Gebruikers bewuster maken van beveiliging - niet vertroetelen
Pogingen om gebruikers te trainen door hen bloot te stellen aan voorbeelden van phishing-e-mails kunnen averechts werken als de gebruikte voorbeelden te gemakkelijk te detecteren zijn.
Hoofdpunten
- Cyberbewustzijnstraining beperken tot gemakkelijk te herkennen phishing-e-mails kan averechts werken.
- Om doeltreffend te zijn, moeten de opleidingsoefeningen subtielere phishingaanvallen omvatten, waarbij de kans groter is dat een werknemer wordt misleid.
- Dergelijke trainingen kunnen nog een stap verder worden gebracht - door te bepalen welke e-mails het meest effectief zijn tegen welke groep werknemers en daar vervolgens op te corrigeren.
Waarom klikken mensen op hyperlinks van onbekende afzenders? Dit is een voortdurende bron van mysterie en consternatie voor veel beveiligingsprofessionals.
Onderzoek wijst uit dat veel mensen op gewoonte vertrouwen bij de omgang met e-mails, [1] en gewoonten omvatten gewoonlijk een proces in drie stappen: een trigger die het gewoontegedrag initieert; een routine bestaande uit een reeks handelingen die de gewoonte vormen, en ten slotte een resultaat dat feedback geeft over de vraag of het gewoontegedrag de verwachte resultaten heeft opgeleverd. [2]
Wanneer een gebruiker een e-mail opent, moet hij beslissen of die e-mail veilig of kwaadaardig is (de trigger), een actie kiezen (de routine), en vervolgens het resultaat evalueren (de feedback). Inzicht in de interactie van gebruikers met e-mail door het prisma van gewoontepatronen kan leiden tot betere opleidings- en interventiestrategieën. Phishing-simulaties zijn bijvoorbeeld het meest effectief wanneer ze onmiddellijke feedback geven, [3] omdat dit de associatie versterkt tussen de triggerpoints van een gebruiker (potentieel kwaadaardige e-mailindicatoren) en de acties die de gebruiker onderneemt.
Uit interviews die ik persoonlijk met gebruikers heb afgenomen over hoe zij potentieel schadelijke e-mails herkennen [4] blijkt dat veel mensen vertrouwen op mentale sjablonen van hoe zij verwachten dat een phishing-e-mail eruit zal zien. Cognitief psychologen noemen deze mentale voorstellingen schema's, [5] en wanneer gebruikers phishing-e-mails tegenkomen - echt of gesimuleerd - worden hun schema's getraind en bijgewerkt. Als ik gebruikers vraag hoe ze phishing-e-mails herkennen, krijg ik meestal beschrijvingen van oplichting met hoge kosten (ook bekend als 419-zwendel). Dit suggereert dat beveiligingsafdelingen, door voortdurend phishingsimulaties te sturen die relatief eenvoudig te herkennen zijn, gebruikers misschien trainen om bepaalde soorten phishing-e-mails te herkennen, maar niet die met een meer geraffineerde aanpak. Paradoxaal genoeg zou dit hen vatbaarder kunnen maken voor spear phishing-aanvallen of BEC-scams (business email compromise) die niet in hun nauw omschreven sjabloon passen.
Wat maakt een phishing-e-mail moeilijker te herkennen?
Maar waarom zijn sommige soorten phishing-e-mails moeilijker te herkennen dan andere? Om hierop een antwoord te geven, ontwikkelt het National Institute of Standards and Training (NIST) momenteel een objectieve maatstaf, de Phish Scale, [6] waarmee kan worden gemeten hoe moeilijk een gesimuleerde phishing-e-mail voor een doorsneegebruiker te herkennen is.
Phish Scale beoordeelt de detecteerbaarheid van phishing emails aan de hand van twee verschillende sets van kenmerken. De eerste, bekend als "cue presence", verwijst naar visuele aanwijzingen die de ontvanger zou kunnen opmerken, waardoor deze tot de conclusie komt dat een e-mail mogelijk kwaadaardig is. Voorbeelden van dergelijke aanwijzingen zijn spelfouten of grammaticale fouten, en discrepanties in het veld van de afzender van de e-mail of met de URL.
De tweede reeks kenmerken, bekend als "premise alignment", beschrijft de mate waarin het bericht overeenstemt met de baan of functie van het beoogde slachtoffer. Met andere woorden, hoe nauw sluit het bericht aan bij het schema van het doelwit voor een legitieme e-mail? Een phishing-e-mail waarin wordt gevraagd naar een vacature en waarin een cv als bijlage is opgenomen, zal bijvoorbeeld beter aansluiten bij de vooronderstellingen van een medewerker van de personeelsafdeling dan bij die van iemand van de marketingafdeling. Phish Scale meet de moeilijkheidsgraad van het detecteren van een phishing e-mail op basis van zowel de aanwezigheid van cue's als de premise alignment.
Beveiligingsafdelingen staan vaak onder druk om hun investeringen in verschillende producten en diensten te valideren, en één manier om dit te doen is door lagere klikratio's te laten zien bij gesimuleerde phishing-aanvallen. Maar als de simulaties allemaal een lage moeilijkheidsgraad hebben, kan dit leiden tot een vals gevoel van veiligheid. Het opnemen van meer veeleisende simulaties, per maatstaf zoals de NIST Phish Scale metric, kan een waarheidsgetrouw beeld geven van het werkelijke niveau van beveiligingsbewustzijn van de werknemerspopulatie.
Phishing-oefeningen doeltreffender maken
Hier zijn drie manieren waarop professionals op het gebied van cyberbewustzijn hun phishing-trainingsoefeningen effectiever kunnen maken.
1. Gebruik "ont-fanged" versies van echte phishing e-mails om werknemers te trainen. Door gebruikers te trainen met behulp van recente phishing e-mails zullen zij beter in staat zijn om de aanvallen te herkennen die momenteel tegen uw organisatie worden ingezet.
2. Voeg moeilijk te detecteren spear-phishing-e-mails toe aan uw trainingsmix. Het verbeteren van cognitieve vaardigheden is als het conditioneren van een spier, en één manier om deze te versterken is door hem af en toe tot het uiterste te drijven. Door in hun bewustmakingscampagnes moeilijker te herkennen phishing-e-mails op te nemen, kunnen beveiligingsafdelingen de schemas van hun gebruikers uitbreiden voor wat er mogelijk is met phishing.
Een opmerking van voorzichtigheid hier: Als u te veel van deze e-mails verstuurt, of als u mensen niet voldoende traint in hoe ze deze e-mails moeten herkennen, kan dit averechts werken, waardoor medewerkers tot de conclusie komen dat detectie zinloos is en ze het net zo goed kunnen opgeven. De meest effectieve manier om gebruikers te trainen in het herkennen van subtielere phishing-aanvallen is om hen te laten zien hoe ze direct na de oefening hadden kunnen worden gedetecteerd.
3. Houd bij welke e-mails het meest effectief zijn tegen welke groepen medewerkers. U kunt uw training verbeteren en personaliseren als u de tijd neemt om uit te zoeken welke testmails het meest effectief waren tegen welke medewerkers per functie en afdeling. Als u dit weet, kunt u uw bewustmakingscampagnes op maat maken, zodat groepen gebruikers die bijzonder kwetsbaar zijn voor bepaalde vormen van phishingaanvallen, kunnen worden getraind in het herkennen van deze aanvallen.
De kern van de zaak
Train werknemers niet te weinig door ze alleen phishing-e-mails te sturen die relatief gemakkelijk te herkennen zijn. Een effectievere aanpak is om uw trainingsoefeningen te kruiden met e-mails die meer kans hebben om de ontvangers te misleiden, zodat ze zich meer bewust worden van de vele verschillende soorten phishing-aanvallen.
[1] " Going Spear Phishing: Exploring Embedded Training and Awareness, " IEEE Xplore
[2] " De kracht van gewoonte: Why We Do What We Do in Life and Business, " Amazon
[3] " Niet klikken: naar een effectieve anti-phishing training. Een vergelijkend literatuuronderzoek, " Springer Link
[4] "Kenmerken van Repeat Clickers en Protective Stewards," Figueroa, A., Hawkins, S. & Canham, M. (Manuscript in voorbereiding)
[5] " Een raamwerk voor het representeren van kennis, " MIT Libraries
[6] " Categorisering van menselijke phishing-moeilijkheden: A Phish Scale, " Journal of Cybersecurity
Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze
Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox
Succesvol aanmelden
Dank u voor uw inschrijving om updates van onze blog te ontvangen
We houden contact!