Simuloitujen phishing-kampanjoiden toteuttaminen erikoistuneen phishing-simulaatio-ohjelmiston avulla on tehokas tapa kouluttaa työntekijöitä tunnistamaan petolliset viestit ja siten edistää phishingin torjuntaa. Sähköpostipohjainen phishing on edelleen pääasiallinen syy varastettuihin kirjautumistietoihin ja tehokas tapa tunkeutua IT-verkkoihin lunnasohjelmien avulla. Näiden phishing-simulaatiokampanjoiden onnistunut toteuttaminen edellyttää strategista suunnittelua, selkeää viestintää ja perusteellista analysointia. Phishing on kahden suosituimman ja tehokkaimman tekniikan joukossa, joita verkkorikolliset käyttävät tunkeutuakseen yritysverkkoihin. Sen menestys johtuu verkkorikollisten kyvystä kätkeä haitallista sisältöä tietoturvatyökalujen kiertämiseksi sekä työntekijöiden manipuloinnista, joka tekee heistä tahattomia sisäpiiriläisiä. Seuraavassa on muutamia ohjeita, joiden avulla voit aloittaa ja varmistaa, että phishing-simulaatiokampanjasi toimii.
Vaiheet onnistuneeseen simuloituun Phishing kampanja
Simuloidut phishing-hyökkäykset on suunniteltu automatisoimaan phishing-koulutusta ja tarjoamaan oppimiskokemuksia suoraan työntekijöille. Nämä simuloidut phishing-koulutuspaketit tarjoavat realistisen näköisiä phishing-sähköposteja, jotka jäljittelevät todellisia phishing-kampanjoita.
Jotta phishing-simulaatiokampanjasta saataisiin kaikki irti, sinun on kuitenkin suunniteltava, oltava tietoinen phishing-uhkista, kommunikoitava työntekijöiden kanssa ja ymmärrettävä, miten liiketoimintasi tavoitteet ja tietoturvatarpeet vastaavat toisiaan.
Jos haluat parhaan mahdollisen hyödyn phishing-testistä, noudata seuraavia ohjeita:
Suunnittele phishing-simulaatiokampanjan strategia
Kaikki hyvät phishing-testit perustuvat vankkaan valmistelutyöhön. Valmistelun tulisi kattaa seuraavat osa-alueet:
- Tutki nykyisiä phishing-sähköpostitrendejä, jotta voit toimittaa realistisempia simuloituja phishing-viestejä: Kysy tiimiltäsi tai neuvonantajiltasi, minkä tyyppisiä sähköpostiviestejä käytetään toimialasi tai sektorisi kohteena? Ovatko tietyt sovellukset ja tuotemerkit, esimerkiksi Microsoft 365, suosittuja phishing-kampanjoiden huijauskohteita? Kerää nämä tiedot, jotta voit käyttää niitä kampanjan rakentamisvaiheessa.
- Kuinka usein simuloituja phishing-sähköpostiviestejä toimitetaan? Tämä voi olla viikoittain, kuukausittain, neljännesvuosittain jne. Kampanjoiden tiheyden olisi oltava linjassa yleisen kyberturvallisuusriskistrategian kanssa.
- Kommunikoi työntekijöiden kanssa. Kehitä työntekijöille selkeät ohjeet siitä, miten he voivat ilmoittaa tunnistamistaan phishing-sähköposteista ja/tai niihin liittyvistä sosiaalisista hyökkäyksistä. Ohjeiden tulisi sisältää yksityiskohtaiset ohjeet siitä, miten uhan yksityiskohdat tallennetaan.
- Päätä, miten koulutat työntekijöitä, jotka eivät havaitse phishing-sähköposteja. Tässä yhteydessä olisi tutkittava, voidaanko tehostettuun koulutukseen keskittyä tarpeen mukaan annettavan koulutuksen avulla.
- Varaudu mukauttamaan strategiaasi ja siihen liittyviä valmistelutöitäsi phishing-ilmiöiden muuttuessa.
Rakenna simuloitu phishing-kampanja
Automaattisen phishing-simulaatio-ohjelmiston avulla voit luoda kampanjan toteuttamiseen tarvittavat elementit. phishing malleja. Simuloitu phishing-automaatioalusta tarjoaa malleja, jotka perustuvat todellisiin phishing-uhkiin, joissa käytetään yleisimpiä väärennettyjä tuotemerkkejä. Koska tietyillä aloilla on erityisiä uhkia, näitä malleja olisi voitava muokata vastaamaan näitä erityispiirteitä.
Tärkeää on huomata, että kampanjan ylläpitäjän on helppo säätää ja konfiguroida malleja keskitetyn hallintakonsolin avulla.
Luo oppimiskokemuksia, jotka tekevät koulutuksesta tarttuvaa.
Phishing-simulaatiokampanjoiden tavoitteena on kouluttaa työntekijöitä siitä, miten he voivat tunnistaa phishing-huijauksen, ja saada heidät muuttamaan "klikkaushimoa", johon huijarit luottavat. Muistettavan ja tehokkaan oppimiskokemuksen varmistamiseksi phishing-simulaatioalustan olisi tarjottava oppimiskokemus, joka on "pistemäinen".
Tyypillisiä elementtejä tämäntyyppisessä vuorovaikutteisessa oppimisessa ovat varoitusilmoituksen, asiaankuuluvan infografiikan, kyselytutkimuksen, jolla kerätään mittareita koulutuksen räätälöintiä varten, jne. jokaiselle työntekijälle, joka ei huomaa phishing-sähköpostia.
Tässä kohdassa selitetään, mitä on tapahtunut ja mitä vaaroja phishing-huijaukseen liittyy. Joissakin kehittyneissä järjestelmissä mennään vielä askeleen pidemmälle ja työntekijälle opetetaan välttämisstrategioita, joiden avulla voidaan estää tulevat phishing-yritykset.
Kerää ja analysoi mittareita
Simuloidun phishing-kampanjan edetessä työntekijöitä olisi kannustettava ilmoittamaan havaituista phishing-sähköposteista. Suunnitteluvaiheen aikana laatimasi ohjeet ovat perusta, jonka pohjalta työntekijät voivat raportoida phishing-yrityksistä.
Jotkin automatisoidut phishing-simulointialustat tarjoavat mittariston, joka analysoi kampanjan onnistumisprosenttia simuloitujen phishing-kampanjatietojen avulla.
Nämä mittarit ovat tärkeä osa koulutuksen optimoinnin varmistamista. Mittareiden avulla saat myös tarvittavaa näyttöä C-tasolle ja johtokunnalle siitä, että tietoturvatietoisuuskoulutus on tehokasta.
Jotkin simulointialustat tarjoavat tietoja hyökkäyksille alttiiden käyttäjien prosenttiosuudesta ja phishing-sähköpostiin pääsemiseen käytetystä laitetyypistä. Suurempi mittaritietojen yksityiskohtaisuus helpottaa räätälöidympiä kampanjoita. Näiden mittareiden avulla voit myös jatkuvasti parantaa simuloidun phishing-kampanjan tehokkuutta ja keskittyä yhä kehittyneempään phishing-sähköpostin sisältöön.
Huuhtele ja toista simuloitu phishing-kampanja.
Phishing-verkko muuttuu jatkuvasti, kun huijarit pyrkivät välttämään havaitsemisen. Jotta simuloidut phishing-kampanjat vastaisivat tätä muutosta, niitä on myös päivitettävä näiden muutosten mukaisesti. Tämä tarkoittaa, että phishing-simulointikampanjasi muuttuu todennäköisesti säännöllisesti ja ajan myötä vastaamaan phishing-maisemaa.
Se, kuinka usein teet tämän, määräytyy yleisen turvallisuusriskianalyysin perusteella. Suositukset kampanjoiden välisistä ajanjaksoista vaihtelevat, mutta 4-6 viikon välein on hyvä nyrkkisääntö. Kampanjoiden toimitusaikoja olisi kuitenkin myös mukautettava, jos phishing-ilmiöissä tapahtuu merkittäviä muutoksia, kuten Covid-19-pandemian aikana.
Aika kalastaa
Ruotsin puolustustutkimuslaitoksen tutkijoiden kirjallisuuskatsauksessa todettiin, että 24 prosenttia phishing-sähköpostin vastaanottajista klikkaa linkkiä ja 21 prosenttia syöttää salasanansa väärennetyille sivustoille. Tämä hälyttävä luku osoittaa, kuinka tärkeää on antaa työntekijöille asianmukaista ja kohdennettua phishing-koulutusta.
Koulutuksen tehostaminen edellyttää kuitenkin toimintasuunnitelmaa. MetaCompliancen ehdotuksia noudattamalla voit varmistaa, että phishing-simulaatiokampanja onnistuu ja pysäyttää todelliset ja pahansuovat phishing-yritykset ennen kuin ne vahingoittavat yritystäsi.