Phish Scale van NIST gebruiken om opleiding van werknemers te optimaliseren

Het opzetten van effectieve phishing-trainingscampagnes kan een uitdaging zijn. Aan de ene kant wilt u dat de training effectief en realistisch is, maar aan de andere kant wilt u de gebruikers niet overweldigen. Gelukkig heeft het National Institute of Standards and Technology (NIST) de Phish Scale ontwikkeld, een gratis, effectief en eenvoudig te gebruiken hulpmiddel waarmee u de moeilijkheidsgraad van gesimuleerde phishing-campagnes kunt bepalen.[i] Door dit hulpmiddel als leidraad te gebruiken, kunt u niet alleen de training optimaliseren, maar ook specifiek inzicht krijgen in de sterke en zwakke punten van gebruikers, zodat u zich kunt richten op de belangrijkste prestatiemaatstaven.

Behoefte aan betere meetmethoden

In een onderzoek van Mimecast zei 55% van de beveiligingsprofessionals dat hun bedrijf vorig jaar meer phishing-e-mails dan ooit had ontvangen. De schadelijke koppelingen en bijlagen in deze e-mails kunnen leiden tot ransomware, diefstal van gegevens en andere misdrijven. Toch staan beveiligingsafdelingen voortdurend onder druk om budgetten te rechtvaardigen om zich hiertegen te verdedigen.

Senior managers willen weten of de begrote middelen een goed rendement op de investering opleveren. Deze vraag manifesteert zich vaak als druk om lagere klikpercentages aan te tonen bij gesimuleerde phishingcampagnes. Maar hoewel klikpercentages vaak worden gebruikt als een belangrijke prestatie-indicator (KPI), zijn er ook andere maatstaven waarmee rekening moet worden gehouden.

Een goede manier om het aantal klikken te verlagen is bijvoorbeeld het herhaaldelijk versturen van dezelfde gesimuleerde phishing-e-mail. Dit is natuurlijk geen doeltreffende training, omdat de daling van het aantal klikken gewoon aantoont dat gebruikers beter zijn geworden in het herkennen en vermijden van een bekend phishingbericht.

De NIST Phish Scale biedt meerdere KPI's die beveiligingsteams aan het senior management kunnen laten zien als bewijs van trainingswinst. De schaal maakt gebruik van twee dimensies om te bepalen hoe moeilijk het voor een werknemer kan zijn om een gesimuleerd bericht te identificeren:

• Waarneembare aanwijzingen: Hoeveel tikfouten, verkeerde formuleringen of andere valse opmerkingen in de gesimuleerde e-mail kunnen een werknemer doen vermoeden dat het om een valse e-mail gaat?
• Alignment: Hoe goed is de oplichtingsboodschap afgestemd op de context van de werknemers, om hen voor de gek te houden door gangbare werkprocessen of actuele bedrijfsevenementen na te bootsen?

De waarden voor deze twee dimensies worden gecombineerd tot een overkoepelende moeilijkheidsgraad voor e-mail.[ii] Om te helpen bij de implementatie van deze schaal, heeft NIST verschillende hulpmiddelen ter beschikking gesteld die worden beschreven in een gids met de titel "A Phish Scale: Rating Human Phishing Message Detection Difficulty." [iii]

Toepassing van de Phish Schaal

De dimensie Waarneembare signalen van de Phish Schaal omvat vijf categorieën:

• Fout.
• Technische indicator.
• Indicator voor visuele presentatie.
• Taal en inhoud.
• Gebruikelijke tactieken.

Voorbeelden in deze categorieën zijn onregelmatigheden in spelling en grammatica, een inconsistent e-mailadres, imitatie van een logo, dreigende taal en een aanbieding met een beperkte geldigheidsduur.

De dimensie Afstemming omvat vijf overwegingen:

• Het nabootsen van een werkplek proces.
• Relevantie voor de werkplek.
• Timing ten opzichte van andere situaties of gebeurtenissen (zoals een nieuwsbericht).
• Zorg voor NIET klikken.
• Het voorwerp zijn geweest van gerichte opleiding of specifieke waarschuwingen.

Elk van deze overwegingen wordt gewaardeerd als "extreem" (8 punten), "aanzienlijk" (6 punten), "matig" (4 punten), "laag" (2 punten) of "niet van toepassing" (0 punten).

Om de moeilijkheidsgraad te bepalen, tel je eerst elk geval van een waarneembare aanwijzing (elk individueel geval van een spelling- of grammaticafout bijvoorbeeld). Als je het totaal hebt, bepaal dan of je "weinig cues" (1 tot 8), "enkele cues" (9 tot 14) of "veel cues" (15 of meer) hebt. Geef vervolgens een overeenkomstig aantal punten voor elk van de afstemmingsoverwegingen en verkrijg dit totaal om te bepalen tot welke categorie van afstemming het bericht behoort: "hoog" (18 of meer), "gemiddeld" (11 tot 17) of "laag" (10 of minder). Bepaal ten slotte de moeilijkheidsgraad van de phishing-e-mail met behulp van tabel 1, hieronder.

Werken met een voorbeeld

Aan de hand van het phish-voorbeeld in figuur 1 hieronder, kunnen we tien waarneembare signalen tellen en vervolgens de volgende punten toekennen voor afstemming: "bootst een werkplekproces na" (8 punten), "werkplekrelevantie" (8 punten), "sluit aan bij situaties of gebeurtenissen" (4 punten), "bezorgdheid om NIET te klikken" (2 punten) en "onderwerp van gerichte training" (0 punten), voor een totaal van 22 punten op Alignment.

We hebben nu een beoordeling van "enkele" waarneembare signalen en een "hoge" uitlijning. Als we teruggaan naar tabel 1, zien we dat deze campagne een "zeer moeilijk" cijfer zou krijgen.

Rapportering aan het hoger management

Met twee meeteenheden om rekening mee te houden, moeilijkheidsgraad en mislukkingsgraad, kunt u waarde aantonen door verbetering van werknemers, zelfs als de klikratio's stabiel blijven.

Het documenteren van de verbetering van medewerkers in het herkennen van moeilijke e-mails naast aanhoudende klikpercentages is nog steeds bewijs voor verbeterde prestaties, omdat gebruikers even goed presteren op moeilijkere e-mails. Als het aantal klikken na verloop van tijd daalt, hebt u ook bewijs dat dit een betekenisvolle verbetering van de prestaties inhoudt.

Betere trainingsresultaten

Het gebruik van de NIST Phish Scale kan u de extra bonus geven van het fijn afstemmen van uw phishing campagnes door rekening te houden met het aantal waarneembare signalen los van de afstemmingscontext. Als u de moeilijkheidsgraad van e-mails goed in de gaten houdt, kunt u campagnes afstemmen op de bekwaamheid. Het verhogen van de moeilijkheidsgraad van campagnes om uitdaging toe te voegen voor uw cyber resilience stewards, of het verlagen van de moeilijkheidsgraad voor uw repeat clickers, creëert een productievere trainingservaring voor alle gebruikers, ongeacht hun vaardigheidsniveau.

Het monitoren van de Alignment-dimensie van de Phish Scale kan u ook inzicht verschaffen in welke functierollen of afdelingen het meest vatbaar zijn voor verschillende phishing-voorwendselen, zodat u de training voor deze gebruikers daarop kunt afstemmen.

De NIST Phish Scale werd eind 2020 geïntroduceerd als een gratis tool. U kunt ook platforms, tools en diensten voor e-mailbeveiliging, training, rapportage en testen kopen, met verschillende gradaties van verfijning en integratie.[1] Met de Safe Phish-tool van Mimecast bijvoorbeeld kunnen beveiligingsteams real-life, "gedepersonaliseerde" phishingaanvallen op uw bedrijf omzetten in trainingsoefeningen.

De kern van de zaak

E-mail phishing vormt een aanhoudend risico voor bedrijven, waarvan de werknemers vaak het doelwit zijn van berichten met schadelijke koppelingen, geïnfecteerde bijlagen en andere exploits die kunnen leiden tot ransomware, gegevensdiefstal en andere misdrijven. De Phish Scale van NIST kan bedrijven helpen hun werknemers te trainen om deze valstrikken te vermijden.

[1] "Security Awareness Computer-Based Training Reviews and Ratings," Gartner

[i] "De Phish Schaal: NIST-Developed Method Helps IT Staff See Why Users Click on Fraulent Emails," Nationaal Instituut voor Standaards en Technologie

[ii] "Het categoriseren van menselijke Phishing-moeilijkheden: A Phish Scale," Journal of Cybersecurity

[iii] "A Phish Scale: Rating Human Phishing Message Detection Difficulty," Nationaal Instituut voor Normen en Technologie