (vuistregel) die bekend staat als de beschikbaarheidsheuristiek om de waarschijnlijkheid van gebeurtenissen in te schatten. [3] Wanneer we persoonlijk met een bedreiging te maken krijgen, of we horen een gedenkwaardig verhaal over een bedreiging, schatten we die bedreiging waarschijnlijker in. Vandaar dat haaien als dodelijker worden beschouwd dan automaten, ook al zijn automaten in de Verenigde Staten bijna tweemaal zo dodelijk. [4] [5]

Als we realistische gesimuleerde phishing-e-mails tegenkomen, creëren we herinneringen voor deze gebeurtenissen die ertoe leiden dat we phishing waarschijnlijker achten. Deze overtuigingen over cyberrisico's maken ons wantrouwiger ten aanzien van de e-mails in onze inbox en maken het dus waarschijnlijker dat we een kwaadaardig bericht opmerken.

Daarom is het goed om meer realistische "ont-fanged" trainingse-mails te hebben dan de kwaadaardige berichten die we waarschijnlijk in het wild zullen tegenkomen. Hoe realistischer de trainingsberichten, hoe groter de kans dat we de echt kwaadaardige berichten herkennen.

De juiste campagnefrequentie vinden

De cruciale vraag voor beveiligingsteams is hoe het juiste evenwicht kan worden gevonden tussen het verzenden van voldoende opleidingscampagnes om de waakzaamheid van de gebruikers te handhaven zonder er zoveel te verzenden dat de gebruikers beveiligingsmoeheid gaan ervaren en zich aan de opleidingscampagnes gaan storen.

Deze optimale trainingsfrequentie varieert naar gelang van de bekwaamheid van het individu. Sommige personen zijn van nature alerter of bewuster van mogelijke phishing aanvallen dan anderen. Dit zijn meestal de medewerkers die elke verdachte e-mail melden en bijna elke phishing-trainingsmail herkennen. Deze "beschermende stewards" van uw organisatie hebben meestal geen frequentere phishing-oefeningen nodig en hebben vaak baat bij moeilijkere proeven.

Anderzijds hebben andere leden van uw organisatie misschien extra hulp nodig in de vorm van frequentere e-mails. Deze gebruikers behoren vaak tot het kamp van de "herhalingsklikkers" [6] en kunnen baat hebben bij een frequentere blootstelling aan phishing-simulaties.

Hoewel het ideaal zou zijn om phishing-campagnes op maat te maken, is dit voor de meeste programma's voor beveiligingsbewustzijn onrealistisch, omdat het te veel tijd en middelen kost. Bij het plannen van de campagnefrequentie in een organisatie lijkt het onderzoek te convergeren rond een minimum van vier keer per jaar om de effectiviteit en relevantie van de training te behouden. [7]

De kern van de zaak

Het detecteren van potentieel schadelijke e-mails is een vaardigheid, en net als elke andere vaardigheid moeten we af en toe oefenen om de vaardigheid te behouden. Gebruikers realistische gesimuleerde phishing campagnes sturen is van cruciaal belang om waakzaam te blijven tegen de occasionele kwaadaardige phishing emails die door de filters geraken. Een minimum van vier campagnes per jaar is nodig om de vaardigheid van de gebruiker op peil te houden. Hoewel frequentere campagnes ideaal zijn, moet u oppassen voor over-phishing en het teweegbrengen van beveiligingsmoeheid.

[1] Sawyer, B. D., & Hancock, P. A. (2018). Hacking the human: the prevalence paradox in cybersecurity. Menselijke factoren, 60(5), 597-609.

[2] Vishwanath, A., Harrison, B., & Ng, Y. J. (2018). Suspicion, cognition, and automaticity model of phishing susceptibility. Communication Research, 45(8), 1146-1166.

[3] Kahneman, D. (2011). Denken, snel en langzaam. Macmillan.

[4] " International Shark Attack File ," Florida Museum.

[5] " CPSC, Soda Vending Machine Industry Labeling Campaign Warns Of Deaths And Injuries," CPSC.

[6] Canham, M., Posey, C., Strickland, D., & Constantino, M. (2021). Phishing voor lange staarten: Examining Organizational Repeat Clickers and Protective Stewards. SAGE Open, 11(1).

[7] Jampen, D., Gür, G., Sutter, T., & Tellenbach, B. (2020). Don't Click: naar een effectieve anti-phishing training. Een vergelijkend literatuuronderzoek. Human-centric Computing and Information Sciences, 10(1), 1-41.