Kimlik avı tehditleri her yerdedir ve çalışanlarınız onları nasıl tespit edeceklerini bilmiyorlarsa bilgilerinizi riske atıyorsunuz demektir. Başarılı bir kimlik avı simülasyonu nasıl oluşturulacağını bilmek, çalışanların en son tehditleri ne kadar iyi tespit edebileceklerini belirlemek ve onları bağımsız olarak nasıl tespit edeceklerini bilmelerini sağlamak için hayati önem taşır.
Ne yazık ki, birçok kuruluş yeterli güvenlik bilinci eğitimi sunamıyor ve araştırmalar, çalışanların %25’inden fazlasının kimlik avı e-postalarına düştüğünü gösteriyor.
Bu makale, güvenlik liderlerinin, çalışanların ortaya çıkan kimlik avı dolandırıcılıklarının ve sosyal mühendislik tehditlerinin üstesinden gelmelerine yardımcı olmak için başarılı bir kimlik avı simülasyonu kampanyası nasıl oluşturabileceklerini inceleyecektir .
Kimlik Avı Simülasyonu Nedir ve Nasıl Çalışır?
Basit bir ifadeyle, bir kimlik avı simülasyonu, bir grup kullanıcıyı sahte bir bağlantıya veya eke tıklamaları için kandırmaya çalışmak için e-posta gönderdiğiniz bir testtir. Bir çalışan bir bağlantıya veya eke tıklarsa veya ayrıntılarını sahte bir web formuna girerse, gerçek bir saldırıda ağınıza kötü amaçlı yazılım bulaştırmış olur.
Kimlik avı simülasyonu çalıştırmaya karar verirken, bir grup kullanıcıyı hedeflemeli ve kuruluştaki yalnızca test edilmemiş birkaç kişiyi bilgilendirmelisiniz.
İlk testiniz, kullanıcınızın güvenlik farkındalığını diğer kuruluşlarla karşılaştırmalıdır. Kimlik avı simülasyonları gerçekleştiren çoğu kuruluş şunları deneyimler:
- Kullanıcıların bağlantılara tıkladığı %20-30 simülasyon başarı oranı
- Kullanıcıların ekleri açtığı %10-20 simülasyon başarı oranı
- Formlarda veri göndermek için %5’ten az simülasyon başarı oranı
Başarılı Bir Kimlik Avı Simülasyon Kampanyası Nasıl Oluşturulur: Başarılı Bir Kimlik Avı Farkındalık Programı Oluşturmanın 2 Adımı
Başarılı bir kimlik avı simülasyonu kampanyasının nasıl oluşturulacağını bilmiyorsanız, harekete geçmek için izleyebileceğiniz iki ana adım vardır:
1. Adım: Bir test hedefi seçin
Testinizin ilk adımı, simülasyonun amacını, yani güvenlik farkındalıklarını test etmek için kimlik avı e-postanızdaki çalışanları hangi tehdidi hedefleyeceğinizi belirlemektir. Kullanabileceğiniz üç ana hedef vardır:
- Kötü amaçlı bağlantılar – Çalışanların kötü niyetli bağlantılara tıklamaya, cihazlarına kötü amaçlı yazılım dağıtmaya veya oturum açma kimlik bilgilerini teslim etmeye yönelik yanlış yönlendirilmeye karşı savunmasız olup olmadığını test etmek için kötü amaçlı bağlantılar kullanın.
- Web Formu Aracılığıyla Veri Toplama – Dolandırıcılar genellikle kullanıcıları sahte web formlarına giden bağlantılara tıklamaları için cezbeder, bu nedenle bunları simülasyonunuzun bir parçası olarak kullanmak, bir kullanıcının hassas verilerini ve oturum açma kimlik bilgilerini bir sahtekarla paylaşmaya meyilli olup olmadığını anlayabilir.
- Etkilenen Ek – Siber suçlular, alıcıların cihazlarına bulaşmak için rutin olarak dosyalara virüs yerleştirir, bu nedenle kullanıcılara sahte ‘virüslü ekler’ göndermek, uç nokta güvenliklerini test edebilir.
Hangi hedefi seçerseniz seçin, bir saldırganın bir çalışanı bilgi teslim etmesi için kandırmak için kullandığı tekniklerin aynısını denemek ve doğru bir şekilde kopyalamak isteyeceksiniz, bu nedenle kullanıma hazır bir kimlik avı kullanmanız şiddetle tavsiye edilir.
2. Adım: Senaryoyu seçin
Hedefinizi seçtikten sonra sıra, kimlik avı tehditinizin kullanıcıyı test etmek için kullanacağı senaryoyu seçmeye gelir. Test senaryoları oluşturmanın üç ana yolu vardır:
- Kuruluşunuzun dahili veya harici bir departmanını yanıltmak
- Meşru bir kuruluşu veya hayali bir markayı taklit etmek (Saldırganların her gün yaptığı şey bu olduğundan ideal olarak meşru bir kuruluş)
- Kullanıma hazır bir senaryo kullanın veya sıfırdan birini özelleştirin (bunlar gerçek saldırı senaryoları üzerinde tasarlandığından, kullanıma hazır senaryoları kullanmanızı öneririz)
Kullanıcılarınız için en iyi senaryoyu seçmenin anahtarı, günlük işleriyle alakalı olanı seçmektir. Kendinize hangi markalara güvendiklerini ve hangi kötü niyetli CTA’lara yanıt vereceklerini ve bir kimlik avı sitesine tıklayabileceklerini sorun.
Simülasyon Tamamlandığında Ne Yapacağım?
Simülasyonu tamamladıktan sonra, kaç kullanıcının kötü amaçlı bağlantılara, eklere ve veri formlarına tıkladığını görebileceksiniz. Genel olarak, bağlantılara tıklamak için %5’ten ve hesap adlarını ve parolaları paylaşan çalışanlar için %1’den daha düşük bir kimlik avı oranı elde etmeye çalışmalısınız.
Ancak, çalışanlarınızın %5’ten daha düşük bir kimlik avı oranına ulaşması için genellikle 4 veya 5 kimlik avı simülasyonu gerekir, bu nedenle ilk birkaç denemeyi geçemezseniz cesaretiniz kırılmasın.
Programın etkinliğini, eğitimi tamamlayan kurbanların sayısına, eğitimi tamamlamayan kurbanların sayısına ve tekrar tıklayanların sayısına bakarak da ölçebilirsiniz.
Başarılı bir kimlik avı simülasyonunun nasıl oluşturulacağını bilseniz bile, çalışanların güvenlik farkındalığındaki boşlukları belirlemek ve eğitiminizde önceliklendireceğiniz konuları belirlemek için topladığınız verileri analiz etmek çok önemlidir.
İnceleyebileceğiniz konular şunları içerir:
- E-posta güvenliği
- Sosyal mühendislik
- E-dolandırıcılık
- Kötü amaçlı yazılım
- Kimlik Hırsızı
- internet kullanımı
- Fidye yazılımı
- İş e-postası uzlaşması
- Şifreler
Yılda Kaç Kimlik Avı Simülasyonu Tamamlamalıyım?
Kaç kimlik avı simülasyonunun çalıştırılacağını bilmek, ilk etapta bir kimlik avı simülasyonunun nasıl oluşturulacağını bilmek kadar önemlidir. Kullanmanız gereken kimlik avı simülasyonlarının sayısı, kullanıcılarınızın ihtiyaçlarına ve daha geniş kapsamlı siber güvenlik hedeflerinize bağlıdır.
Genel bir kural olarak, araştırmamız ideal zaman çerçevesinin 40-60 gün arasında olduğunu gösterdiğinden, kuruluşların kullanıcı başına yılda 6-10 kimlik avı simülasyonu tamamlamasını öneririz.
Bunun nedeni, bu sürenin, çalışanı eğitim fırsatlarıyla yormadan güvenlik tehditlerini akılda tutmak için yeterince düzenli bir zaman dilimi olmasıdır.
Özet
Başarılı bir kimlik avı simülasyonu kampanyasının nasıl oluşturulacağını bilmiyorsanız, size yardımcı olmak için kullanabileceğiniz birçok kaynak vardır. En önemli şey, kullanıcılarınızı gerçek dünya senaryolarıyla denemek ve test etmektir.
Bu şekilde, onları saldırganların günlük olarak kullandığı teknikler konusunda eğitecek ve ortamınızda meydana gelen bir veri ihlali olasılığını büyük ölçüde azaltacaksınız.