Simulerat nätfiske

Simulerat nätfiske eller ett nätfisketest är där vilseledande e-postmeddelanden, liknande skadliga e-postmeddelanden, skickas av en organisation till sin egen personal för att mäta deras svar på nätfiske och liknande e-postattacker. Mejlen i sig är ofta en form av utbildning, men sådana tester görs normalt i samband med tidigare utbildning; och följs ofta upp med fler träningsmoment. Detta är särskilt fallet för dem som "misslyckas" genom att öppna e-postbilagor, klicka på inkluderade webblänkar eller ange referenser.

Logisk grund

Det finns en bred acceptans inom IT-säkerhetsområdet att tekniska åtgärder ensamma inte kan stoppa alla skadliga e-postattacker och att bra utbildning av personal är nödvändig. [ citat behövs ] Simulerat nätfiske tillåter direkt mätning av personalens efterlevnad, och när det körs regelbundet kan det mäta framsteg i användarbeteende. Nätfiske-simulering rekommenderas av olika officiella byråer, som ofta tillhandahåller riktlinjer för att utforma sådana policyer. Phishing-simuleringar jämförs ibland med brandövningar för att ge personalen regelbunden träning i korrekt beteende.

Etik

Sådana kampanjer måste auktoriseras på lämplig nivå och utföras professionellt. Om en sådan teknik används slarvigt kan den bryta mot lagar, locka till sig stämningar och antagonisera eller traumatisera personal.

Men om anställda informeras om en ändring av policyn så att "företaget förbehåller sig rätten att skicka vilseledande "simulerad nätfiske"-e-post till personalen då och då för att mäta personalens säkerhetsmedvetenhet och efterlevnad, och utbildning och vägledning har getts i i förväg bör sådana problem inte uppstå. Vissa organisationer kan välja att kräva att användarna ger sitt samtycke genom att välja in, och andra kan ge personal möjlighet att välja bort det.

Standardrådet är att "misslyckad" personal inte skamsa på något sätt, men det är lämpligt och rimligt att ge stödjande uppföljningsutbildning.

Vissa tekniker som kan vara effektiva och som används av illvilliga aktörer undviks normalt vid simulerat nätfiske av etiska eller juridiska skäl. Dessa skulle inkludera e-postmeddelanden med innehåll som sannolikt orsakar oro för mottagaren eller användning av tredje parts varumärken, även om det ibland hävdas att detta omfattas av tillåten användning .

Metoder

Sådana tester kan göras på ett antal sätt.

  • Många leverantörer erbjuder webbhotell plattformar för att göra detta, och vissa tillhandahåller begränsade gratis "test"-kampanjer.
  • Ett brett utbud av fritt tillgängliga verktyg med öppen källkod tillåter fler tekniska organisationer att vara värd för och köra sina egna tester.
  • Vissa e-posttjänster har nu sådana tester som ett inbyggt alternativ.

Eftersom organisationer i allmänhet har en uppsättning flerskiktiga försvar på plats för att förhindra verkligt skadligt nätfiske, kräver simuleringar ofta att viss vitlistning införs vid e-postgateways, antivirusprogram och webbproxyer för att tillåta e-post att nå användarens skrivbord och enheter och att agera.

Frekvens

De flesta råd är att testning bör göras flera gånger per år, för att ge personalen övning i att svara korrekt och för att ge ledningens feedback om framstegen i personalens identifiering och rapportering av potentiellt farlig e-post.

Se även

Hämtad från " https://en.wikipedia.org/w/index.php?title=Simulated_phishing&oldid=1118812428 "