Simüle edilmiş kimlik avı - Simulated phishing

Simüle edilmiş kimlik avı veya a kimlik avı testi kötü niyetli e-postalara benzer şekilde aldatıcı e-postaların, bir kuruluş tarafından verdikleri yanıtı ölçmek için kendi personeline gönderildiği yerdir. e-dolandırıcılık ve benzer e-posta saldırıları. E-postaların kendileri genellikle bir eğitim şeklidir, ancak bu tür testler normalde önceki eğitimle bağlantılı olarak yapılır; ve genellikle daha fazla eğitim unsuru ile takip edildi. Bu, özellikle e-posta eklerini açarak, dahil edilen web bağlantılarına tıklayarak veya kimlik bilgilerini girerek "başarısız" olanlar için geçerlidir.

Gerekçe

BT güvenliği alanında, teknik önlemlerin tek başına tüm kötü niyetli e-posta saldırılarını durduramayacağı ve personelin iyi bir şekilde eğitilmesi gerektiği konusunda yaygın bir kabul vardır.[1].[kaynak belirtilmeli ] Simüle edilmiş kimlik avı, personel uyumluluğunun doğrudan ölçülmesine olanak tanır ve düzenli olarak çalıştırıldığında, kullanıcı davranışındaki ilerlemeyi ölçebilir. Kimlik avı simülasyonu, genellikle bu tür politikaların tasarlanması için yönergeler sağlayan çeşitli resmi kurumlar tarafından önerilir.[2] Kimlik avı simülasyonları bazen yangın tatbikatları personele düzenli olarak doğru davranışta pratik yapma.[kaynak belirtilmeli ]

Etik

Bu tür kampanyaların uygun bir düzeyde yetkilendirilmesi gerekir,[3] ve profesyonelce yürütülür.[4] Böyle bir teknik dikkatsizce kullanılırsa, yasaları ihlal edebilir, davaları çekebilir ve personeli kızdırabilir veya travmatize edebilir.

Bununla birlikte, çalışanlara, "şirket, personelin güvenlik bilincini ve uyumluluğunu ölçmek için zaman zaman personele aldatıcı 'simüle edilmiş kimlik avı' e-postası gönderme hakkını saklı tutacak şekilde bir politika değişikliği bildirilirse ve eğitim ve rehberlik ilerleyin, o zaman bu tür sorunlar ortaya çıkmamalıdır. Bazı kuruluşlar, kullanıcılardan izin vererek onay vermelerini isteyebilir,[5] ve diğerleri personele vazgeçme seçeneğine izin verebilir.[6]

Standart tavsiye, "başarısız" personelin hiçbir şekilde utandırılmamasıdır, ancak destekleyici takip eğitimi vermenin uygun ve makul olmasıdır.[7][8][9]

Etkili olabilecek ve kötü niyetli kişiler tarafından kullanılabilecek bazı teknikler, normal olarak, etik veya yasal nedenlerle simüle edilmiş kimlik avında kaçınılacaktır. Bunlar, alıcıda sıkıntıya neden olabilecek içeriğe sahip e-postaları veya üçüncü taraf ticari markalarını içerir,[4][7] Bazen bunun kapsamına girdiği iddia edilse de adil kullanım.[10]

Yöntemler

Bu tür testler birkaç yolla yapılabilir.

  • Birçok satıcı, bunu yapmak için web'de barındırılan platformlar sunar ve bazıları sınırlı ücretsiz "test" kampanyaları sunar.[11]
  • Ücretsiz olarak kullanılabilen çok çeşitli açık kaynaklı araçlar, daha fazla teknik kuruluşun kendi testlerini barındırmasına ve yürütmesine olanak tanır.[12][13][14]
  • Bazı e-posta hizmetlerinde artık yerleşik bir seçenek olarak böyle bir test vardır.[15][16]

Kuruluşlar, gerçek kötü niyetli kimlik avını önlemek için genellikle bir dizi çok katmanlı savunma sistemine sahip olduğundan, simülasyonlar genellikle beyaz listeye alma e-postanın kullanıcı masaüstlerine ve cihazlarına erişmesine ve bunlara göre işlem yapılmasına olanak sağlamak için e-posta ağ geçitlerinde, anti-virüs yazılımlarında ve web proxy'lerinde yerleştirilmelidir.

Sıklık

Tavsiyelerin çoğu, personele doğru yanıt verme konusunda personele pratik sağlamak ve potansiyel olarak tehlikeli e-postaları tanımlayan ve bildiren personeldeki ilerleme hakkında yönetim geri bildirimi sağlamak için testlerin yılda birkaç kez yapılması gerektiğidir.

Ayrıca bakınız

Referanslar

  1. ^ Jampen, Daniel; Gür, Gürkan; Sutter, Thomas; Tellenbach, Bernhard (2020-08-09). "Tıklamayın: etkili bir kimlik avı önleme eğitimine doğru. Karşılaştırmalı bir literatür incelemesi". İnsan merkezli Bilgi İşlem ve Bilgi Bilimleri. 10 (1). doi:10.1186 / s13673-020-00237-7. ISSN  2192-1962.
  2. ^ "Kimlik Avı Simülasyonları Tasarlama" (PDF). Ulusal Altyapıyı Koruma Merkezi. Alındı 12 Eylül 2018.
  3. ^ Kovacs, Eduard (23 Ağustos 2018). "Simüle Edilmiş Kimlik Avı Testinin DNC Bölümüne Saldırı". Güvenlik Haftası. Alındı 12 Eylül 2018.
  4. ^ a b Cheng, Joey (18 Mart 2014). "Kontrol dışı Ordu kimlik avı testi yeni yönergelerle sonuçlanıyor". Savunma Sistemleri. Alındı 12 Eylül 2018.
  5. ^ "Simüle Kimlik Avı". Berkeley Laboratuvarı. Alındı 12 Eylül 2018.
  6. ^ "Simüle Edilmiş Kimlik Avı E-posta Kampanyası". UC Santa Cruz. Alındı 12 Eylül 2018.
  7. ^ a b Prendergast, Tom. "Simüle edilmiş kimlik avında her şey adil mi?". www.csoonline.com. Alındı 9 Eylül 2018.
  8. ^ Meijdam, Katrien. "Hizmet Olarak Kimlik Avı: Çalışanları eğitmek için hedefli kimlik avı saldırılarını taklit etmenin etik bir yolunu tasarlama". Alındı 10 Eylül 2018.
  9. ^ R, Kate. "Kimlik Avıyla İlgili Sorun". Ulusal Siber Güvenlik Merkezi. GCHQ. Alındı 12 Eylül 2018.
  10. ^ Calarco, Daniel. "Kötü Sahte Yem ile Kimlik Avını Durdurun". EĞİTİM. Alındı 12 Eylül 2018.
  11. ^ Korolov, Maria. "Kimlik avıyla savaşmanıza yardımcı olabilecek 10 şirket". CSO Online. Alındı 12 Eylül 2018.
  12. ^ örneğin GoPhish, King Phisher, The SocialEngineer Toolkit
  13. ^ Pauli, Darren (4 Şubat 2016). "Kendi personelinizle kimlik avına çıkın: Dev, açık kaynaklı aptal test aracı oluşturur". Kayıt. Alındı 12 Eylül 2018.
  14. ^ "Kimlik avı kampanyası simülatörleri". Kimlik Avına Karşı Önlemler. Alındı 12 Eylül 2018.
  15. ^ Ghosh, Debraj. "Office 365 Tehdit İstihbaratı İçin Saldırı Simülatörü GA". Microsoft Tech Community. Alındı 12 Eylül 2018.
  16. ^ Lardinois, Frederic. "Microsoft, bir kimlik avı saldırı simülatörü ve diğer güvenlik araçlarını başlattı". TechCrunch. Alındı 12 Eylül 2018.