الهندسة الاجتماعية والتصيد الاحتيالي: لماذا أكبر المخاطر الأمنية التي تواجهك هي الإنسان وكيفية إصلاحها

لماذا يفشل الوعي الأمني ​​التقليدي؟

تنظر معظم المؤسسات إلى الوعي الأمني ​​باعتباره مربع اختيار للامتثال: وحدة تدريب سنوية عبر الإنترنت ينقر عليها الموظفون في أسرع وقت ممكن. هذا النهج يفشل لعدة أسباب.

انها ليست لا تنسى. التدريب العام والنظري بشكل كبير لا يخلق تغييرًا دائمًا في السلوك. ينسى الناس المحتوى في غضون أسابيع قليلة.

انها ليست ذات صلة. لا يعالج التدريب الموحد الذي يناسب الجميع التهديدات المحددة التي تواجهها الأدوار المختلفة. يواجه عضو الفريق المالي أساليب هندسة اجتماعية مختلفة عن تلك التي يواجهها المطور أو المدير التنفيذي.

لا يتم قياسه. تتبع معظم البرامج معدلات الإنجاز، وليس تغيرات السلوك. معدلات الإنجاز المرتفعة تخلق شعوراً زائفاً بالأمان.

انها ليست مستمرة. التدريب السنوي لا يواكب تطور التكتيكات. يتكيف المهاجمون باستمرار؛ الدفاعات يجب أن تفعل ذلك أيضا.

بناء برنامج أمني محوره الإنسان

عمليات محاكاة التصيد الاحتيالي – تعمل عمليات محاكاة التصيد الاحتيالي المنتظمة والواقعية على اختبار مدى انتباه الموظفين وقياس نقاط ضعفهم بمرور الوقت. يجب أن تعكس عمليات المحاكاة تكتيكات العالم الحقيقي - بدءًا من التصيد الاحتيالي الجماعي العام وحتى التصيد الاحتيالي المستهدف المصمم خصيصًا لأدوار وأقسام محددة. يجب استخدام النتائج لأغراض التدريب والتحسين، وليس للعقاب أبدًا.

التدريب القائم على الأدوار - تواجه الأدوار المختلفة تهديدات مختلفة. تحتاج فرق الشؤون المالية إلى التدريب على الاحتيال في الفواتير وتسوية البريد الإلكتروني التجاري. يجب أن يكون القادة على دراية بصيد الحيتان وانتحال شخصية الرئيس التنفيذي. تحتاج فرق تكنولوجيا المعلومات إلى التدريب على التبرير والتعرف على الهندسة الاجتماعية. يحتاج المطورون إلى معرفة تشفير آمنة. يعمل المحتوى المخصص والمخصص للأدوار على تحسين التفاعل والاحتفاظ بشكل كبير.

التعلم المصغر — تعتبر وحدات التعلم القصيرة والمتكررة (5-10 دقائق) التي يتم تقديمها بانتظام أكثر فعالية بكثير من جلسات الماراثون السنوية. يمكن أن تركز كل وحدة على تكتيك أو تقنية أو سيناريو محدد، مما يحافظ على المحتوى متجددًا وسهل الفهم.

التعزيز الإيجابي - كافئ سلوك الإبلاغ، وليس فقط تجنب النقرات. المنظمات التي تتمتع بثقافة أمنية قوية تجعل من السهل والمشجع الإبلاغ عن رسائل البريد الإلكتروني المشبوهة. وكل تقرير، حتى الإيجابيات الكاذبة، يعزز اليقظة.

مقاييس مهمة - تتبع معدلات النقر إلى الظهور لمحاكاة التصيد الاحتيالي بمرور الوقت، ومعدلات الإبلاغ (النسبة المئوية لرسائل البريد الإلكتروني التصيدية التي أبلغ عنها الموظفون)، ووقت الإبلاغ (مدى سرعة إبلاغ الموظفين عن رسائل البريد الإلكتروني المشبوهة)، ومعدلات تكرار المخالفين، ومعدلات x الحوادث الأمنية الفعلية المرتبطة بالأنشطة التدريبية.

ما وراء البريد الإلكتروني: المشهد الأوسع للهندسة الاجتماعية

على الرغم من سيطرة التصيد الاحتيالي، إلا أن الهندسة الاجتماعية تمتد إلى ما هو أبعد من البريد الإلكتروني. يستخدم التصيد الصوتي (vishing) المكالمات الهاتفية لانتحال صفة دعم تكنولوجيا المعلومات أو البنوك أو الوكالات الحكومية. يستهدف التصيد الاحتيالي عبر الرسائل النصية القصيرة (Smishing) مستخدمي الأجهزة المحمولة باستخدام روابط ضارة. تتضمن الهندسة الاجتماعية المادية المرور عبر مرافق آمنة، وانتحال صفة البائعين، والغوص في القمامة. ويستغل اختراق البريد الإلكتروني للأعمال (BEC) حسابات البريد الإلكتروني التنفيذية المخترقة أو المخادعة للسماح بالتحويلات البنكية الاحتيالية.

يهاجم البرنامج الشامل جميع هذه المتجهات، وليس البريد الإلكتروني فقط.

تنشئ Trufe برامج أمنية تتمحور حول الإنسان وتقلل من مخاطر الهندسة الاجتماعية من خلال عمليات المحاكاة الواقعية والتدريب القائم على الأدوار وتغيير السلوك الدائم. اتصل بنا لتقييم وضع الأمن البشري في مؤسستك.

--- ---