Η κατάλληλη εκπαίδευση στην κυβερνοασφάλεια μπορεί να μειώσει τις επιθέσεις phishing – Πόσοι πέφτουν θύματα απάτης

Οι κυβερνοεγκληματίες στοχεύουν όλο και περισσότερο σε ανθρώπινες ευπάθειες για να διεισδύσουν σε οργανισμούς. Αυτό γίνεται διότι οι άνθρωποι έχουν άμεση πρόσβαση σε εσωτερικά συστήματα και δεδομένα όπου οποιοσδήποτε παράγοντας απειλής μπορεί εύκολα να ψαρέψει τους χρήστες, να κλέψει τα διαπιστευτήριά τους και να ασφαλίσει τα κλειδιά του βασιλείου χωρίς να χρειάζεται να πολεμήσει προηγμένες άμυνες κυβερνοασφάλειας. Μελέτες δείχνουν ότι οι επιθέσεις κοινωνικής μηχανικής και τα ανθρώπινα λάθη βρίσκονται πίσω από το 68% όλων των παραβιάσεων.

Η ανθρώπινη συμπεριφορά είναι η βασική αιτία των ανθρωπογενών κινδύνων. Η ανθρώπινη συμπεριφορά είναι δύσκολο να μετρηθεί ή να τιθασευτεί επειδή επηρεαζόμαστε και ενεργοποιούμαστε από συναισθήματα (θυμός, φόβος, λαγνεία, περιέργεια, απληστία), οι προκαταλήψεις μας, η έλλειψη γνώσης, η κατανόηση και η αδιαφορία για τους κινδύνους ασφάλειας. Οι αντίπαλοι εκμεταλλεύονται συχνά αυτά τα ελαττώματα στις επιθέσεις phishing και κοινωνικής μηχανικής τους. Τα καλά νέα είναι ότι οι ερευνητές στο KnowBe4 βρήκαν μια άμεση σχέση μεταξύ της εκπαίδευσης στον κυβερνοχώρο και της μείωσης των επιτυχημένων απατών ηλεκτρονικού ψαρέματος.

Επισκόπηση των ευρημάτων ποσοστού επιρρεπούς σε phishing

Η εταιρεία KnowBe4 διεξήγαγε μια σημαντική μελέτη συγκριτικής αξιολόγησης phishing που ανέλυσε και συνέκρινε τα επιρρεπή σε phishing ποσοστά 11,9 εκατομμυρίων χρηστών από 55.675 οργανισμούς. Το ποσοστό επιρρεπούς σε phishing (PPP) είναι μια μέτρηση του ποσοστού των ατόμων που είναι πιθανό να αλληλεπιδράσουν με ένα μήνυμα ηλεκτρονικού ψαρέματος κάνοντας κλικ σε έναν κακόβουλο σύνδεσμο ή κάνοντας λήψη ενός κακόβουλου αρχείου. Η μελέτη εξέτασε τα αποτελέσματα 54 εκατομμυρίων προσομοιωμένων δοκιμών phishing σε σχεδόν 12 εκατομμύρια χρήστες.

Η KnowBe4 πραγματοποίησε αυτήν την έρευνα σε τρεις φάσεις δοκιμών. Στην πρώτη φάση ή Φάση Πρώτη, έγινε μια βασική δοκιμή σε οργανισμούς που δεν είχαν πραγματοποιήσει ποτέ εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια. Στη δεύτερη φάση, διεξήχθησαν ξανά δοκιμές ασφαλείας αφού οι οργανισμοί υπέβαλαν τους χρήστες τους σε 90 ημέρες προσομοίωσης εκπαίδευσης ηλεκτρονικού ψαρέματος. Στη συνέχεια, μετά από ένα χρόνο επαναλαμβανόμενης και αυστηρής εκπαίδευσης προσομοίωσης phishing, εφαρμόστηκε η δοκιμή Φάσης Τρίτη για να αξιολογηθεί εάν υπήρχαν ουσιώδεις διαφορές στο PPP. Εδώ είναι τα αποτελέσματα:

• Το μέσο ποσοστό επιρρεπούς σε phishing στη Φάση 1 σε όλους τους κλάδους και τους οργανισμούς ήταν 34,3%. Με άλλα λόγια, κατά μέσο όρο το 34,3% των χρηστών έκαναν κλικ ή αλληλεπίδρασαν με ένα μη ασφαλές email.
• Μετά από 90 ημέρες τακτικής εκπαίδευσης προσομοίωσης (Δεύτερη Φάση), το Knowbe4 παρατήρησε μια σημαντική πτώση στη μέση PPP, μειώνοντάς την στο 18,9%, που είναι σχεδόν μια μείωση κατά 50% στη μέση PPP από την πρώτη φάση.
• Στην Τρίτη Φάση (μετά από ένα χρόνο συνεχούς εκπαίδευσης), το Knowbe4 διαπίστωσε ότι η ΣΔΙΤ είχε βελτιωθεί πολύ, από 34,3% κατά μέσο όρο στη Φάση 1 σε μέσο όρο μόλις 4,6% στη Φάση Τρίτη.
• Σε όλους τους οργανισμούς, τις βιομηχανίες και τις περιοχές, η μέση βελτίωση της ΙΑΔ που παρατηρήθηκε ήταν 86%. Τόσο στους μικρούς όσο και στους μεσαίους οργανισμούς, η ΣΔΙΤ βελτιώθηκε κατά 85% κατά μέσο όρο, ενώ στους μεγάλους οργανισμούς η ΣΔΙΤ βελτιώθηκε κατά 87%.
• Ειδικά για τους οργανισμούς της Βόρειας Αμερικής, η μέση ΣΔΙΤ Φάσης Πρώτης σε όλους τους οργανισμούς ήταν 35,1%, ενώ στην Τρίτη Φάση η μέση ΣΔΙΤ μειώθηκε στο 4,5%. Και πάλι, μια τεράστια μείωση της ευαισθησίας στο phishing.

Βασικά συμπεράσματα για τις επιχειρήσεις

Τα αποτελέσματα από τη μελέτη PPP οδηγούν σε τρία σημαντικά συμπεράσματα:

1. Χωρίς συνεχή εκπαίδευση σε θέματα ασφάλειας, οι οργανισμοί διατρέχουν αυξημένο κίνδυνο. Με μέσο όρο 34,3% PPP, σχεδόν το ένα τρίτο του εργατικού δυναμικού μπορεί να πέσει θύματα μιας επίθεσης phishing. Επομένως, είναι κρίσιμο οι οργανισμοί να αναπτύσσουν προγράμματα και πρακτικές που υπενθυμίζουν και ενισχύουν στους εργαζόμενους την ανάγκη να παραμείνουν σε εγρήγορση και ασφάλεια.
2. Οι οργανισμοί μπορούν να μειώσουν τους κινδύνους που βασίζονται στον άνθρωπο σε τρεις μήνες. Όπως αποκάλυψε η μελέτη, εάν οι οργανισμοί εκτελούν ασκήσεις προσομοίωσης phishing στο εργατικό τους δυναμικό για μόλις τρεις μήνες, μπορούν να μειώσουν σημαντικά την ευαισθησία τους στο phishing και να βελτιώσουν την τελευταία γραμμή άμυνας του οργανισμού, γνωστή ως ανθρώπινο τείχος προστασίας.
3. Μια προσέγγιση με γνώμονα τις μετρήσεις μπορεί να επιφέρει στοχευμένες αλλαγές: Μαζί με τις τεχνικές μετρήσεις, οι ηγέτες ασφάλειας πρέπει επίσης να λαμβάνουν υπόψη τις μετρήσεις ανθρώπινου κινδύνου, όπως η PPP, κατά τον καθορισμό της συνολικής στρατηγικής για την ασφάλεια στον κυβερνοχώρο. Τέτοιες μετρήσεις μπορούν επίσης να χρησιμοποιηθούν για να επιδείξουν την πρόοδο, να εξηγήσουν τα κενά ασφαλείας και να ασφαλίσουν την αγορά και την επένδυση

Ο μετριασμός του κινδύνου phishing δεν είναι μια πολύπλοκη ή απαιτητική προσπάθεια. Στην πραγματικότητα, είναι ένας από τους λίγους τομείς στον κυβερνοχώρο όπου μια μη τεχνική προσέγγιση ασφάλειας που εφαρμόζεται με συνέπεια μεταξύ των χρηστών θα μειώσει αναπόφευκτα και ουσιαστικά την επιφάνεια επίθεσης πολύ πέρα από τις προσδοκίες. Με τη σωστή δέσμευση στην εκπαίδευση, χρησιμοποιώντας έναν συνδυασμό ασκήσεων προσομοίωσης, ατομικής καθοδήγησης και εκπαίδευσης στην τάξη, οι οργανισμοί μπορούν να μετριάσουν σημαντικά τις επιθέσεις phishing, να ελαχιστοποιήσουν το ανθρώπινο λάθος και να ενισχύσουν σε μεγάλο βαθμό τη στάση ασφαλείας.

Πηγή: https://securitytoday.com/