اصول انجام آزمون فیشینگ برای کارکنان سازمان ها

عملیات شبیه‌سازی حملات فیشینگ یا همان آزمون فیشینگ در تمام طرح‌های آموزش امنیت سایبری سازمان‌های کوچک و بزرگ، محبوبیت زیادی کسب کرده است. جذابیت این طرح‌ها از این جهت است که به کارشناسان امنیت سایبری امکان می‌دهد ایمیل‌های فیشینگ شبیه‌سازی شده را به صورت انبوه طراحی و ارسال کنند. این ایمیل‌ها شبیه به ایمیل‌های فیشینگ مخرب و واقعی هستند که همواره سازمان‌ها را هدف می‌گیرند. در چنین ایمیل‌هایی از ترفندهای مختلف مثل اطلاعیه تحویل کالا، درخواست پرداخت فاکتور و همچنین خبرها و شایعات مربوط به چهره‌های شناخته شده استفاده می‌شود.

با انجام آزمون فیشینگ شما می‌توانید واکنش کارمندان به این ایمیل‌ها را تحت نظارت تیم امنیتی بررسی نموده و از نتایج کار برای ارزیابی سطح آگاهی امنیتی کارمندان سازمان استفاده کنید. بعضی از مواردی که باید آنها را مورد بررسی قرار دهید، شامل موارد زیر هستند:

این اطلاعات بدست آمده از آزمون فیشینگ می‌توانند به بخش امنیت سایبری کمک کنند تا آموزش‌های امنیتی شان را به صورت کارآمدتری تنظیم نموده و نقاط ضعفی که نیازمند مقابله بهتر هستند، شناسایی کنند.

 

پرسش‌های مطرح درباره آزمون های فیشینگ

با توجه به آنچه که در بالا گفته شد، یکسری از رخدادهای خاص امنیتی منجر به ایجاد پرسش‌های مهمی درباره شیوه‌های اجرای آزمون فیشینگ شده‌اند. به عنوان مثال، یک شرکت راه آهن در میدلندز غربی[1] انگلستان به دلیل موضوع مورد استفاده در آزمون فیشینگی که برای کارمندانش اجرا کرد، مورد انتقادهای شدیدی قرار گرفت.

در ایمیلی که به نظر می‌رسید از سمت بخش امور مالی و حسابداری این شرکت راه آهن ارسال شده، به کارمندان اعلام شده بود به دلیل همکاری‌هایی که در دوره شیوع بیماری کرونا داشته‌اند، مشمول دریافت پاداش شده‌اند و برای اطلاع از جزئیات نحوه دریافت آن، بر روی یک لینک مایکروسافت آفیس 365 کلیک کنند. این لینک آنها را به سمت وب سایت فیشینگ شبیه‌سازی شده‌ای هدایت می‌کرد. کارمندانی که بر روی این لینک کلیک می‌کردند یک ایمیل از تیم منابع انسانی شرکت دریافت می‌نمودند که در آن درباره چنین حملاتی و ضرورت خودداری از ورود اعتبارنامه‌های دیجیتال (نام کاربری و کلمه عبور) در این سایت‌ها هشدار داده شده بود.

 

آزمون فیشینگ اخلاقی

وعده پرداخت پول یکی از روش‌های پرکاربرد و کارآمد مورد استفاده مجرمان سایبری برای فریب قربانیان است اما استفاده از چنین رویکردی در یک آزمون فیشینگ، منجر به ایجاد پرسش‌هایی درباره آنچه در این آزمون ها اخلاقی محسوب می‌شود یا خیر شده است. همچنین برای اطمینان از اینکه آزمون فیشینگ یک ابزار آموزش کارآمد، مفید و مؤثر هم برای سازمان و هم برای کارمندان است و ضرر آن بیشتر از سود آن نیست، چه معیارهایی را باید در نظر گرفت؟

دکتر Jessica Barker مؤسس، مدیرعامل و مدیر امور اجتماعی فنی شرکت Cygenta در این خصوص می‌گوید: «سازمان‌ها باید برای آزمون فیشینگ، در محدوده‌های تعیین شده عمل کنند چون احتمال ایجاد آسیب‌های چشمگیر در هنگام شبیه‌سازی عملیات حملات فیشینگ وجود دارد. استفاده از طعمه‌های احساسی مثل وعده پاداش و مراقبت‌های بهداشتی به خصوص در پرتوی شیوع بیماری کرونا نقش مهمی در تخریب سلامت احساسی دریافت‌کنندگان ایمیل دارد که این موضوع به نوبه خود می‌تواند بر امنیت، اعتماد و فرهنگ درون محیط کار تأثیرگذار باشد».

این شرایط می‌تواند منجر به تحلیل تلاش‌های تیم امنیت سایبری شده و باعث فاصله گرفتن کارمندان از آنها شود. بنابر گفته Barker: «مردم معمولاً علاقه‌ای ندارند که فریب داده شوند و به اشخاصی که آنها را فریب می‌دهند عموماً دیگر اعتماد ندارند. یکی از استدلال‌های تیم‌های امنیتی سازمان‌ها این است که وقتی مجرمان در حملات فیشینگ از طعمه‌های احساسی استفاده می‌کنند، چرا ما این کار را نکنیم؟ بله، مجرمان سایبری هم باعث ایجاد آسیب فیزیکی، از دسترس خارج شدن سیستم‌ها و ایجاد اختلال در سرویس‌ها می‌شوند اما مهندسان اجتماعی فیزیکی و آزمون نفوذ خیر! چون ابزارهای شبیه سازی نباید منجر به ایجاد آسیب‌های فعال و واقعی شوند».

سازمان‌ها باید قالب ایمیل‌های فیشینگ را با دقت انتخاب کرده و از به کار بردن موضوع هایی که منجر به ناراحتی کارمندان می‌شوند جداً خودداری کنند. دکتر John Blythe مدیر علوم رفتاری شرکت CybSafe هم با این دیدگاه موافق است.

Rick Jones مدیرعامل شرکت DigitalXRAID می‌گوید: «حتی بعضی از گروه‌های مجرم مثل REvil به دنبال پیاده‌سازی استانداردهای خاصی هستند. مثلاً این گروه در حال حاضر افراد را از به کار بردن باج‌افزارهای خودش بر ضد دولت‌ها، مراکز آموزشی، بیمارستان‌ها و بخش عمومی منع می‌کند. DarkSide هم اخیراً گفته که با حمله “Colonial Pipeline” قصد ایجاد اختلال سیاسی، اقتصادی یا اجتماعی را نداشته بلکه این کار را فقط با هدف دسترسی به منافع مالی انجام داده است. اشخاصی که شبیه‌سازی‌های فیشینگ را اجرا می‌کنند، مهارت‌هایی مشابه با مجرمانی دارند که حملات واقعی را اجرا می‌نمایند ولی استانداردها و اخلاقیاتی وجود دارد که نباید آنها را زیرپا گذاشت».

هدف از آزمون فیشینگ در سازمان‌ها

هدف از انجام آزمون فیشینگ را درک کنید.

برای اجرای شبیه‌سازی‌های فیشینگی که اخلاقی و کارآمد باشند، در گام اول باید هدف از اجرای آزمون فیشینگ را درک کنید. Barker می‌گوید: «نکته کلیدی که برای مرحله طراحی شبیه‌سازی‌های فیشینگ توصیه می‌کنم این است که دلیل اجرای آزمون ها را در نظر بگیرید. اگر شبیه‌سازی فیشینگ را یک تمرین تصادفی و بی‌پایه و اساس می دانید توصیه می‌کنم که یک مرحله به عقب برگشته و بر روی این موضوع فکر کنید؛ چون چنین کاری آموزش نیست بلکه فریب است. اگر این آزمون ها را نوعی آموزش در نظر می‌گیرید، به این فکر کنید که به دنبال آموزش چه رفتاری هستید؟».

سازمان‌ها باید به این نکته توجه داشته باشند که هدف از اجرای سناریوهای آزمون، ایجاد یک درک کلی درباره ایمیل‌های فیشینگ است و اینکه کاربران بتوانند توانایی‌شان را برای تشخیص حملات فیشینگ محک بزنند. دکتر Barker معتقد است که: «هنوز هم تمرکز اصلی بسیاری از شبیه‌سازی‌های فیشینگ، کاهش میزان کلیک است. افراد همیشه بر روی لینک‌ها کلیک می‌کنند به خصوص در ایمیل‌های فیشینگی که طراحی باکیفیتی نیز داشته باشند. برای کارآمدتر شدن هر چه بیشتر آزمون ها نباید تمرکز اصلی، کاهش میزان کلیک باشد بلکه باید افزایش تعداد گزارش ها باشد. در نهایت، هدف اصلی اجرای شبیه‌سازی فیشینگ، درک شرایط سازمان و احترام گذاشتن به آن است».

ایجاد اعتماد از طریق برقراری ارتباط

Blythe، شفافیت را عنصر مهم بعدی آزمون فیشینگ می داند. او می‌گوید: «سازمان‌ها باید با کارمندان‌شان برخوردی شفاف داشته باشند و به آنها اطلاع دهند قرار است یک حمله فیشینگ شبیه‌سازی شده اجرا کنند و بر اینکه این حمله به عنوان یک ابزار آموزشی طراحی شده است تأکید کنند. بدون ایجاد اعتماد، ممکن است کارمندان دلخور شده و احساس کنند تحت نظارت هستند یا اینکه سازمان به دنبال گیر انداختن آنها است».

از نظر Jones هم چنین رویکرد شفافی جذاب است. او می‌گوید: «کاربران باید به تدریج با ایده فیشینگ آشنا شوند. به آنها آموزش دهید که در حملات فیشینگ به دنبال چه علائمی بوده و چگونه به آنها واکنش نشان دهند. فرهنگ ارتباطی که بر مبنای این فرایند ایجاد می‌شود، همان چیزی است که باید به دنبال آن باشید».

 

ارایه بازخوردهای مثبت

ارایه بازخوردهای مثبت نقش مهمی در اثربخشی آزمون فیشینگ داشته و بر دیدگاه کاربران نسبت به اخلاقی بودن یا نبودن رویکرد سازمان هم تأثیرگذار است. مثلاً تیم‌های امنیتی باید به جای سرزنش یا تنبیه کارمندانی که در آزمون فیشینگ شکست می‌خورند و ممکن است باعث ایجاد حس منفی، تحقیر و ناامیدی در آنها شود، تمرکزشان را معطوف بر تشویق رفتارها و واکنش‌هایی کنند که به دنبال تقویت و ترویج آنها هستند. بر اساس گفته های Barker: «این رویکرد مثبت تأثیر بسیار بیشتری داشته و منجر به جلب مشارکت مؤثر افراد می‌شود».

Gary Warner مدیر اطلاعات شرکت DarkTower هم توصیه مشابهی را مطرح می‌کند و با اشاره به یکی از تجربیات خودش، شرکت‌ها را تشویق به استفاده از سیاست هویج به جای چماق می‌نماید. او می‌گوید: «من به رئیسم گفتم که می‌توانم با صد دلار میزان گزارش ایمیل‌های مشکوک را افزایش دهم. سپس جدیدترین گزارشی را که داشتیم دریافت نموده و یک تحلیل کامل بر روی آن انجام دادم. در نهایت یک ایمیل با متن زیر در سطح کل سازمان ارسال کردم:

“جو در مرکز پشتیبانی یک ایمیل مشکوک دریافت کرده که اسکرین شات آن را در ادامه مشاهده می‌کنید. جو در جریان هست که باید چه کاری انجام دهد. او این ایمیل را به آدرس phishing@myoldjob.com ارسال می‌کند. اگر به جای این کار بر روی لینک ارسال شده کلیک می‌کرد، رایانه‌اش را با ویروس X آلوده می‌کرد که این آلودگی منجر به سرقت اطلاعات ما و ارسال آن برای کشورهای بیگانه می‌شد! برای تشکر از این اقدام جو، ما او را با یک همراه، به یک ناهار در رستوران دعوت کردیم. از اینکه از سازمان محافظت کردی، متشکرم جو!

آیا شما تا به حال چنین ایمیل‌های مشکوکی را دریافت کرده‌اید؟ در این صورت لطفاً این ایمیل‌ها را به آدرس phishing@myoldjob.com ارسال کنید. شاید با این اقدام بتوانید از سازمان در برابر یک حمله سایبری حفاظت کرده و خودتان هم برنده جایزه شوید».

پس از این اقدام، میزان گزارش ایمیل های فیشینگ هزار درصد افزایش یافت و هزینه این طرح و پاداش آن تنها صد دلار در ماه بود!».

اگرچه ممکن است عده‌ای ترفند مورد استفاده توسط Garner را به شبیه‌سازی فیشینگ شرکت WMT شباهت دهند اما روش کلی مورد استفاده او کاملاً متفاوت بود چون Garner این کار را به صورت واضح، آموزنده و بدون استفاده از شیوه بیان احساسی و تشویق کاربر به اقدام فوری انجام داده بود (علاوه بر این، Garner واقعاً به کارمندان پاداش می‌داد برخلاف شرکت WMT که کاملاً از یک وعده غیرواقعی استفاده کرد). این نمونه‌ بارزی از چگونگی استفاده از رویکرد مثبت برای تشویق کاربران به پرورش عادت‌های رفتاری مثبت امنیتی است.

 

تبدیل شکست‌های فیشینگی به پیروزی‌های امنیتی

پس از جمع‌آوری اطلاعات از فرایند شبیه‌سازی آزمون فیشینگ، کارهایی که توسط تیم امنیتی در مراحل بعدی انجام می‌شوند هم اهمیت بسیار زیادی دارند. تمرکز تیم امنیت نباید فقط کاربران باشد بلکه باید به این فکر کنند کل سازمان چگونه می‌تواند از نتایج شبیه‌سازی‌ها منفعت ببرد.

Jones می‌گوید: «شاید این شعار، کلیشه ای باشد ولی در حوزه امنیت سایبری، داده‌ها پادشاه هستند. همه چیز از داده‌های فنی گرفته تا گزارش‌های امنیتی و اطلاعات کاربران، همگی دانشی مهم و حیاتی را فراهم می‌کنند. کارمندان اولین خط دفاعی یک سازمان هستند بنابراین تصمیم‌گیران باید از مخاطرات ایجاد شده توسط آنها آگاه باشند به خصوص با توجه به اینکه اجرای یک حمله فیشینگ موفق می‌تواند باعث دور زدن تمام ابزارهای امنیتی توسط یک بدافزار شود».

با این حال برای جلب مشارکت اشخاصی که در فرایند آزمون شکست خورده‌اند، تشویق و آموزش امنیتی اهمیت بسیار زیادی دارد. Blythe می‌گوید: «وقتی افراد بر روی یک ایمیل فیشینگ شبیه‌سازی شده کلیک می‌کنند باید بازخوردی مفید و به موقع دریافت نمایند. این بازخورد باید مختصر و جذب کننده باشد نه یک تنبیه یا توضیح طولانی. در مجموع، رویکرد ما برای کاهش مخاطره سایبری عامل انسانی باید بیشتر مبتنی بر همراهی و همدلی باشد. در طولانی مدت احتمال موفقیت رویکرد درک و همراهی کارمندان برای کمک به تغییر رفتارشان، در مقایسه با سرزنش و تحقیر آنها بیشتر است».

Jones همچنین گفته: «می‌توان از داده‌های به دست آمده از شبیه‌سازی‌های فیشینگ هنگام برقراری ارتباط با مقامات دولتی هم استفاده کرد. به این ترتیب کسب‌وکارها می‌توانند اثبات کنند از تهدیدات داخلی مطلع بوده و اقدام های لازم را برای مقابله با آنها انجام می‌دهند. آشکارسازی سطح مخاطره ای که کارمندان برای سازمان ایجاد می‌کنند و ارایه شواهد کافی مبنی بر ایجاد تغییر مثبت از طریق برقراری ارتباط و تشویق، یکی از نتایج حیاتی و مهم این شبیه‌سازی‌ها است».

 

استفاده از ابزارهای مناسب در زمان مناسب

آخرین نکته مهمی که سازمان‌ها باید به آن توجه داشته باشند این است که آیا آزمون فیشینگ در زمان مناسب انجام می‌شود یا خیر؟ Barker در این خصوص می‌گوید: «در بعضی از موارد، اجرای شبیه‌سازی‌های فیشینگ هیچ فایده‌ای ندارد. مثلاً وقتی کاربران از امنیت سایبری می‌ترسند. آزمون فیشینگ تنها یک ابزار هستند و مثل هر ابزاری باید از آنها هم به روشی درست و در زمانی مناسب استفاده کرد».

یکی از جنبه‌های این اقدام، استفاده از آزمون فیشینگ ساده‌تر به عنوان مقدمه‌ای برای آشنایی با روش‌های خطرناک‌تر مورد استفاده توسط مجرمان واقعی است. Jones می‌گوید: «برای اطمینان از اینکه کارمندان از خطر واقعی آگاه هستند می‌توان یک بحث سازنده درباره روش‌های مورد استفاده مجرمان سایبری راه انداخت بدون اینکه در شبیه‌سازی، کارمندان را در معرض چنین آزمون هایی قرار دهیم».

در هر صورت، بسیار مهم است که اجرای حملات فیشینگ شبیه‌سازی شده جزو راهبرد کلی سازمان شما برای بهبود رفتار کارمندان به مرور زمان باشد. بنابر گفته Blythe: «لازم به ذکر است اگر هدف نهایی شما کاهش تعداد کارمندانی است که قربانی حملات فیشینگ می‌شوند، رفتارهای دیگری هم هستند که باید به آنها بپردازید».

در نهایت اگر هدف آزمون فیشینگ استفاده از همه ابزارهای لازم برای فریب کارمندان به کلیک کردن است تا به نوعی آنها را غافل و خطاکار جلوه دهیم، به احتمال زیاد چنین رویکردی نه تنها برای آگاهی دادن به کاربران درباره حملات فیشینگ شکست می‌خورد بلکه باعث از بین رفتن روحیه و انگیزه آنها نیز خواهد شد. در مقابل، اگر روش مورد استفاده شما اخلاقی و همدلانه بوده و همراه با تعامل سازنده و بازخورد مثبت باشد که به کارمندان درباره مخاطره واقعی حملات فیشینگ ایمیلی آموزش داده و به مرور آنها را به رفتار امن‌تر تشویق می‌کند، در این صورت آزمون فیشینگ می‌تواند یک ابزار کارآمد به سمت ایجاد آگاهی امنیتی در سازمان باشد.

 

[1] West Midlands Trains

 

منبع: csoonline

خروج از نسخه موبایل