Kimlik avı siber suçlular tarafından kullanılan en eski ve en etkili dolandırıcılıklardan biridir. Yakın zamanda bir kimlik avı e -postası için düşen Troy Hunt örneğinde görüldüğü gibi, kimse onlara karşı bağışık değil, internet güvenlik uzmanları bile değil.
AI ana akım haline gelmeden önce, kimlik avı e -postaları sık sık kendilerini verdi. Dilbilgisi hataları ve garip ifadelerle doluydular, bu da onları daha kolay tespit ettiler. Bu değişti. Bugünün kimlik avı saldırıları çok daha ikna edicidir, genellikle gerçek mesajlar gibi görünüyor.
Bu nedenle birçok şirket, çalışanları bu tür saldırıları tanımak ve önlemek için eğitmek için kimlik avı simülasyonlarını kullanıyor.
İK ekipleri, özellikle çalışan eğitimi, uyumluluk ve farkındalık söz konusu olduğunda, bu programları kullanıma sunmaktadır. BT veya güvenlik ekipleri genellikle teknik tarafı ele alırken, İK eğitim çubuğunun yapımında önemli bir rol oynar.
Bu simülasyonlar gerçekten ne kadar iyi çalışıyor?
Araştırmacılar, ortak kimlik avı eğitim yöntemlerinin gerçek dünyadaki etkinliği üzerine bir çalışma yürüttüler. Eğitimli ve eğitimsiz kullanıcılar arasındaki başarısızlık oranlarındaki mutlak farkın çeşitli eğitim içeriği türlerinde küçük olduğunu bulmuşlardır.
Bununla birlikte, çalışma tek bir sağlık kuruluşunda yürütüldüğü ve sadece başarı veya başarısızlığın ölçüsü olarak tıklama oranlarına odaklandığı için bunu dikkatle almalıyız. Tam resmi yakalamıyor.
Google’ın güvenlik müdürü Matt Linton, kimlik avı testlerinin modası geçmiş olduğunu ve genellikle çalışanlar arasında güvenlik alışkanlıklarını geliştirmekten daha fazla hayal kırıklığına neden olduğunu söyledi.
Öte yandan, özellikle işe alım sırasında uyarlanabilir kimlik avı simülasyonları ve davranış temelli eğitim kullanan şirketler, yeni işe alımlar arasında kimlik avı riskinin% 30 oranında düştüğünü gördü.
Hiçbir eğitim mükemmel olmasa da, çalışanları kimlik avı tanımak için eğitmek iyi bir güvenlik stratejisinin önemli bir parçası olmaya devam etmektedir.
Gerçek şu ki, kimlik avı taktikleri her zaman gelişir. Birkaç ay önce alakalı hisseden bir simülasyon zaten modası geçmiş olabilir. Eğitim yeni tehditlere ayak uydurmazsa, çalışanlar orada olanlara hazır olmayabilir.
Bu yüzden kimlik avı simülasyonları daha büyük bir stratejinin parçası olduklarında en iyi şekilde çalışır. İK için bu, sürekli eğitim, iletişim ve şüpheli e -postaları bildirmenin güvende hissettiği bir işyeri kültürü oluşturmak anlamına gelir.
Kimlik avı simülasyonlarının dezavantajı
Çalışan Yorgunluğu
Kimlik avı simülasyonlarının tüm amacı, çalışanları gerçek tehditleri tespit etmek için eğitmektir. Ancak çalışanlar testlerden bıkırlarsa, gerçek kimlik avı girişimlerini fark etmeyi de bırakabilirler. Kuruluşların istediklerinin tam tersi budur.
Moral üzerindeki olumsuz etki
Birisi sahte bir kimlik avı e -postasını tıkladığında, genellikle utanmış veya suçlanmış hisseder. Bazen çalışanlar yönetimin onları cezalandıracağından veya iş arkadaşlarının onları yargılayacağından endişe ediyorlar. Bu olumsuz duygu, güvenlerini ve öğrenme istekliliğini azaltabilir.
İşareti kaçıran jenerik testler
Tüm kimlik avı testleri işarete çarpmadı. Bazı şirketler, çalışanların gördüğü gerçek tehditleri yansıtmayan genel, modası geçmiş örnekler kullanıyor. Bu olduğunda, insanlar onları ayarlama eğilimindedir.
Ekibiniz için kimlik avı eğitiminin çalışması için adımlar
Herhangi bir eğitim programının çalışması için önce kuruluşunuzun riskini anlamanız gerekir. En çok hangi çalışanlar risk altındadır? Kimlik avı hakkında zaten ne biliyorlar?
Ardından, mevcut tehditlerle eşleşen kimlik avı testleri oluşturmak için BT veya güvenlik ekiplerinizle yakın çalışın.
Çalışanlara ne bekleyeceklerini söyleyin. Bu testlerin neden önemli olduğunu ve problemleri durdurmaya nasıl yardımcı olduklarını açıklayın.
Suç oyunu oynamayın. Birisi bir test başarısız olursa, bunu cezalandırmak için öğrenme şansı olarak değerlendirin. Bunu yaptığınızda, çalışanların hataları gizleme veya kimlik avı e -postalarını bildirmekten kaçınma olasılığı daha düşüktür.
Bir satıcı seçerken içeriğe ve gerçekçi simülasyonlara odaklanın. Sistemin kullanımı kolay olmalı ve yararlı raporlar sunmalıdır.
Son olarak, çalışanlardan geri bildirim isteyin. Neyin işe yarayıp neyin işe yaramadığını öğrenin ve eğitimi zamanla daha iyi hale getirmek için öğrendiklerinizi kullanın.
“While traditional security awareness training is essential for establishing a shared foundation of knowledge across an organization, it’s important to recognize that employees will differ in both specific knowledge and reliability. As a first step, companies should use phishing simulation testing to establish a performance baseline for each employee. From there, organizations can offer more targeted training simulations tailored to each employee, based on their experience, knowledgeability, department, title, and so on,” said Eyal Benishti, CEO of Irognales.