Pytanie:
Firma nie chce żadnych nazwisk w raportach phishingu
pm1391
2018-01-30 06:53:36 UTC
view on stackexchange narkive permalink

Niedawno zlecono nam przeprowadzenie testów phishingu dla firmy. Nazwijmy to firmą, ale zasadniczo są one zobowiązane przez prawo do oceny bezpieczeństwa swojego środowiska za pomocą kampanii phishingowych.

Pierwsze kampanie prowadziliśmy nie tak dawno temu i wyniki były dość kiepskie. Ponad 70% ich użytkowników ufało „złośliwym wiadomościom e-mail”, które wysyłaliśmy i robili wszystko, o co prosili ich e-maile.

Po jego zakończeniu oczywiście mieliśmy krótkie omówienie szczegółów naszych ustaleń. Krótko mówiąc, nie chcieli ~ żadnych ~ identyfikatorów (e-mail, nazwa użytkownika, cokolwiek), kto dał się nabrać na phish. Chcieli, aby „X z 300” nie zidentyfikował e-maila. Powodem było to, że nie chcieli nikogo urazić. (Chciałem powiedzieć, że uczucia Twoich klientów zostaną zranione, gdy Twoi pracownicy dadzą się nabrać na potencjalny atak i wyciek informacji) Grzecznie oskarżyłem ich o zaznaczanie pola i brak zainteresowania edukowaniem swoich użytkowników. Nie byli zbyt szczęśliwi. Powinienem to rozwinąć, mówiąc, że nie chcieli nawet 2 raportów, jednego pokazującego e-maile, a drugiego nie. Zaproponowałem im to, ponieważ przynajmniej mogą zobaczyć, jak te osoby reagują w nadgodzinach na różne kampanie. Byłoby to absolutnie pomocne, gdyby użytkownik „Sam” klikał każdy link w wiadomości e-mail za każdym razem w ciągu dziesięciu kampanii. Z pewnością chciałbyś kształcić Sama inaczej niż innych użytkowników?

Moje pytanie brzmi: czy nie jest to sprzeczne z celem kampanii phishingowych i poprawy bezpieczeństwa informacji w Twojej sieci? Czy to w ogóle normalne?

„Grzecznie oskarżyłem ich o zaznaczanie pól i brak zainteresowania edukowaniem swoich użytkowników”.Naprawdę nie można tego zrobić grzecznie.
Czy jest to jednorazowa kampania phishingowa?czy w toku?W poprzedniej firmie prowadziliśmy ciągłe serie - miesięczne, kwartalne… Były raporty ogólne (8 z 300) - i szczegółowe raporty dla kierownictwa (ci, którzy przeprowadzali testy, mogli stwierdzić, kto był recydywistą).Istnieje różnica między „Jill kliknęła raz wiadomość e-mail” a „Jill kliknęła wiadomość e-mail 4 razy z rzędu pomimo powtarzających się zajęć i ostrzeżeń”… Niejednokrotnie prowadzi to do zwiększonej widoczności - i konsekwencji.
@pm1391 W toku ... Czy są różne raporty?„8 z 300” ... a szczegółowe zestawienia, powiedzmy, recydywistów?Pierwsze przejazdy są inne niż piąte - po wielokrotnym ostrzeżeniu.Czy kierownictwo nie chce zajmować się recydywistami (jeśli zaszedłeś tak daleko)?TO byłby większy problem ...
Czy byliby otwarci na podział według działu / lokalizacji / stażu pracy?Z mojego doświadczenia wynika, że jest to niezwykle przydatne, pomagając zawęzić obszary, które wymagają pomocy.W ten sposób nie musisz zajmować się pojedynczymi osobami.Również z doświadczenia widziałem już tę prośbę.I to wtedy decydenci nie chcą być tymi, którzy zostali zidentyfikowani ...
Nienawidzę ciągłego zadawania pytań: jeśli zaprzeczają szczegółowym raportom, a wyniki nie poprawiają się ... kto ponosi winę w przypadku zamka?Jeśli nie podajesz dobrych informacji - czy jesteś winny?Jeśli odmówią udzielenia informacji, czy są winni?Innymi słowy - za rok, kiedy dojdzie do naruszenia… kto zostanie pozwany?
Komentarze nie służą do rozszerzonej dyskusji ani odpowiedzi na pytanie;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/72590/discussion-on-question-by-pm1391-company-does-not-want-any-names-on-phishing-reprezentant).
Jako nie-ekspert uważam to za całkiem sprytne, ponieważ unika udawania, że problemem są osoby testowane, a nie system / kultura.
Osiem odpowiedzi:
baldPrussian
2018-01-30 07:01:50 UTC
view on stackexchange narkive permalink

Ta początkowa kampania ustanowiła najpierw punkt odniesienia. Więc tak, to normalne. „Jak my jako firma się znajdujemy? Do jakiego poziomu musimy się szkolić? Czy jako całość mamy bezpiecznych użytkowników, czy też jako całość mamy niezabezpieczonych użytkowników?” Ten raport określa to oraz zakres, w jakim kierownictwo musi zaangażować się w szkolenie w zakresie phishingu. Gdyby tylko 5% użytkowników dało się nabrać na próbę wyłudzenia informacji, cel szkolenia byłby zupełnie inny. Obecnie kierownictwo wie, że mają one zasadniczo problem całej firmy i że kampania phish ma w zasadzie 70% szans powodzenia.

Teraz, gdy firma przeprowadzi przyszłe szkolenie w zakresie phishingu, może porównać wyniki i określić, czy szkolenie zakończyło się sukcesem. „Początkowo daliśmy się na to nabrać w 70% przypadków. Tym razem w 68% przypadków. W związku z tym nie udało się”. Lub „Początkowo daliśmy sobie z tym radę w 70% przypadków, a teraz w 50%. Robimy lepiej, ale potrzebujemy dalszych szkoleń”.

Słuszna uwaga, zgodziłbym się z tobą, ale nigdy nie powiedzieli nic o ustalaniu punktu odniesienia, kiedy wyrażałem swoje obawy.Co więcej, nawet nie chcieli, żebym przechowywał wyniki, więc byłem zdziwiony.
To Ty przeprowadzasz test phishingu.Powinieneś wiedzieć, że poprawa wymaga treningu i czasu
Można by argumentować, że firma, w której 70% użytkowników wpada w kampanię phishingową, ma w zasadzie 100% szans na kampanię phish, ponieważ zwykle wystarczy, aby jedna osoba się na nią nabrała.
Rzeczywiście, jedna osoba wpadająca na phishing to o jedną osobę za dużo.A szkolenie wymaga poprawy, jeśli chodzi o przypisywanie nazwisk, czy nie, jeśli jest to powszechny problem, a prawdopodobnie nie jest potrzebny.Mimo wszystko przeszkolić wszystkich.Jeśli jest to mały podzbiór, to identyfikacja jest prawdopodobnie dobra, zwłaszcza jeśli jest to podstawowa możliwa do zidentyfikowania grupa, taka jak lista osób, których stanowisko zaczyna się na C (USA) lub D (Wielka Brytania), określony wydział itp.
+1 i jeden chwytak: jeśli oczekuje się, że 70% użytkowników zareaguje pozytywnie, i.mi.prawdopodobieństwo pozytywnej odpowiedzi każdego użytkownika na kampanię phishingową wynosi p = 0,7, wtedy szansą powodzenia kampanii jest prawdopodobieństwo P co najmniej jednej pozytywnej odpowiedzi i `P = 1- (1-p) ^ n` gdzie nto liczba użytkowników, do których skierowana jest kampania.Jest to prawie zgodne z komentarzem @Christoph.
… Dla średniej wielkości firmy z n = 50 ip = 0,7 prawdopodobieństwo niepowodzenia kampanii * 1 − P wynosi mniej więcej 10 ^ −26.
@pm1391 Nie wiem, jak przebiegała Twoja kampania, ale w każdym z kilkunastu, przez które przeszedłem, użytkownicy, którzy kliknęli zły link lub cokolwiek innego, są natychmiast wywoływani, ponieważ link prowadzi do strony z napisem „Nie udało siętest ”lub podobny.Nie ma potrzeby (przynajmniej początkowo) zgłaszać dokładnie * kto * zawiódł, ponieważ sama kampania była rodzajem szkolenia.
Z drugiej strony osoby, które zgłosiły podejrzaną aktywność zespołowi ochrony, były osobiście poklepywane po plecach, pozytywnie wzmacniając ich zachowanie.Możliwe, że raport został dostarczony wyżej w łańcuchu żywnościowym z rzeczywistymi nazwami użytkowników i odpowiedziami, ale nie widzę (szczególnie w dużej firmie), w jaki sposób byłby to użyteczny wydatek na komponowanie / konsumowanie.
@thanby Tak, zrobiliśmy coś podobnego (powiadamiając użytkowników o porażce).Ale kierownictwo nie chciało żadnych informacji o użytkowniku i nie ma zamiaru śledzić niczego w godzinach nadliczbowych.Moim zdaniem można uzyskać tak wiele informacji z testu phishingowego i zmniejszyć je do x / 300 klikniętych, moim zdaniem jest głupie
W porządku, nie ma z tym wiele kłótni.Ale ostatecznie wszystko, co możesz zrobić, to udzielić najlepszej porady, a jeśli tego nie chcą, nie powinieneś forsować problemu.Po prostu udokumentuj, że nie zastosowali się do Twoich zaleceń dotyczących CYA
@pm1391 Naprawdę płacą ci za zrobienie czegoś i dopóki nie jest to nielegalne, niemoralne lub nieetyczne, to, co robią z twoją pracą, jest naprawdę ich problemem.Trudno nam zaakceptować, że „dostaliśmy wynagrodzenie i mogą robić z naszą pracą, co chcą”, ale to jest rodzaj pracy konsultingowej.Tak, mogliby zrobić więcej.Ostatecznie jednak zapewniamy wymaganą usługę i odchodzimy wiedząc, że zrobiliśmy wszystko, co w naszej mocy.
@DavidFoerster: mówiąca „bla-bla 10 ^ -26 szansa na niepowodzenie kampanii phishingowej bla-bla” nie zrobi absolutnie żadnego wrażenia na żadnej sali konferencyjnej w Ameryce.Właściwy sposób na ujęcie tego to: „Jeśli nie zrobisz czegoś natychmiastowego i drastycznego, wszyscy w tym pokoju stracą swoje premie, dotacje na akcje, opcje i pakiety odpraw po zamknięciu drzwi przez federalnych”.TO skupi uwagę jak nic innego - a nawet * to * spowoduje jedynie zwolnienie kilku menedżerów i przetasowanie członków kadry kierowniczej.Po prostu przestaw te leżaki i wszystko w porządku, kapitanie!
@BobJarvis: Jasne.Mój argument nie był jednak przeznaczony dla zarządu.Był skierowany do autora pytania i krytyki ich matematyki.
McMatty
2018-01-30 08:47:08 UTC
view on stackexchange narkive permalink

Nie, ponieważ podając imiona, które przypisujesz winom, ochrona musi odejść od obwiniania poszczególnych osób i przyjąć ją jako całość. To to samo, co znalezienie luki w zabezpieczeniach witryny internetowej: nie należy winić programisty, ale zamiast tego starać się usprawnić cały proces.

Prowadzimy kampanie phishingowe i nie identyfikujemy użytkowników. Używamy go do identyfikowania słabości z naszej strony i do lepszego szkolenia naszych pracowników. Nie ma sensu skupiać się na tym szkoleniu tylko dla jednej osoby.

Po zakończeniu kampanii wysyłamy e-maile do wszystkich pracowników, dostarczamy statystyki niepowodzeń / sukcesów, a następnie udzielamy wskazówek dotyczących wykrywania phishingu i ogólnego traktowania poczty .

Czy „całościowe zabezpieczenie” nie składa się z twoich osób?Zatem twoje środowisko jest tak bezpieczne, jak twoje jednostki w tym sensie.Rozumiem, że nie chodzi o obwinianie użytkowników, ale istnieje możliwość, że niektórzy użytkownicy są bardziej podatni na ataki i dlatego powinni być inaczej traktowani i edukowani.Nie sądzę, żeby to dotyczyło programisty internetowego, ponieważ winiłbym programistę za źle skonfigurowaną stronę internetową, to jego praca.
@pm1391 Jednym z potencjalnych problemów, o którym mogę pomyśleć, jeśli użytkownicy zostaną zidentyfikowani, jest to, że trudno będzie zapomnieć o tych użytkownikach i mogą być oceniani stronniczo w przyszłości, gdy zdarzy się coś związanego z zaufaniem (np. Wyciek danych,itp.).
@pm1391 Jeśli weźmiesz pod uwagę fakt, że użytkownicy mają tendencję do odchodzenia i dołączania, rozumiesz, że nie ma powodu, aby skupiać się na konkretnym użytkowniku, a jedynie na szkoleniu procesów i procedur bezpieczeństwa.
W 70% mają wyraźnie problem systemowy.Mogą osiągnąć ogromną poprawę dzięki szkoleniom w całej firmie i nie muszą nikogo winić.Na tych poziomach, jeśli ktoś jest winny, to i tak są to ci na szczycie ~ (zakładając, że firma nie składa się z profesjonalistów od zabezpieczeń, którzy powinni wiedzieć o tych rzeczach);pozostałe 30% mogło zachować odrobinę ostrożności w swoim czasie, a może po prostu byli zbyt zajęci i zignorowali próby phishingu.
Również posiadanie raportów nieimiennych nie wiąże ich z przepisami dotyczącymi danych osobowych, a jednocześnie pozwala uzyskać znaczące wyniki.
@pm1391 należy zawsze starać się zapewnić każdemu takie samo leczenie.Jeśli zaczniesz wyróżniać ludzi, mogą poczuć się dyskryminowani w przyszłości.
Zgadzam się, wszyscy zmieniliście zdanie.Po prostu nie podobała mi się odpowiedź, którą mi udzielili.Ale to chyba ich sprawa, nie moja
To jest poprawna odpowiedź.Nie wiem, skąd pomysł, że „zawstydzanie ludzi jest dobrym zabezpieczeniem”.Jeśli już, to sprawia, że ludzie są bardziej defensywni i rzadziej stosują się do rad.Naprawdę chciałbym, żeby „profesjonaliści” zajmujący się bezpieczeństwem zdali sobie sprawę, że poza ich maleńką domeną istnieje ogromny świat.
@Jorrit to prawda w tym przypadku, gdy ~ 70% spadło na to.Prawdopodobnie cała firma potrzebuje szkolenia.Gdyby jednak 2% całej firmy było na to podatne, nie miałoby sensu szkolenie całej firmy na podstawie kilku błędów.W tym przypadku rozmowa na poziomie indywidualnym może być znacznie bardziej skuteczna.
@ChrisH istnieje presja, aby reagować na phishing.jeśli przełożony regularnie wysyła e-maile ze swojego konta osobistego i oczekuje odpowiedzi, racjonalne byłoby zareagowanie na atak phishingowy.może się zdarzyć, że te 70% po prostu postępuje „słusznie”, biorąc pod uwagę sposób, w jaki organizacja faktycznie działa… gdyby to była prawda, nie byłaby to ich wina.
@emory, właśnie to osiągnąłem * Na tych poziomach, jeśli ktoś jest winny, to i tak są na szczycie *
Gdybym zarządzał bezpieczeństwem tej firmy i miałbym nazwiska, chciałbym porozmawiać z małą próbką ofiar, aby spróbować zidentyfikować konkretny problem, zanim zacznę edukować całą firmę.W przeciwnym razie moja „edukacja” może całkowicie nie trafić w sedno!Dowiesz się, na czym polega problem, a następnie go naprawisz.Nie rzucasz poprawkami w ścianę, bez wiedzy o problemie, dopóki się nie przykleią.
Tom K.
2018-01-30 20:21:58 UTC
view on stackexchange narkive permalink

Myślę, że właściwym punktem widzenia, aby na to spojrzeć, jest zadanie następującego pytania:

Biorąc pod uwagę liczbę osób, które nie przeszły testu, jakie cele (bezpieczeństwa) zostałyby osiągnięte, gdyby firma miała takie imiona?

Powiedziałbym: brak”.

Jaki jest cel bezpieczeństwa przeprowadzanego w całej firmie testu phishingowego?

Zwykle w każdej firmie, która polega na IT i zatrudnia określoną liczbę pracowników, pracownicy ci przechodzą szkolenia w zakresie bezpieczeństwa informacji. Szkolenia te obejmują głównie podstawowe tematy, takie jak komunikacja e-mail, bezpieczeństwo komputerów stacjonarnych i tak dalej. Podczas przeprowadzania testu phishingowego kierownictwo chce wiedzieć:

  1. czy te szkolenia zakończyły się powodzeniem (np. Warte ich pieniędzy)
  2. czy jakiekolwiek dane lub system informatyczny należący do firma może zostać zagrożona z powodu braku dobrego szkolenia

Jeśli jako wykonawca powiesz im „70% pracowników nie zdało testu”, odpowiedz na dwa powyższe pytania. Jeśli kierownictwo prosi o podanie nazwisk w firmie zatrudniającej ponad 300 pracowników, nie uzyskuje żadnych bardziej istotnych informacji i nie wykonuje swojej pracy prawidłowo.

Następnym krokiem jest teraz zdefiniowanie nowego celu bezpieczeństwa. Powinien brzmieć mniej więcej tak:

„W ciągu następnych X miesięcy każdy pracownik będzie musiał wziąć udział w szkoleniu z zakresu bezpieczeństwa. Za miesiąc USD w roku chcemy, aby kontrahent przeprowadził kolejny test phishingowy, a odsetek osób tych, którzy nie przejdą tego testu, powinno być poniżej X%. ”

Czy te szkolenia byłyby bardziej opłacalne, gdyby tylko ci pracownicy musieli w nich uczestniczyć, którzy nie przeszli testu phishingu? Prawdopodobnie.
Ale: przedstawiasz je 30% firmy (tym, które nie muszą jechać) jako „zbyt głupie, by zidentyfikować próbę phishingu”. To, jak wpływa to na morale, przewyższa wszystkie koszty zwykłego wysłania wszystkich pracowników na szkolenie. Ponadto: kolejne przypomnienie dla 30% osób o bezpieczeństwie informacji nie boli.
Jest to jeszcze jeden powód, dla którego jest to dobry pomysł: zazwyczaj, jeśli przeprowadzasz test phishingu, nie wiesz, dlaczego ludzie nie dali się na to nabrać. Może część z nich nie przeczytała e-maila, ponieważ byli na wakacjach, byli chorzy lub po prostu go pominęli, bo mają skrzynkę pełną ważniejszych maili. Nikt nie może ci powiedzieć, czy następnym razem zdadzą egzamin. Pracownicy są zawsze najważniejszym czynnikiem ryzyka, szkol ich, jeśli możesz.

Kolejną kwestią, o której chciałbym wspomnieć, o której dotychczas brakowało w innych odpowiedziach, jest to, że w zależności od tego, w jaki sposób przedstawisz wyniki: większość ludzi będzie wiedziała, że ​​nie zaliczyła tego testu .
Musisz w ten czy inny sposób poinformować swoich pracowników i zakładam, że większość firm to robi: Wyślij e-mail obejmujący całą firmę ze zrzutem ekranu wiadomości phishingowej.

„Drodzy pracownicy, przykro mi to mówić, ale to był test phishingowy. Nie czeka na was żaden darmowy jacht. Liczba osób, które nie przeszły testu, była niska, to znaczy dlaczego w najbliższym czasie będziemy mieli jakieś szkolenia z bezpieczeństwa Wykonawca zrobił to dla nas i nie zebraliśmy żadnych danych osobowych, więc nie wiemy, kto kliknął w link, a kto nie. Nie będzie żadnych konsekwencji. Maile phishingowe mogą mieć naprawdę poważne konsekwencje, takie jak… yadda, yadda, yadda… ”.

Ludzie będą sprawdzać swoją skrzynkę odbiorczą i jeśli nie było tak dawno temu, pamiętają, co zrobili. To zwiększy akceptację dla szkolenia z bezpieczeństwa i dostosowania zachowania. Wywoływanie strachu i wywieranie presji na ludzi nie pomaga.

„Wyślij wiadomość e-mail obejmującą całą firmę ze zrzutem ekranu wiadomości phishingowej”.Słuszna uwaga
+1 zwłaszcza za to, że nie wiesz, DLACZEGO zawiedli lub zdali i jak duży wpływ na morale.W pewnym sensie to samo się liczy nawet w przypadku niepowodzeń!Tak, nawet jedna osoba, która nie zdała testu, jest naprawdę szkodliwa dla firmy, ale nawet ta osoba mogła być pod wpływem okoliczności.A jeśli firma ma okoliczności, które mogą spowodować upadek JEDNEJ osoby, może to spowodować upadek KAŻDEJ osoby.I znowu, zrzucenie winy na tę jedną osobę STILL pozostawia otwarty potencjalny problem strukturalny, a jeden pracownik czuje się okropnie.
Jeśli istnieje wiele testów phishingowych, myślę, że warto byłoby wiedzieć, jaki odsetek użytkowników zakochał się w którymkolwiek z nich, i nie jestem pewien, jak można to ustalić bez w jakiś sposób rejestrowania, którzy użytkownicy ulegli którym testom.
„Wpis właściciela lub modyfikatora”, który przesadził z zatwierdzeniem edycji, proszę wyjaśnić, dlaczego wyrażenie „uczestniczyć w szkoleniu z zakresu bezpieczeństwa” i „niektóre szkolenia dotyczące bezpieczeństwa” jest lepsze po angielsku niż „uczestniczyć w szkoleniu z zakresu bezpieczeństwa” i „szkoleniu z zakresu bezpieczeństwa”.Nie ma liczby mnogiej „szkolenie” i nie ma czegoś takiego jak „szkolenie”.To nie jest rzeczownik.
[Właściwie jest to rzeczownik policzalny] (https://english.stackexchange.com/questions/354625/what-is-the-correct-plural-of-training).Co ważniejsze, pytanie (i odpowiedź) dotyczyło kilku szkoleń * s *.Twoja zmiana zmieniła znaczenie odpowiedzi, dlatego przesadziłem.
Jedyną rzeczą, którą chciałbym widzieć jako kierownictwo, jest podział według działów lub obszarów funkcjonalnych ... nie poszczególnych nazw, ale które poszczególne biura są słabsze.Może to być cenne, ponieważ wywiera presję na menedżerów ze słabszych obszarów, aby sami kontynuowali.
@TomK, z odpowiedzi SE, którą połączyłeś: Szkolenie jest zarówno policzalne, jak i niepoliczalne.* Zwykle w odniesieniu do procesu jest on niepoliczalny i nie ma liczby mnogiej. * Twoje użycie było nieprawidłowe.Jestem native speakerem języka angielskiego i podobnie jak native speaker języka angielskiego w tej kwestii, jestem równie „rozbawiony” twoim niewłaściwym użyciem tego słowa.Jako rzeczownik policzalny potrzebujesz „Kurs szkoleniowy” (który stałby się wówczas „Kursami szkoleniowymi”).
@Phil Czy przeczytałeś zaakceptowaną odpowiedź?Jeśli nie, zrób to.Jeśli chcesz nadal się o to spierać, zrób to na czacie, a nie w komentarzach do tej odpowiedzi.Dzięki.
Tom
2018-01-30 18:59:43 UTC
view on stackexchange narkive permalink

Wydaje się, że są jakieś nieporozumienia co do celu tych testów.

Używanie identyfikatorów oznacza znajdowanie odpowiedzialnych ludzi w celu ich edukowania i / lub karania. Może to być wyraźny parametr testu, że nie można zidentyfikować żadnej osoby. W wielu krajach europejskich lokalna rada pracowników lub przedstawiciele związków zawodowych musieliby zgodzić się na taki test i mogliby postawić to jako warunek.

Korzystanie ze statystyk oznacza identyfikację wskaźników wydajności . Możesz porównać je ze sobą, aby na przykład określić, czy postępujesz lepiej lub czy jakaś kampania uświadamiająca, którą prowadziłeś, była skuteczna. Nie potrzebujesz do tego zidentyfikowanych osób, a może to nawet zatrzeć wyniki.

Wreszcie klient płaci rachunek. Pracujesz dla nich, więc chociaż powinieneś zwracać uwagę na wszelkie wątpliwości lub przemyślenia zawodowe, które masz, chyba że jest to sprzeczne z twoją etyką osobistą lub zawodową (np. Standardami etycznymi ISACA, jeśli jesteś członkiem), dostarczasz to, o co prosi klient.

Zrozumiany.Po prostu niepokoiło mnie, że nie chcieli zachować tego odniesienia do przyszłych testów phishingowych.I w pewnym sensie jest to sprzeczne z moją „osobistą” etyką.Jestem dumny z tego, że pociągam ludzi do odpowiedzialności.Ale z innych odpowiedzi wydaje się, że ważniejsze jest systematyczne rozwiązywanie tego problemu
„Jestem dumny z tego, że pociągam ludzi do odpowiedzialności”.- Ale jak byś to zrobił w tym przypadku?Czy spodziewasz się, że firma będzie karcić swoich klientów za nabranie się na phishing?Na przykład powinni wysłać drugi e-mail z napisem „Jeśli wpadłeś na ostatniego e-maila, powinieneś czuć się źle”?
@pm1391, Jeśli jesteś zainteresowany podważeniem swoich osobistych przekonań, przeczytaj dowolną książkę autorstwa W. Edwarda Deminga.https://www.amazon.com/s/ref=nb_sb_noss_1?url=search-alias%3Daps&field-keywords=w+edward+deming Był wielkim zwolennikiem nie obwiniania za niedociągnięcia firmy faktycznej siły roboczej, ale jej faktycznejsystem zaprojektowany przez jego kierownictwo.
@industry7 odpowiedzialny w tym sensie, że po 10 kampaniach, jeśli użytkownik x nie poprawi się, musimy usiąść z użytkownikiem x.Ponieważ użytkownik x nie poprawia i nie przejmuje się.
@pm1391 na poziomie kierownictwa najwyższego szczebla indywidualne wyniki nie mają znaczenia.Mają większe ryby do smażenia.Mogą być zainteresowani odsetkiem pracowników, którzy nie dostają tego po 10 kampaniach, ale nie w przypadku osób fizycznych.
@Tom Nie ujawniając, kim jest ta umowa, ludzie w organizacji mają potencjał do wycieku ** o wiele ** więcej niż ich hasło Amazon
Może to być prawda i powinieneś uwzględnić to w swojej analizie wpływu.Ale nadal poziom zarządzania, z którym masz do czynienia, może nie chcieć zajmować się indywidualnymi osobami.
Wadih M.
2018-01-30 20:28:50 UTC
view on stackexchange narkive permalink

Odpowiadając na Twoje pytanie:

czy nie jest to sprzeczne z celem kampanii phishingowych i poprawy bezpieczeństwa informacji w Twojej sieci? Czy to w ogóle normalne?

Nie. Jeśli klient chce rozwodnionej wersji wyniku badania, ostatecznie to jego wezwanie. Masz jednak wszelkie prawa do udzielania najlepszych porad i dawania im możliwości wyboru.

Czy takie reakcje klientów to normalne zjawisko? Tak, może się to zdarzać cały czas, a to może być konsekwencją wielu rzeczy. Klient może mieć własne niepewności (np. Co by się stało, gdyby członkowie kierownictwa zostali złapani, jak sobie z tym poradzić) lub może nie chcieć lekceważyć swoich pracowników, może nie wiedzieć, jak poradzić sobie z ich szkoleniem po opublikowaniu raportu.

Jeśli to oni za to płacą, jako ich doradca musisz w końcu uszanować ich decyzję.

Na marginesie, o czymś, co zauważyłem :

Grzecznie oskarżyłem ich o zaznaczanie pola i brak zainteresowania edukacją swoich użytkowników.

Nie ma sposobu, aby uprzejmie powiedzieć to, co właśnie powiedziałeś. Ale są inne sposoby, aby to powiedzieć, nie wpadając w błąd. Witamy w świecie polityki. Widzę, że większość innych odpowiedzi dotyczyła aspektu bezpieczeństwa, więc w mojej odpowiedzi chciałbym poruszyć inny subtelny aspekt polityczny.

Widocznie masz dużo dobrej woli i wiedzy, a klient pojawia się uparty z twojego punktu widzenia, że ​​nie wykonałeś tego ćwiczenia przez cały czas.

Odkryłem, że najlepszym sposobem na przekazanie czegoś takiego jest użycie nieco innych sposobów, które będą promować Twoją sprawę, niekoniecznie denerwując klienta lub sprawiając, że klient czuje, że nie pozwalasz mu dzwonić strzały lub krytykujesz go i przechodzisz w złą stronę.

Oto kilka sposobów, w jakie mógłbyś to powiedzieć, a które prawdopodobnie pomogłyby w promowaniu Twojej wizji. To wszystko polityka i można je studiować oddzielnie.

  • Najbardziej poprawny politycznie sposób (maksymalne osłabienie wiadomości): stracilibyśmy świetną okazję, gdybyśmy pominęli tę część ćwiczenia. Czy na pewno chcesz to zrobić Panie Kliencie?
  • Nieco mniej poprawne politycznie, ale przekaz mniej rozmyty i nadal nie trafiający: jeśli nie zajmiemy się w pełni i nie pozwolimy, aby szkolenie odbyło się tam, gdzie jest to konieczne, dużo byśmy zmarnowali energii. Czy na pewno chcesz to zrobić Panie Kliencie?

Zauważ, że w obu przypadkach skończyłem z Czy na pewno chcesz to zrobić Panie Kliencie? . Nazywa się to mocą wyboru, oddaj wybór z powrotem w ich ręce po zakończeniu wszelkich prób modyfikacji ich zachowania lub myślenia.

Jeśli ci się nie udało, a oni nadal nie chcą, niech tak będzie. I tak nie miałeś autorytetu, jedyne, co możesz zrobić, to doradzić im najlepiej, jak potrafisz. Ale mimo wszystko, w innym scenariuszu, mógłbyś wpłynąć na myślenie klienta i zrobić to po swojemu. Ale nie zawsze tak jest.

Dziękuję, mówisz o politycznej stronie bitwy, jak wspomniałeś.Jestem młody w tej dziedzinie i być może jeszcze nie nauczyłem się języka zawodu.Nie mogę mówić, czy to powinna być odpowiedź, ale doceniam perspektywę
WoJ
2018-02-01 04:13:45 UTC
view on stackexchange narkive permalink

Właśnie skończyłem taką kampanię (jako klient) i chciałem mieć absolutną anonimowość użytkowników.

Powodów było kilka, wśród nich najważniejsze to

  • prywatność, skomplikowana sprawa w niektórych krajach
  • fakt, że będę wysyłał ogólnoświatową wiadomość o kampanii i jej wynikach

Twój klient mógł mieć inne powodów. Dałeś im szansę uzyskania pełnych wyników, być może z jakąś radą. Chcieli anonimowej wersji, własnego wyboru.

Uwaga: przepraszam za literówki (a właściwie - błędne autouzupełnianie przez mój telefon), przez które moja początkowa odpowiedź wyglądała dość dziwnie.

To prawda, i szanuję, że to ich decyzja.Ale boli mnie, że jest tak dużo danych, które moim zdaniem mogłyby zostać wykorzystane do dalszej ochrony ich środowiska.Nadal mogą zachować dane i nie przypisywać winy osobom fizycznym.
Prywatność to duży problem, zwłaszcza w krajach Unii Europejskiej.
@pm1391 Nazwy naiwnych są bezwartościowe, aby chronić swoje środowisko.Jak prawidłowo zidentyfikowałeś, chodzi o stworzenie środowiska odpornego na phishing - a nie o zapewnienie Samowi pomocy antyphishingowej.Ponadto 30%, które zdało, mogło po prostu to przegapić, edukacja musi być jednolita. Jako osoba zajmująca się bezpieczeństwem powinieneś wiedzieć najlepiej, że ** nie będziesz przechowywać żadnych danych, których nie potrzebujesz **.To naruszenie czekające na wystąpienie.Byli sprytni, odmawiając oglądania twojej listy, więc jeśli lista kiedykolwiek się pojawi, będzie to tylko twoja wina.Radzę to zniszczyć.
Harper - Reinstate Monica
2018-01-31 03:06:57 UTC
view on stackexchange narkive permalink

Całkowicie rozumiem Twoje pragnienie przechwycenia tych danych. Więc anonimizuj ich. Ogólny pomysł jest taki, że bierzesz skrót MD5 ich adresu e-mail z małą literą i pobierasz tyle bitów rozdzielczości, ile potrzebujesz, i albo pozostawiasz je b7R + , albo konwertujesz na „hasła AOL”, na przykład shave -pen-osram .

Zabronione 

  John Smith FAIL Frank Frink FAIL Juliana Crain PASS

Co możesz dostać 

  Rufus-Castle-Uniform-Enemy FAIL Zion-Lathe-Shoot-Loyal FAIL Flee-Worldly-Variable-Key PASS

Co jest jeszcze bezpieczniejsze 

  Bucket Stop-Bad 4/6 nieudane (66%) Bucket Wax-Scissors 5/6 nie powiodło się (83%) Bucket Memory-Egg 4/5 nie powiodło się (80%)

Tam są dwa sposoby, aby osiągnąć anonimowość, wyobrażając sobie, że n bitów może zawierać liczbę pracowników (np. pracowników = 700 n = 10).

  • Możesz przejść do kilka dodatkowych bitów, np. n +6 bitów, w którym to przypadku anonimizacja byłaby odwracalna i pracownik mógłby zostać ujawniony: Rufus-Castle-Uniform-Enemy zwykle haszuje tylko do jsmith@foo.com ... Rozumiem! Może być drugi e-mail, ale im więcej bitów, tym mniej prawdopodobne.
  • Możesz przejść o kilka za mało bitów, na przykład n -3 bity, w którym to przypadku odwrotny bieg pokaże Stop- Zły haszuje do jsmith, emccarthy, jcrian, tkido, ctagawa, i ffrink, przez co kara jest niewykonalna. To kończy się tworzeniem grupy „wiader”.
  • możesz posolić MD5, ale to się nie powiedzie, jeśli prześladowca
    • nauczy się soli poprzez brutalny atak kryptograficzny
    • po prostu rozkazuje ci go odwrócić
    • odnotowuje wzorzec działań, które zostały zarejestrowane, i dedukuje użytkownika

Twój niezgadzanie się z ich powodami jest klasycznym problemem w miejscu pracy.se, ale mogą nie podają Ci wszystkich powodów *. Niezależnie od tego, musisz spełnić swoje zgłoszenie do nich.

Metody, które podałem tutaj wraz z anonimizacją, pozwalają na przedstawienie w raporcie szczegółowych danych, które chcesz przedstawić, zachowując techniczną zgodność z ich dyrektywą. Możesz to zrobić w formie n + wielu, która pozwala im wrócić do poszczególnych użytkowników, jeśli naprawdę tego chcą - lub w formie zbiorczej, która nie.

Bucketing jest dość bezużyteczny przy 70%, chyba że przedstawiasz „W zasobniku 127 4/6 użytkowników padło ofiarą phishu”. Zasobnik działa najlepiej, gdy współczynnik trafień wynosi 1/3 liczby zasobników lub mniej, więc 2 trafienia w tym samym zasobniku są rzadkie. „W 512 wiadrach 90 wiader miało trafienia, najprawdopodobniej to 90–95 osób, czyli taką liczbę, jaką chcesz.

* Jako prawnik mogę wymyślić naprawdę dużą. Gdybym to był ja, Usunąłbym spersonalizowane dane „rutynowo”. Zapisywanie wszystkiego na zawsze to zabawa i zabawa do czasu wezwania.

@schroeder Spróbuję to wyjaśnić.Mówię, żeby w raportach umieścić „Rufus-Castle-Uniform-Enemy”, gdzie w innym przypadku byłaby to nazwa.
Ok, ma to teraz * trochę * więcej sensu jako sposób prezentowania osób w danych przy użyciu odwracalnej anonimizacji, aby klient mógł zdecydować się na przebicie tej zasłony.Ale rany, było to niejasne na początku.
@schroeder czy jest coś więcej, co mogę zrobić, aby to naprawić?Przykłady?
Czy nie byłoby łatwiej po prostu użyć losowo generowanego identyfikatora zamiast skrótów?
Problem z tym schematem polega na tym, że nadal niekoniecznie zapobiega on deanonimizacji.Jeśli widzisz Rufus-Castle w zbiorze danych dla działu księgowości, pracowników w wieku 30-40 lat i listy kontrahentów, może istnieć tylko jeden pracownik pasujący do tego profilu.Jeśli naprawdę potrzebujesz technicznego mechanizmu anonimizacji danych, a jednocześnie nadal gromadzisz przydatne informacje statystyczne, radzę zajrzeć do [prywatności różnicowej] (https://en.m.wikipedia.org/wiki/Differential_privacy).
@LieRyan Całkowicie się zgadzam, zaproponowałem to, ponieważ OP nie chciał nawet zapobiegać deanonimizacji.Pomaga w tym technika kubełkowa.Sourav, to byłoby znacznie łatwiejsze, ale nie pozwoliłoby na połączenie kolejnych testów z poprzednimi wynikami.Wiedziałbyś, że przeszedłeś od 70% porażek do 44% porażek, ale nie wiedziałbyś, że 56% poprzednich niepowodzeń odniosło sukces i (alarmująco) 61% poprzednich następców poniosło porażkę.
Miejsce, z którego przeszedłem na emeryturę, przeprowadzało coroczne „badanie satysfakcji pracowników”.W ankiecie nigdy nie pytano o dane demograficzne, ale otrzymano numer identyfikacyjny pracownika.Każdy, kto miał siedem lub mniej osób zgłaszających się do nich, nie otrzymywał raportu - zbyt łatwo zgadnąć, kto co powiedział.Liderzy z większą liczbą podwładnych otrzymywali raport z ich _średnim_ wynikiem za każde pytanie.
WGroleau
2018-01-31 08:34:21 UTC
view on stackexchange narkive permalink

Zgadzam się, że wybór klienta pozornie uniemożliwia jakąkolwiek możliwość poprawy. Jest jednak inny sposób na poprawę.

Niech wszyscy pracownicy wiedzą „Nie wiemy, kto się na to nabrał, a kto nie, więc nie możemy nikogo zwolnić ani wynagrodzić. Jednak przeprowadzamy ten test co miesiąc i będziemy publikować wartości procentowe. Jeśli 70% spadnie do 20% do końca roku, wszyscy pracownicy otrzymają premię. Wielkość premii będzie zależeć od tego, ile poniżej dwudziestu. Aby pomóc nam osiągnąć ten cel, będziemy co tydzień otrzymywać e-maile uczące techniki identyfikacji phishingu. W przyszłym roku premia będzie co kwartał, ale cel będzie również mniejszy co kwartał ”.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...