Pengujian keamana cyber (siber) berdasarkan sekenario metode Social Engineering atau Rekayasa sosial
Apa itu Tes Phishing?
Tes phishing digunakan oleh profesional keamanan dan TI untuk membuat email phishing tiruan dan/atau halaman web yang kemudian dikirim ke karyawan. Serangan palsu ini membantu karyawan memahami berbagai bentuk serangan phishing, mengidentifikasi fitur, dan untuk menghindari mengklik tautan berbahaya atau membocorkan data sensitif dalam bentuk berbahaya.
Untuk profesional TI dan keamanan, tes phishing meningkatkan kesadaran keamanan siber karyawan di lingkungan yang bermakna dan terkendali. Selain itu, karena pengujian phishing dikontrol, TI dapat membuat metrik dasar—berapa persentase organisasi yang berhasil “di-phishing”—yang dapat mereka tingkatkan bersama karyawan dari waktu ke waktu.
Karyawan mendapatkan pengalaman kehidupan nyata tanpa risiko apa pun. Mereka juga diberi kesempatan untuk meningkatkan perilaku keamanan mereka dengan cara yang berarti dengan umpan balik dari TI bila diperlukan.
Dalam panduan singkat ini, kami akan membahas apa yang dapat Anda lakukan sebelum dan sesudah tes phishing untuk memastikan partisipasi dan efektivitas maksimum.
Apa yang Harus Dilakukan Sebelum Tes Phishing
Hal pertama yang pertama, Anda perlu menemukan alat uji phishing yang dapat membantu Anda mencapai tujuan Anda.
Bergantung pada anggaran, pengalaman, dan tingkat kenyamanan Anda, ada sejumlah opsi alat phishing—baik gratis maupun berbayar—yang akan cocok untuk Anda.
Setelah Anda memilih alat uji phishing, Anda dapat mulai merencanakan.
Latih dan Beri Tahu Karyawan
Inti dari tes phishing adalah untuk mendidik karyawan sehingga mereka dapat menemukan dan menghindari email phishing di masa mendatang—mencoba menangkap mereka dalam kesalahan tanpa pelatihan dan memberi tahu mereka sebelumnya akan menempatkan TI dalam skenario "kita vs. mereka". yang akan mencegah Anda mencapai tujuan kesadaran keamanan karyawan Anda. Memberikan pelatihan dan pemberitahuan adalah langkah pertama yang penting karena ini menetapkan pengujian Anda lebih dari sekadar "Gotcha!" bagi karyawan yang lalai.
Berikan pelatihan singkat untuk menentukan apa itu email phishing atau bukan, atau beberapa tips tentang apa yang harus diwaspadai (misalnya memeriksa alamat 'dari', permintaan mendesak yang memerlukan transfer uang, dll.), dan kemudian memberi tahu karyawan bahwa Anda akan menjalankan tes phishing untuk membantu mempersiapkan karyawan menghadapi serangan dalam pengaturan yang terkendali.
Anda juga harus membuat alamat email perusahaan tertentu (misalnya phishing@perusahaananda.com ) dan memberi tahu karyawan Anda untuk meneruskan email yang mencurigakan ke alamat ini untuk ditinjau TI. Selain itu, Anda dapat mengunduh tombol laporan phishing untuk disematkan ke kotak masuk setiap karyawan.
Adalah baik untuk mendorong komunikasi terbuka ketika karyawan menemukan email yang mencurigakan. Jika mereka khawatir hal itu dapat mempengaruhi karyawan lain, mereka harus memposting peringatan menggunakan alat komunikasi perusahaan (mis. Slack).
Karyawan akan merasa lebih nyaman setelah pelatihan jika mereka dapat dengan mudah membalik email yang mencurigakan atau melaporkannya langsung ke TI tanpa terlalu mengganggu pekerjaan sehari-hari mereka.
Libatkan Departemen atau Manajer Terkait
Phishing sendiri adalah alat yang ampuh untuk peretas. Tapi phishing dikombinasikan dengan rekayasa sosial adalah alat ekstraksi utama. "Rekayasa sosial" adalah istilah eufemistik yang pada dasarnya berarti menipu atau memanipulasi orang dengan mengeksploitasi konteks sosial mereka, dan itulah yang akan coba dilakukan oleh peretas sejati.
Orang-orang mempercayai apa yang familiar, jadi jika seorang peretas dapat menyesuaikan email phishing ke target tertentu menggunakan nama, perusahaan, tanggal, atau situs web yang dikenal, semakin besar kemungkinan target tersebut akan terkena phishing. Ini berarti bahwa ketika Anda menjalankan tes phishing, Anda harus mengirim email kepada orang atau kelompok orang tertentu di setiap tes, menggunakan taktik rekayasa sosial untuk benar-benar mengukur kemampuan mereka dalam menolak email berbahaya.
Gunakan rekayasa sosial untuk benar-benar mengukur kemampuan karyawan dalam menemukan email berbahaya.
Bayangkan jika Anda mendapat email yang meminta kredensial server Anda dari seseorang yang belum pernah Anda dengar. Sekarang bayangkan jika Anda mendapat email yang sama dari CEO Anda. Email kedua lebih mungkin untuk mendapatkan tanggapan, bukan?
Buat Alias Pishing dan/atau Terapkan Tombol Laporan Tersemat
Dalam pelatihan Anda, Anda dapat mengingatkan karyawan ke alamat email perusahaan tertentu (mis. phishing@perusahaananda.com) untuk meneruskan email yang mencurigakan sehingga TI dapat meninjaunya. Selain itu, Anda dapat mengunduh tombol laporan phishing yang disematkan ke kotak masuk setiap karyawan.
Adalah baik untuk mendorong komunikasi terbuka ketika karyawan menemukan email yang mencurigakan. Jika mereka khawatir hal itu dapat mempengaruhi karyawan lain, mereka harus memposting peringatan menggunakan alat komunikasi perusahaan (mis. Slack).
Karyawan akan merasa lebih nyaman dalam pelatihan jika sekarang mereka dapat dengan mudah membalik email yang mencurigakan atau melaporkannya langsung ke TI tanpa terlalu banyak penyelidikan.
Merencanakan Tes Phishing
Ada beberapa aturan yang harus Anda patuhi untuk memastikan pengujian phishing Anda mencapai efektivitas maksimum dan meningkatkan perilaku keamanan siber karyawan dalam jangka panjang.
Waktu
Pengujian harus dibuat sebagai serangkaian simulasi phishing—kampanye—yang dikirimkan setiap bulan atau setiap kuartal. Itulah satu-satunya cara untuk mengukur keberhasilan dan peningkatan.
Kampanye Anda harus progresif dalam hal kesulitan—tes pertama Anda harus cukup sederhana untuk diidentifikasi. Setelah itu, cobalah berbagai sudut dan tingkat kehalusan yang berbeda dalam pengujian Anda, seperti yang diuraikan di bagian selanjutnya. Karyawan harus bisa merangkak sebelum berjalan!
Gunakan Metode Phishing yang Berbeda
Manfaatkan berbagai metode phishing untuk memberi karyawan banyak kesempatan untuk belajar dan menjaga mereka tetap waspada. Meskipun email pertama harus berupa template phishing dasar, email berikutnya harus menggunakan taktik rekayasa sosial dan skema yang lebih licik untuk mengelabui karyawan seperti yang dilakukan peretas.
Identifikasi karyawan tertentu atau kelompok tertentu dalam organisasi untuk ditargetkan dengan email yang biasanya mereka dapatkan—misalnya, email dari HR menggunakan Kepala HR sebagai alamat 'dari'. Anda dapat meminta mereka untuk memperbarui kata sandi mereka untuk profil perangkat lunak penggajian HR mereka, misalnya.
( Ingat : 1. Anda ingin mereka percaya bahwa itu nyata! 2. Jika Anda menggunakan alamat email Kepala Bagian SDM dalam tes phishing, mereka perlu mengetahuinya terlebih dahulu.)
Sertakan Manajemen Senior dan Eksekutif
Sangat penting bahwa Anda menyertakan manajemen senior dan eksekutif dalam tes phishing Anda. Mereka adalah penjaga gerbang ke aset paling berharga dalam bisnis Anda dan karena itu paling mungkin menjadi sasaran peretas.
Sertakan manajemen senior dan eksekutif dalam tes phishing Anda. Mereka adalah penjaga gerbang aset paling berharga dalam bisnis Anda dan akan paling banyak ditargetkan.
Selain fakta bahwa mereka adalah target, penting bagi karyawan lain untuk mengetahui bahwa para eksekutif ikut serta dalam pelatihan—itu akan meningkatkan keterlibatan karyawan dan memberikan motivasi tambahan kepada tim untuk meningkatkan skor mereka.
Apa yang Harus Dilakukan Setelah Tes Phishing
Tes phishing pertama dalam kampanye phishing Anda telah dikirim… sekarang bagaimana?
Karena tujuan Anda adalah meningkatkan kesadaran keamanan siber di antara karyawan, pekerjaan Anda baru saja dimulai. Bangun baseline, beri penghargaan bagi yang berkinerja tinggi, didik yang berkinerja rendah, dan mulailah merencanakan tes Anda berikutnya!
Pelaporan Sangat Penting
Ada tiga metrik utama yang ingin Anda ukur:
1. Rasio klik tautan
2. Jumlah karyawan yang membocorkan data sensitif (yaitu memberikan kombinasi pengguna/pass)
3. Jumlah karyawan yang melaporkan email phishing
Seiring waktu, Anda ingin #1 dan #2 turun, dan jumlah orang yang melaporkan email phishing meningkat. Satu-satunya cara untuk menunjukkan kemajuan adalah dengan mencatat metrik ini setelah setiap pengujian. Anda harus berbagi hasil dengan seluruh organisasi, tetapi pastikan Anda tidak memilih individu atau grup mana pun . Semua hasil harus agregat!
Sementara hasil di seluruh organisasi harus digabungkan, satu-satunya cara untuk membantu individu dan tim meningkat adalah dengan menunjukkan kepada mereka (dalam suasana yang tenang dan pribadi) apa yang mereka lakukan salah (atau benar) sehingga mereka dapat berhasil selama simulasi berikutnya.
Hadiahi yang Berkinerja Tinggi
Memiliki individu atau kelompok yang berkinerja sangat baik? Tunjukkan pada mereka cinta!
Anda dapat menulis email kepada orang-orang yang sukses (yaitu tidak mengeklik tautan dan/atau tidak membocorkan data sensitif, dan melaporkan email tersebut ke TI) dan memberi tahu mereka bahwa mereka melakukan pekerjaan yang baik untuk menjaga bisnis tetap aman dari penjahat dunia maya. Anda juga dapat mengirim email ke seluruh departemen jika hasilnya adalah yang terbaik di seluruh organisasi.
Ingin membawa hal-hal ke tingkat berikutnya? Buat kontes lintas departemen, sehingga departemen "pemenang" (rasio klik-tayang terendah dan rasio pelaporan phishing tertinggi) pada akhir setiap kuartal mendapatkan makan siang atau makan malam bersponsor.
Berikan Pelatihan Tambahan untuk Berkinerja Rendah
Ini mungkin bagian terpenting dari semua tes phishing—membantu orang yang berkinerja rendah mencapai kesuksesan.
Baik itu CEO atau karyawan magang, tidak ada alasan untuk bersikap kasar atau menggurui saat berbicara dengan karyawan tentang kinerja buruk mereka dalam tes phishing.
Anda ingin karyawan merasa nyaman berbicara dengan Anda tentang perjuangan mereka dengan keamanan siber dan Anda ingin mereka selalu memilih untuk mengirimi Anda sesuatu yang mencurigakan daripada mencoba menavigasi sendiri. Mereka hanya akan melakukan itu jika mereka percaya bahwa Anda menghormati mereka dan menghargai usaha mereka.
Untuk pelanggar pertama kali, tidak apa-apa untuk hanya mengirim email yang memberi tahu mereka bahwa mereka melakukan kesalahan pada tes phishing. Anda harus menegaskan kembali pentingnya keamanan siber dan memberikan materi pelatihan tambahan tentang cara mengenali email phishing—beri tahu mereka bahwa lebih banyak tes phishing sedang dilakukan dan mereka akan memiliki peluang untuk berhasil jika mereka berhati-hati! Selain itu, pastikan untuk memanggil tombol “laporkan phishing” atau alamat email phishing@perusahaananda.com yang Anda siapkan.
Tekankan kembali pentingnya keamanan siber, dan berikan materi pelatihan tambahan tentang cara mengenali email phishing.
Jika Anda memiliki hubungan pribadi dengan karyawan berkinerja rendah, Anda juga dapat mengatasinya secara individu.
Ketika individu, atau kelompok individu, terus kesulitan menemukan email phishing, Anda perlu melakukan intervensi dengan cara yang lebih proaktif. Mungkin individu atau grup tertentu perlu diberikan tutorial singkat tentang mengenali email phishing, termasuk contoh populer dan hal-hal yang pernah terjadi pada bisnis lain. Sangat penting bagi mereka untuk mengenali keabsahan ancaman, dan kemungkinan mereka akan menerima email phishing yang sebenarnya di beberapa titik.
Langkah selanjutnya
Dengan mengikuti panduan yang diuraikan di sini, Anda telah meletakkan dasar untuk apa yang pasti menjadi program yang sukses dan bermanfaat yang membantu membatasi permukaan serangan organisasi Anda dan menjaga karyawan Anda aman dari orang luar yang jahat.
Apa berikutnya? Anda dapat menebaknya: Mulailah mempersiapkan tes phishing Anda berikutnya!
Pada akhir setiap kuartal atau setiap tahun, siapkan rekap singkat yang dapat Anda tunjukkan kepada para eksekutif dan tim pada umumnya untuk mendorong peningkatan berkelanjutan. Kesadaran phishing dan pengujian lanjutan diperlukan seiring pertumbuhan perusahaan Anda dan seiring berkembangnya metode phishing.
Kesadaran phishing dan pengujian lanjutan diperlukan seiring pertumbuhan perusahaan Anda dan seiring berkembangnya metode phishing.
Langkah pertama untuk menghilangkan masalah adalah memahami bahwa masalah itu ada. Anda telah mengambil langkah pertama untuk mengamankan organisasi Anda. Kami berharap panduan ini membantu Anda mencapai kesadaran keamanan siber karyawan puncak sehingga Anda dapat tenang mengetahui bahwa karyawan tidak akan tertipu untuk mengklik tautan phishing berikutnya yang masuk melalui kotak masuk mereka.
0 comments:
Posting Komentar