我们最近与我们签约,为一家公司运行网络钓鱼测试。我们称其为公司,但基本上,根据法律,他们有义务通过网络钓鱼活动来评估其环境的安全性。

不久前我们进行了第一次活动,结果非常糟糕。超过70%的用户信任我们发送的“恶意电子邮件”,并且按照电子邮件的要求进行处理。

结束后,我们当然会简要介绍我们的发现。长话短说,他们并不想〜谁〜谁是网络钓鱼者的标识符(电子邮件,用户名或其他)。他们希望“ 300之X”无法识别电子邮件。他们的理由是他们不想得罪任何人。 (我想说的是,当您的员工因潜在的攻击和泄漏信息而倒下时,您的客户感觉会受到伤害。)我礼貌地指责他们选中一个复选框,而实际上并没有兴趣教育他们的用户。他们不是很高兴。我要详细说明一下,他们甚至不需要2个报告,其中一个显示电子邮件,而另一个不显示。我之所以将它们提供给他们,是因为至少他们可以看到这些人如何加班应对不同的竞选活动。如果用户“ Sam”在十个广告系列的过程中每次都单击电子邮件中的每个链接,则绝对有帮助。当然,您想对Sam进行与其他用户不同的教育吗?

我的问题是,这是否违背了网络钓鱼活动和提高网络信息安全性的目的?这甚至正常吗?

评论

“我礼貌地指责他们勾选了一个复选框,实际上并没有兴趣教育他们的用户。”礼貌地做到这一点实际上是不可能的。
这是一次网络钓鱼活动吗?或正在进行中?在以前的公司中,我们一直在进行运行-每月,每季度...有常规报告(300个中的8个)-以及针对管理的特定报告(运行测试的人可以告诉谁是重复犯规者)。 “吉尔单击了一次电子邮件”和“尽管重复了课和警告,吉尔却连续四次单击电子邮件”之间存在区别。
@ pm1391进行中...有不同的报告吗? “ 300之八” ... vs,例如屡犯者的详细分类?第一次警告与第五次不同-反复警告后。管理层是否愿意对付屡犯者(如果您已经走了那么远)?那将是一个更大的问题...
它们是否可以按部门/位置/职位划分细分?以我的经验,这对于帮助缩小需要帮助的领域非常有用。这样,您不必与个人打交道。同样从经验来看,我之前已经看过这个请求。就是当决策者不想成为那些被确定的人时...
讨厌不断问问题:如果他们拒绝详细的报告,结果却没有改善……臀位是谁的罪魁祸首?如果您没有提供良好的信息-您有错吗?如果他们拒绝提供信息,他们是否有过错?换句话说-在发生违规行为的一年中...谁将被起诉?

#1 楼

最初的竞选活动首先建立了基准。所以,是的,这很正常。 “我们作为一家公司的地位如何?我们需要培训到什么水平?我们总体上拥有安全的用户,还是整体上有不安全的用户?”该报告确定了这一点以及管理层需要进行网络钓鱼培训的程度。如果只有5%的用户因网络钓鱼而堕落,那么培训重点将大为不同。就目前而言,现在管理层知道他们在本质上存在企业范围的问题,网络钓鱼活动基本上有70%的成功机会。

现在,当公司将来进行网络钓鱼培训时,他们可以比较结果并确定培训是否成功。 “我们最初的失败率是70%。这次,我们的失败率是68%。因此,这并不成功。”或者说:“我们最初70%的时间都失败了,现在50%的时间都失败了。我们做得更好,但需要进一步的培训。”

评论

可能有人会争辩说,如果一家公司的用户中有70%参加网络钓鱼活动,那么该公司基本上有100%的机会遭受网络钓鱼活动的侵害,因为通常来说,一个人为此而倒足。

– Christophh
18年1月30日在10:17
+1并挑剔:如果预计70%的用户会积极回应,则i。 e。每个用户对网络钓鱼活动有正面响应的可能性为p = 0.7,则该活动成功的机会为至少一个正面响应的可能性P,且P = 1-(1-p)^ n,其中n为广告系列中涉及的用户数。这与@Christoph的评论非常一致。

–大卫·福斯特(David Foerster)
18年1月30日在22:55


…对于n = 50和p = 0.7的中型公司,竞选失败1-P的可能性大约为10 ^ -26。

–大卫·福斯特(David Foerster)
18年1月30日在23:02


@ pm1391我不知道您的广告系列是如何运行的,但是在我经历的数十次中,单击错误链接或任何内容的用户都会被立即召唤出来,因为该链接指向的页面显示“您失败了测试”或类似内容。无需(至少在最初阶段)准确报告谁失败了,因为竞选本身就是一种训练。

–thanby
18年1月31日,12:53
@ pm1391的确,他们在付钱给您做某事,只要这不是违法,不道德或不道德的行为,那么他们对您的工作所做的确实是他们的问题。我们很难接受“我们得到了报酬,他们可以随心所欲地完成工作”,但这就是咨询工作的本质。是的,他们可以做得更多。但是最后,我们提供了所需的服务,并且知道我们已尽力而为。

–秃头普鲁士人
18年1月31日在15:06

#2 楼

不,因为通过给您指名来指责,安全性需要远离指责个人,而应将其视为一个整体。这与在网站中发现安全漏洞相同:您不应责怪开发人员,而应着眼于改善整个过程。

我们进行网络钓鱼活动,并且不识别用户。我们使用它的目的是发现我们自己的弱点,并且我们需要更好地培训我们的员工。

将培训内容集中在一个人上是没有意义的。

运动后,我们向所有员工发送电子邮件,提供失败/成功的统计数据,然后提供发现网络钓鱼的技巧以及如何处理电子邮件。一般。

评论

@ pm1391我可以想到的一个潜在问题是,如果确定了用户身份,将很难忘记这些用户,并且将来在与信任某物相关的事件(例如数据泄漏)时,他们可能会被偏向判断。等)。

– Andrew T.
18年1月30日在4:30


@ pm1391如果您考虑到用户倾向于离开并加入的事实,那么您会了解到没有理由只专注于培训过程和安全程序来专注于特定用户。

–talex
18年1月30日在6:05
70%的人显然存在系统性问题。他们可以在全公司范围内进行培训,从而获得巨大的进步,而无需责怪任何人。在这些级别上,如果有人要怪,那就是最高级别的人(假设公司不是由应该了解这些事情的安全专家组成);另外30%的人可能会在自己的时间上有所注意,或者他们只是太忙而忽略了网络钓鱼的尝试。

–克里斯H
18年1月30日在9:21
同样,拥有非主观的报告并不将其约束于私人数据法规,同时仍可提取有意义的结果。

– M'vy
18年1月30日在11:05
这是正确的答案。我不知道以人为耻是一种良好的安全感。如果有的话,它会使人们更具防御性,也不太可能听从建议。我真的希望安全性“专业人员”能够意识到他们的小领域之外还有一个广阔的世界。

– Shannu
18年1月30日在13:50


#3 楼

我认为,正确的角度是要问以下问题:

由于测试失败的人数众多,如果公司使用这些名称,将会实现哪些(安全)目标?

我会说:没有。


公司范围内的网络钓鱼测试的安全目标是什么?

通常,在每个依赖IT且拥有一定员工人数的公司中,这些员工都接受信息安全培训。这些培训主要涵盖基本主题,例如电子邮件通信,桌面安全性等。在进行网络钓鱼测试时,管理人员想知道:


这些培训是否成功(例如:值得)
是否有任何数据或IT系统属于如果缺乏良好的培训,公司可能会受到损害。

如果您作为承包商,告诉他们“您的员工中有70%的测试不及格”,那就可以回答上述两个问题。如果管理层要求在拥有300名以上员工的公司中提供姓名,他们将无法获得更多相关信息,并且不能正确地完成工作。

下一步是定义新的安全目标。 。它应显示如下内容:

”“在接下来的X个月内,每个员工都必须参加安全培训。在$ year的$ month之前,我们希望$ contractor进行另一次网络钓鱼测试,并要求未能通过此测试的人应该低于X%。“

如果只有那些不得不通过网络钓鱼测试的员工参加,这些培训是否会更具成本效益?
但是:您将它们呈现给公司30%的股份(不需要去的公司)是“太愚蠢以至于无法识别网络钓鱼企图”。这对鼓舞士气的影响超过了仅仅派遣所有员工参加培训的所有成本。另外:再次提醒人们有关信息安全的30%并没有真正受到伤害。
这是个好主意的另一个原因是:通常,如果您进行网络钓鱼测试,您将不知道为什么人们不喜欢它。也许其中一些人由于正在休假,生病或只是略过而没有阅读电子邮件,因为他们的收件箱里装满了更重要的邮件。没有人可以告诉您,他们下次是否会通过测试。员工始终是您的头号风险因素,如果可以的话,对他们进行培训。

我想提到的另一个要点是,到目前为止,其他答案中还没有提到的另一点是,这取决于您如何传达结果:大多数人都会知道自己他们未通过测试。
您必须以一种或另一种方式通知您的员工,我认为大多数公司都是这样做的:发送公司范围内的电子邮件,其中包含网络钓鱼邮件的屏幕快照。


“亲爱的员工们,很抱歉告诉您,但这是一个网络钓鱼测试。没有免费的游艇在等您。未通过测试的人数很糟糕。 ,这就是为什么我们会在不久的将来接受一些安全培训的原因。承包商为我们做了这件事,我们没有收集任何个人数据,所以我们不知道是谁点击了链接,谁没有点击链接。仿冒邮件可能会造成非常严重的后果,例如... yadda,yadda,yadda ..”。


人们会检查他们的收件箱,如果不是很久以前,请记住他们做了什么。这将提高对安全培训和行为调整的接受度。唤起恐惧和施压于人无济于事。

评论

“发送全公司范围的电子邮件,其中包含网络钓鱼邮件的屏幕快照。”好点子

–pm1391
18年1月30日在14:35
+1特别是要指出您不知道为什么他们失败或通过以及对道德有多大影响。在某种程度上,即使失败也同样重要!是的,即使没有通过测试的人对公司也确实有害,但即使是那个人也可能受到环境的影响。并且,如果公司的情况可能使一个人失败,那么任何人都可能会失败。再一次,将责任归咎于一个人仍然会公开存在潜在的结构性问题,而一个雇员则感到可怕。

– Layna
18年1月31日在8:57
如果存在多个网络钓鱼测试,我认为了解其中每个用户的用户比例下降可能会很有用,而且我不确定如果不以某种方式记录哪些用户针对哪些测试而下降,如何确定这一点。

–超级猫
18年1月31日在17:06
超过编辑批准的“帖子所有者或mod”,请解释为什么“参加安全培训”和“一些安全培训”这两个短语比“参加安全培训”和“一些安全培训”更好的英语。 “训练”没有复数,也没有“训练”这样的东西。它不是名词。

–菲尔
18年2月2日在9:58
我想作为管理人员看到的一件事是按部门或职能领域进行细分……不是个人名字,而是哪个个人办公室比较弱。这可能很有价值,因为它给处于较弱地区的经理们施加了压力,要求他们自己跟进。

–乔尔·科恩(Joel Coehoorn)
18年2月2日在22:33

#4 楼

这些测试的目的似乎存在一些误解。

使用标识符意味着找到负责任的人员,对其进行教育和/或惩罚。没有人可以被识别可能是测试的一个明确参数。在许多欧洲国家/地区,地方工人委员会或工会代表必须同意这种测试,并可能将此作为条件。

使用统计数据意味着确定绩效指标。您可以相互衡量这些指标,以识别(例如)您是否在进步,或者您开展的某些宣传活动是否有效。您不需要确定的人员,这甚至可能使结果模糊。

最后,客户付款。您为他们工作,因此尽管您应该指出自己的任何专业问题或想法,除非这违反了您的个人或职业道德(例如,如果您是会员,则是ISACA道德标准),则可以满足客户的要求。

评论

明白了我只是感到不安的是,他们不想为以后的网络钓鱼测试保留此参考。它确实在某种程度上违背了我的“个人”伦理。我以让人们负责为荣。但是从其他答案来看,系统地解决它似乎更重要

–pm1391
18年1月30日在13:02
“我以让人们负责为荣。” -但是在这种情况下,您将如何做?您是否期望公司因网络钓鱼而对他们的客户进行惩罚?他们是否应该发送第二封电子邮件,说“如果您不喜欢上一封电子邮件,您会感到难过”。

–industry7
18年1月30日在18:38
@ pm1391,如果您有兴趣挑战自己的信仰,请阅读W. Edward Deming的任何著作。 amazon.com/s/…他坚决不将公司的缺点归咎于实际的劳动力,而是归咎于公司管理层设计的实际系统。

–斯蒂芬·布朗奇克(Stephan Branczyk)
18年1月31日下午5:18
@ pm1391在高层管理人员级别,个人绩效无关紧要。他们要炸更大的鱼。他们可能会对在10个广告系列后没有获得奖励的员工百分比感兴趣,但对个人没有兴趣。

–汤姆
18年1月31日上午10:09
这很可能是正确的,您应该将其包括在影响分析中。但是,您所处理的管理级别仍然可能不想与个人打交道。

–汤姆
18年1月31日在20:27

#5 楼

要回答您的问题:


这是否不会破坏网络钓鱼活动和提高网络中信息安全性的目的?这甚至正常吗?


不。如果客户希望获得研究结果的精简版本,那么最终就是他们的要求。但是您拥有提供最佳建议并给予他们选择权的所有权利。

面对这些类型的客户反应是否正常?是的,它可能一直发生,这可能是很多事情的结果。客户可能有自己的不安全感(例如,如果管理层成员被抓住,该如何处理),或者可能不想轻视员工,一旦报告公开后可能不知道如何处理他们的培训。

如果他们为此付出代价,作为顾问,您必须最终尊重他们的决定。

作为补充,我注意到一些有关的内容:


我礼貌地指责他们勾选了一个框,实际上并没有兴趣
进行教育他们的用户。


没有办法礼貌地说出您刚才说的话。但是还有其他说法可以避免遇到任何错误。欢迎来到政治世界。我看到其他大多数答案都涉及安全方面,因此我希望在我的答案中涵盖其他微妙的政治方面。

您显然拥有很多善意和专有技术,并且您的客户从您的角度来看,您似乎固执己见,因为他没有进行完整的练习。

我发现交流这样的事情的最好方法是使用略有不同的说法,这可以促进您的事业,而不必打扰客户或让客户觉得您不让他们这样做做主,或者您在批评他并碰错了方向。

您可能会说这几种方式,这可能有助于提升您的视野。这都是政治因素,可以单独研究。


大多数政治上正确的方法(最大程度地稀释信息):如果我们忽略这部分工作,那么我们将错失良机。您确定要这样做吗?客户先生?
政治上的正确性稍差一些,但信息所散播的内容却少一些,而且仍然没有脱口而出:如果我们不尽全力允许培训在适当的时候进行,那我们将浪费大量精力。您确定要这样做吗?客户先生?

注意,在两种情况下,我都完成了Are you sure you want to do that Mr. Customer?。这就是选择的力量,在任何试图改变他们的行为或思想的尝试结束时,将选择权重新交到他们手中。

如果您没有成功,但他们仍然不愿意,那就顺其自然。无论如何,您没有权限,您所能做的就是尽力建议他们。但是,在另一种情况下,您可能会影响客户的想法并按自己的方式行事。但这并非总是如此。

评论

谢谢,正如您提到的,您在战斗的政治方面发表了讲话。我在这个领域还很年轻,可能还没有学过交易语言。不能说是否应该回答,但是我很欣赏这个观点

–pm1391
18年1月30日14:38


#6 楼

我刚刚完成了这样的活动(作为客户),并希望用户绝对匿名。

原因有很多,其中最重要的原因是


隐私,在某些国家/地区是一件复杂的事情
我将向全球发送有关该运动及其结果的说明

您的客户可能还有其他原因。您给了他们获得完整结果的机会,可能还会提供一些建议。他们想要匿名版本,他们的选择。

注意:很抱歉输入错误(或者实际上是我的电话自动完成错误),使我的最初回答看起来很奇怪。

评论

是的,我尊重这是他们的决定。但是令我感到痛苦的是,有太多数据可以用来进一步保护他们的环境。他们仍然可以保留数据,而不会将责任归咎于个人。

–pm1391
18年1月31日在22:18
隐私是一个大问题,尤其是在欧盟国家。

–SpaceTrucker
18年2月2日在14:56
@ pm1391天真的名字对保护他们的环境毫无价值。正如您已经正确地确定的那样,这与创建抗网络钓鱼的环境有关,而不是为Sam提供反网络钓鱼助手。此外,通过考试的30%可能会错过它,因此教育必须统一。作为负责安全性工作的人,您应该最清楚地知道自己将不会存储不需要的任何数据。那是一个等待发生的突破。他们很聪明,拒绝查看您的列表,这样,如果列表浮出水面,那只会是您的错。我建议你销毁它。

–Agent_L
18年2月2日在15:15

#7 楼

我完全掌握您捕获这些数据的愿望。因此,将它们匿名化。通常的想法是,将其小写的电子邮件地址作为MD5哈希,并根据需要获取尽可能多的分辨率,然后将其保留为b7R+或转换为shave-pen-osram之类的“ AOL密码”。

禁止的

   John Smith           FAIL
   Frank Frink          FAIL
   Juliana Crain        PASS


允许的东西

   Rufus-Castle-Uniform-Enemy    FAIL
   Zion-Lathe-Shoot-Loyal        FAIL
   Flee-Worldly-Variable-Key     PASS


什么是更安全

   Bucket Stop-Bad         4/6 failed (66%)
   Bucket Wax-Scissors     5/6 failed (83%)
   Bucket Memory-Egg       4/5 failed (80%)


匿名有两种方法,想象n位可以包含雇员数量(例如,employee = 700 n = 10)。 br />

您可以添加一些额外的位,例如n + 6位,在这种情况下,匿名化将是可逆的,并且员工可能会被暴露:Rufus-Castle-Uniform-Enemy通常仅散发给jsmith @ foo。 com ...知道了!可能会有第二封电子邮件,但是位数越多,可能性就越小。
您可以使用太少的位,例如n-3位,在这种情况下,反向运行将向jsmith,emccarthy,jcrian,tkido,ctagawa和ffrink显示Stop-Bad散列,从而使分配不可行。这样就照原样创建了一组“存储桶”。
您可以给MD5撒盐,但是如果迫害者


通过蛮力加密攻击来学习撒盐
简单地命令您将其翻转
记录已记录的活动模式,并推断出用户



您不同意其原因是一个经典的工作场所问题,但他们可能不会告诉您他们的所有原因*。无论您必须遵守向他们提交的报告。

我在此处提供的匿名化方法使您可以在报告中呈现要呈现的详细数据,同时在技术上符合其指令。您可以采用n +许多形式(如果他们确实愿意)允许他们回溯到单个用户,也可以采用存储桶形式(不需要)。

除非您显示“在127桶中,有4/6位用户被该网络钓鱼诱骗”,否则以70%的速度进行存储桶化是毫无用处的。当点击率是存储桶数量的1/3或更少时,存储桶效果最好,因此在同一存储桶中2次匹配是很少见的。 “在512桶中,有90桶受到了打击,很可能是90-95人,这是您想要的人数。

*作为诉讼者,我可以想到一个非常大的人。如果是我,我将删除“作为日常事务”的个性化数据。直到传票传出,永远保存所有内容都是一件很有趣的游戏。

评论

@schroeder我将尽力澄清这一点。我是说将Rufus-Castle-Uniform-Enemy放在报告中,否则名称会出现。

–哈珀-恢复莫妮卡
18年1月30日在21:51
好的,现在,作为一种使用可逆匿名化在数据中呈现个人的方式,使客户可以选择刺破该面纱的方式,现在更具意义了。但是天哪,一开始还不清楚。

– schroeder♦
18年1月30日在22:23


@schroeder还有什么我可以解决的吗?例子?

–哈珀-恢复莫妮卡
18年1月30日在22:30
仅使用一些随机生成的id代替散列会更容易吗?

– Sourav
18年1月31日在8:34
该方案的问题在于,它仍然不一定能防止反匿名化。如果您在会计部门,30-40岁的雇员和承包商列表的数据集中看到Rufus-Castle,则可能只有一位与该资料匹配的雇员。如果您确实想要一种匿名化数据的技术机制,同时仍能收集有用的统计信息,那么建议您改用差异隐私。

– Lie Ryan
18年2月1日,0:40

#8 楼

我同意客户的选择似乎阻止了任何改进的机会。但是,还有另一种改进方法。

让所有员工都知道:“我们不知道谁为之付出,谁没有为之付出,因此我们无法解雇或奖励任何人。但是,我们每个月都会进行一次此测试,并且我们将发布百分比。如果到年底将70%的比例降低到20%,则所有员工都将获得奖金。奖金的大小将取决于二十以下。为了帮助我们实现这一目标,每周将有一封电子邮件介绍一种识别网络钓鱼的技术。明年,奖金将是每个季度,但目标也将是每个季度较小。”