اصول انجام آزمون فیشینگ برای کارکنان سازمان ها
عملیات شبیهسازی حملات فیشینگ یا همان آزمون فیشینگ در تمام طرحهای آموزش امنیت سایبری سازمانهای کوچک و بزرگ، محبوبیت زیادی کسب کرده است. جذابیت این طرحها از این جهت است که به کارشناسان امنیت سایبری امکان میدهد ایمیلهای فیشینگ شبیهسازی شده را به صورت انبوه طراحی و ارسال کنند. این ایمیلها شبیه به ایمیلهای فیشینگ مخرب و واقعی هستند که همواره سازمانها را هدف میگیرند. در چنین ایمیلهایی از ترفندهای مختلف مثل اطلاعیه تحویل کالا، درخواست پرداخت فاکتور و همچنین خبرها و شایعات مربوط به چهرههای شناخته شده استفاده میشود.
با انجام آزمون فیشینگ شما میتوانید واکنش کارمندان به این ایمیلها را تحت نظارت تیم امنیتی بررسی نموده و از نتایج کار برای ارزیابی سطح آگاهی امنیتی کارمندان سازمان استفاده کنید. بعضی از مواردی که باید آنها را مورد بررسی قرار دهید، شامل موارد زیر هستند:
- کارمندان چه تعداد از فایلهای پیوست را باز نموده و بر روی چند لینک کلیک کردهاند؟
- چه تعداد ایمیل به عنوان ایمیل مشکوک، علامت گذاری شده و کارمندان آنها را نادیده گرفتهاند؟
- چه ترفندهایی نسبت به بقیه موفقیت بیشتری برای فریب کارمندان داشتهاند؟
- آیا بخشها یا کاربران خاصی وجود دارند که احتمال فریب خوردن آنها بیشتر باشد؟
این اطلاعات بدست آمده از آزمون فیشینگ میتوانند به بخش امنیت سایبری کمک کنند تا آموزشهای امنیتی شان را به صورت کارآمدتری تنظیم نموده و نقاط ضعفی که نیازمند مقابله بهتر هستند، شناسایی کنند.
پرسشهای مطرح درباره آزمون های فیشینگ
با توجه به آنچه که در بالا گفته شد، یکسری از رخدادهای خاص امنیتی منجر به ایجاد پرسشهای مهمی درباره شیوههای اجرای آزمون فیشینگ شدهاند. به عنوان مثال، یک شرکت راه آهن در میدلندز غربی[1] انگلستان به دلیل موضوع مورد استفاده در آزمون فیشینگی که برای کارمندانش اجرا کرد، مورد انتقادهای شدیدی قرار گرفت.
در ایمیلی که به نظر میرسید از سمت بخش امور مالی و حسابداری این شرکت راه آهن ارسال شده، به کارمندان اعلام شده بود به دلیل همکاریهایی که در دوره شیوع بیماری کرونا داشتهاند، مشمول دریافت پاداش شدهاند و برای اطلاع از جزئیات نحوه دریافت آن، بر روی یک لینک مایکروسافت آفیس 365 کلیک کنند. این لینک آنها را به سمت وب سایت فیشینگ شبیهسازی شدهای هدایت میکرد. کارمندانی که بر روی این لینک کلیک میکردند یک ایمیل از تیم منابع انسانی شرکت دریافت مینمودند که در آن درباره چنین حملاتی و ضرورت خودداری از ورود اعتبارنامههای دیجیتال (نام کاربری و کلمه عبور) در این سایتها هشدار داده شده بود.
آزمون فیشینگ اخلاقی
وعده پرداخت پول یکی از روشهای پرکاربرد و کارآمد مورد استفاده مجرمان سایبری برای فریب قربانیان است اما استفاده از چنین رویکردی در یک آزمون فیشینگ، منجر به ایجاد پرسشهایی درباره آنچه در این آزمون ها اخلاقی محسوب میشود یا خیر شده است. همچنین برای اطمینان از اینکه آزمون فیشینگ یک ابزار آموزش کارآمد، مفید و مؤثر هم برای سازمان و هم برای کارمندان است و ضرر آن بیشتر از سود آن نیست، چه معیارهایی را باید در نظر گرفت؟
دکتر Jessica Barker مؤسس، مدیرعامل و مدیر امور اجتماعی فنی شرکت Cygenta در این خصوص میگوید: «سازمانها باید برای آزمون فیشینگ، در محدودههای تعیین شده عمل کنند چون احتمال ایجاد آسیبهای چشمگیر در هنگام شبیهسازی عملیات حملات فیشینگ وجود دارد. استفاده از طعمههای احساسی مثل وعده پاداش و مراقبتهای بهداشتی به خصوص در پرتوی شیوع بیماری کرونا نقش مهمی در تخریب سلامت احساسی دریافتکنندگان ایمیل دارد که این موضوع به نوبه خود میتواند بر امنیت، اعتماد و فرهنگ درون محیط کار تأثیرگذار باشد».
این شرایط میتواند منجر به تحلیل تلاشهای تیم امنیت سایبری شده و باعث فاصله گرفتن کارمندان از آنها شود. بنابر گفته Barker: «مردم معمولاً علاقهای ندارند که فریب داده شوند و به اشخاصی که آنها را فریب میدهند عموماً دیگر اعتماد ندارند. یکی از استدلالهای تیمهای امنیتی سازمانها این است که وقتی مجرمان در حملات فیشینگ از طعمههای احساسی استفاده میکنند، چرا ما این کار را نکنیم؟ بله، مجرمان سایبری هم باعث ایجاد آسیب فیزیکی، از دسترس خارج شدن سیستمها و ایجاد اختلال در سرویسها میشوند اما مهندسان اجتماعی فیزیکی و آزمون نفوذ خیر! چون ابزارهای شبیه سازی نباید منجر به ایجاد آسیبهای فعال و واقعی شوند».
سازمانها باید قالب ایمیلهای فیشینگ را با دقت انتخاب کرده و از به کار بردن موضوع هایی که منجر به ناراحتی کارمندان میشوند جداً خودداری کنند. دکتر John Blythe مدیر علوم رفتاری شرکت CybSafe هم با این دیدگاه موافق است.
Rick Jones مدیرعامل شرکت DigitalXRAID میگوید: «حتی بعضی از گروههای مجرم مثل REvil به دنبال پیادهسازی استانداردهای خاصی هستند. مثلاً این گروه در حال حاضر افراد را از به کار بردن باجافزارهای خودش بر ضد دولتها، مراکز آموزشی، بیمارستانها و بخش عمومی منع میکند. DarkSide هم اخیراً گفته که با حمله “Colonial Pipeline” قصد ایجاد اختلال سیاسی، اقتصادی یا اجتماعی را نداشته بلکه این کار را فقط با هدف دسترسی به منافع مالی انجام داده است. اشخاصی که شبیهسازیهای فیشینگ را اجرا میکنند، مهارتهایی مشابه با مجرمانی دارند که حملات واقعی را اجرا مینمایند ولی استانداردها و اخلاقیاتی وجود دارد که نباید آنها را زیرپا گذاشت».
هدف از انجام آزمون فیشینگ را درک کنید.
برای اجرای شبیهسازیهای فیشینگی که اخلاقی و کارآمد باشند، در گام اول باید هدف از اجرای آزمون فیشینگ را درک کنید. Barker میگوید: «نکته کلیدی که برای مرحله طراحی شبیهسازیهای فیشینگ توصیه میکنم این است که دلیل اجرای آزمون ها را در نظر بگیرید. اگر شبیهسازی فیشینگ را یک تمرین تصادفی و بیپایه و اساس می دانید توصیه میکنم که یک مرحله به عقب برگشته و بر روی این موضوع فکر کنید؛ چون چنین کاری آموزش نیست بلکه فریب است. اگر این آزمون ها را نوعی آموزش در نظر میگیرید، به این فکر کنید که به دنبال آموزش چه رفتاری هستید؟».
سازمانها باید به این نکته توجه داشته باشند که هدف از اجرای سناریوهای آزمون، ایجاد یک درک کلی درباره ایمیلهای فیشینگ است و اینکه کاربران بتوانند تواناییشان را برای تشخیص حملات فیشینگ محک بزنند. دکتر Barker معتقد است که: «هنوز هم تمرکز اصلی بسیاری از شبیهسازیهای فیشینگ، کاهش میزان کلیک است. افراد همیشه بر روی لینکها کلیک میکنند به خصوص در ایمیلهای فیشینگی که طراحی باکیفیتی نیز داشته باشند. برای کارآمدتر شدن هر چه بیشتر آزمون ها نباید تمرکز اصلی، کاهش میزان کلیک باشد بلکه باید افزایش تعداد گزارش ها باشد. در نهایت، هدف اصلی اجرای شبیهسازی فیشینگ، درک شرایط سازمان و احترام گذاشتن به آن است».
ایجاد اعتماد از طریق برقراری ارتباط
Blythe، شفافیت را عنصر مهم بعدی آزمون فیشینگ می داند. او میگوید: «سازمانها باید با کارمندانشان برخوردی شفاف داشته باشند و به آنها اطلاع دهند قرار است یک حمله فیشینگ شبیهسازی شده اجرا کنند و بر اینکه این حمله به عنوان یک ابزار آموزشی طراحی شده است تأکید کنند. بدون ایجاد اعتماد، ممکن است کارمندان دلخور شده و احساس کنند تحت نظارت هستند یا اینکه سازمان به دنبال گیر انداختن آنها است».
از نظر Jones هم چنین رویکرد شفافی جذاب است. او میگوید: «کاربران باید به تدریج با ایده فیشینگ آشنا شوند. به آنها آموزش دهید که در حملات فیشینگ به دنبال چه علائمی بوده و چگونه به آنها واکنش نشان دهند. فرهنگ ارتباطی که بر مبنای این فرایند ایجاد میشود، همان چیزی است که باید به دنبال آن باشید».
ارایه بازخوردهای مثبت
ارایه بازخوردهای مثبت نقش مهمی در اثربخشی آزمون فیشینگ داشته و بر دیدگاه کاربران نسبت به اخلاقی بودن یا نبودن رویکرد سازمان هم تأثیرگذار است. مثلاً تیمهای امنیتی باید به جای سرزنش یا تنبیه کارمندانی که در آزمون فیشینگ شکست میخورند و ممکن است باعث ایجاد حس منفی، تحقیر و ناامیدی در آنها شود، تمرکزشان را معطوف بر تشویق رفتارها و واکنشهایی کنند که به دنبال تقویت و ترویج آنها هستند. بر اساس گفته های Barker: «این رویکرد مثبت تأثیر بسیار بیشتری داشته و منجر به جلب مشارکت مؤثر افراد میشود».
Gary Warner مدیر اطلاعات شرکت DarkTower هم توصیه مشابهی را مطرح میکند و با اشاره به یکی از تجربیات خودش، شرکتها را تشویق به استفاده از سیاست هویج به جای چماق مینماید. او میگوید: «من به رئیسم گفتم که میتوانم با صد دلار میزان گزارش ایمیلهای مشکوک را افزایش دهم. سپس جدیدترین گزارشی را که داشتیم دریافت نموده و یک تحلیل کامل بر روی آن انجام دادم. در نهایت یک ایمیل با متن زیر در سطح کل سازمان ارسال کردم:
“جو در مرکز پشتیبانی یک ایمیل مشکوک دریافت کرده که اسکرین شات آن را در ادامه مشاهده میکنید. جو در جریان هست که باید چه کاری انجام دهد. او این ایمیل را به آدرس phishing@myoldjob.com ارسال میکند. اگر به جای این کار بر روی لینک ارسال شده کلیک میکرد، رایانهاش را با ویروس X آلوده میکرد که این آلودگی منجر به سرقت اطلاعات ما و ارسال آن برای کشورهای بیگانه میشد! برای تشکر از این اقدام جو، ما او را با یک همراه، به یک ناهار در رستوران دعوت کردیم. از اینکه از سازمان محافظت کردی، متشکرم جو!
آیا شما تا به حال چنین ایمیلهای مشکوکی را دریافت کردهاید؟ در این صورت لطفاً این ایمیلها را به آدرس phishing@myoldjob.com ارسال کنید. شاید با این اقدام بتوانید از سازمان در برابر یک حمله سایبری حفاظت کرده و خودتان هم برنده جایزه شوید».
پس از این اقدام، میزان گزارش ایمیل های فیشینگ هزار درصد افزایش یافت و هزینه این طرح و پاداش آن تنها صد دلار در ماه بود!».
اگرچه ممکن است عدهای ترفند مورد استفاده توسط Garner را به شبیهسازی فیشینگ شرکت WMT شباهت دهند اما روش کلی مورد استفاده او کاملاً متفاوت بود چون Garner این کار را به صورت واضح، آموزنده و بدون استفاده از شیوه بیان احساسی و تشویق کاربر به اقدام فوری انجام داده بود (علاوه بر این، Garner واقعاً به کارمندان پاداش میداد برخلاف شرکت WMT که کاملاً از یک وعده غیرواقعی استفاده کرد). این نمونه بارزی از چگونگی استفاده از رویکرد مثبت برای تشویق کاربران به پرورش عادتهای رفتاری مثبت امنیتی است.
تبدیل شکستهای فیشینگی به پیروزیهای امنیتی
پس از جمعآوری اطلاعات از فرایند شبیهسازی آزمون فیشینگ، کارهایی که توسط تیم امنیتی در مراحل بعدی انجام میشوند هم اهمیت بسیار زیادی دارند. تمرکز تیم امنیت نباید فقط کاربران باشد بلکه باید به این فکر کنند کل سازمان چگونه میتواند از نتایج شبیهسازیها منفعت ببرد.
Jones میگوید: «شاید این شعار، کلیشه ای باشد ولی در حوزه امنیت سایبری، دادهها پادشاه هستند. همه چیز از دادههای فنی گرفته تا گزارشهای امنیتی و اطلاعات کاربران، همگی دانشی مهم و حیاتی را فراهم میکنند. کارمندان اولین خط دفاعی یک سازمان هستند بنابراین تصمیمگیران باید از مخاطرات ایجاد شده توسط آنها آگاه باشند به خصوص با توجه به اینکه اجرای یک حمله فیشینگ موفق میتواند باعث دور زدن تمام ابزارهای امنیتی توسط یک بدافزار شود».
با این حال برای جلب مشارکت اشخاصی که در فرایند آزمون شکست خوردهاند، تشویق و آموزش امنیتی اهمیت بسیار زیادی دارد. Blythe میگوید: «وقتی افراد بر روی یک ایمیل فیشینگ شبیهسازی شده کلیک میکنند باید بازخوردی مفید و به موقع دریافت نمایند. این بازخورد باید مختصر و جذب کننده باشد نه یک تنبیه یا توضیح طولانی. در مجموع، رویکرد ما برای کاهش مخاطره سایبری عامل انسانی باید بیشتر مبتنی بر همراهی و همدلی باشد. در طولانی مدت احتمال موفقیت رویکرد درک و همراهی کارمندان برای کمک به تغییر رفتارشان، در مقایسه با سرزنش و تحقیر آنها بیشتر است».
Jones همچنین گفته: «میتوان از دادههای به دست آمده از شبیهسازیهای فیشینگ هنگام برقراری ارتباط با مقامات دولتی هم استفاده کرد. به این ترتیب کسبوکارها میتوانند اثبات کنند از تهدیدات داخلی مطلع بوده و اقدام های لازم را برای مقابله با آنها انجام میدهند. آشکارسازی سطح مخاطره ای که کارمندان برای سازمان ایجاد میکنند و ارایه شواهد کافی مبنی بر ایجاد تغییر مثبت از طریق برقراری ارتباط و تشویق، یکی از نتایج حیاتی و مهم این شبیهسازیها است».
استفاده از ابزارهای مناسب در زمان مناسب
آخرین نکته مهمی که سازمانها باید به آن توجه داشته باشند این است که آیا آزمون فیشینگ در زمان مناسب انجام میشود یا خیر؟ Barker در این خصوص میگوید: «در بعضی از موارد، اجرای شبیهسازیهای فیشینگ هیچ فایدهای ندارد. مثلاً وقتی کاربران از امنیت سایبری میترسند. آزمون فیشینگ تنها یک ابزار هستند و مثل هر ابزاری باید از آنها هم به روشی درست و در زمانی مناسب استفاده کرد».
یکی از جنبههای این اقدام، استفاده از آزمون فیشینگ سادهتر به عنوان مقدمهای برای آشنایی با روشهای خطرناکتر مورد استفاده توسط مجرمان واقعی است. Jones میگوید: «برای اطمینان از اینکه کارمندان از خطر واقعی آگاه هستند میتوان یک بحث سازنده درباره روشهای مورد استفاده مجرمان سایبری راه انداخت بدون اینکه در شبیهسازی، کارمندان را در معرض چنین آزمون هایی قرار دهیم».
در هر صورت، بسیار مهم است که اجرای حملات فیشینگ شبیهسازی شده جزو راهبرد کلی سازمان شما برای بهبود رفتار کارمندان به مرور زمان باشد. بنابر گفته Blythe: «لازم به ذکر است اگر هدف نهایی شما کاهش تعداد کارمندانی است که قربانی حملات فیشینگ میشوند، رفتارهای دیگری هم هستند که باید به آنها بپردازید».
در نهایت اگر هدف آزمون فیشینگ استفاده از همه ابزارهای لازم برای فریب کارمندان به کلیک کردن است تا به نوعی آنها را غافل و خطاکار جلوه دهیم، به احتمال زیاد چنین رویکردی نه تنها برای آگاهی دادن به کاربران درباره حملات فیشینگ شکست میخورد بلکه باعث از بین رفتن روحیه و انگیزه آنها نیز خواهد شد. در مقابل، اگر روش مورد استفاده شما اخلاقی و همدلانه بوده و همراه با تعامل سازنده و بازخورد مثبت باشد که به کارمندان درباره مخاطره واقعی حملات فیشینگ ایمیلی آموزش داده و به مرور آنها را به رفتار امنتر تشویق میکند، در این صورت آزمون فیشینگ میتواند یک ابزار کارآمد به سمت ایجاد آگاهی امنیتی در سازمان باشد.
[1] West Midlands Trains
منبع: csoonline