构建信息安全感知程序(二)(1)https://developer.aliyun.com/article/1507686
创建着陆页
如果员工点击了附带的链接(图 11.4),他们将被引导到着陆页。如果您的评估目标是记录点击的员工人数,则这是一个理想的机会,可以显示一条消息,通知员工进行了模拟钓鱼评估,并提供培训材料。
图 11.4 KnowBe4 的基本着陆页。
如果攻击的目标是确定员工是否会点击并输入信息,则着陆页必须有可接受输入的区域。最常见的输入是帐户密码;但是,您可以自定义着陆页以适应攻击目标。所有商业工具都有接受输入的着陆页选择。如果您想使用属于您组织的网页,则大多数工具都有导入功能。提供了 URL 后,SET 将克隆一个网站。
发送电子邮件
现在您已经创建了收件人列表、电子邮件和着陆页,还有一些质量控制步骤需要在按下发送按钮之前执行:
■ 通过将钓鱼电子邮件发送给自己,测试电子邮件在您的电子邮件客户端和网络客户端(如果适用)中的外观。
■ 点击附带的链接以测试着陆页。如果您的组织使用多个浏览器,则在所有批准的浏览器中进行测试。
■ 如前文所述,通知联系人列表中的相关方。包括电子邮件、着陆页和培训页面(如果适用)的屏幕截图。还包括发送电子邮件的日期和时间。
时间就是一切
当发送电子邮件时,它们将极大地影响您评估的结果。理想情况下,电子邮件应在员工可能在上午或下午在办公桌前的时间发送。此外,当安排电子邮件交付时,请记住您的收件人处于哪个时区。
每个人偶尔都需要度假。如果联系人列表中有任何人在评估期间度假,请务必在发送任何电子邮件之前让他们的备用联系人参与。此外,负责发送电子邮件并跟踪其进度的人员需要提供帮助。不要在开始练习后的第二天就不在办公室。
跟踪结果
所有工具,商业和开源,都具有跟踪功能,以帮助您监控评估的状态。虽然个别跟踪功能可能有所不同,但大多数工具都会指示
■ 电子邮件是否被打开,
■ 接收者是否点击了链接,
■ 是否在着陆页中输入了信息,
■ 如果链接被点击超过一次。
商业工具将为每次评估存储结果信息,以便在额外评估后进行比较报告。SET 不存储结果信息,因此记录将需要单独跟踪,很可能是在电子表格中。在向管理层和其他相关方报告结果时,比较报告是关键,以表明后续培训的有效性。
结果跟踪不仅包括点击次数。其他重要的跟踪结果包括
■ 帮助台电话报告电子邮件,
■ 收到的报告电子邮件报告给安全部门,
■ 向安全部门的电话,
■ 涉及部门的电话,如人力资源
不当的报告表明员工不熟悉在收到可疑消息后应遵循的程序。培训程序可以进行调整以强化正确的程序。
评估后跟进
一旦评估完成并记录了所有结果,请与联系列表中的人员进行事后会议。讨论评估结果以及是否有任何意外结果。利用这些信息对程序和未来评估的联系列表进行更改。
注意
[1] 开源软件定义 en.wikipedia.org/wiki/Open-source_software
[于 2014 年 5 月 26 日访问]。
[2] 高效员工钓鱼培训的七个习惯 threatsim.com/resources/whitepaper-seven-habits-phishing
[于 2014 年 2 月 12 日访问]。
[3] 令人震惊:失败点钓鱼培训无效 blog.knowbe4.com/bid/371048/SHOCKER-Point-Of-Failure-Phishing-Training-Does-Not-Work
[于 2014 年 2 月 17 日访问]。
[4] 91%的网络攻击始于针对特定目标的钓鱼邮件 news.techworld.com/security/3413574/91-of-cyberattacks-begin-with-spear-phishing-email/
[于 2014 年 2 月 17 日访问]。
第十二章:汇聚一切
瓦莱丽·托马斯 ^(Securicon, Lorton, VA, USA)
摘要
本章将前几章讨论的主题,技术,交付选项和时间表合并为三个样本计划。基于低,中和高预算金额,这些计划可作为组织发展的基础。审查了适用于任何预算的其他意识活动。最后,提供了向普通员工群体推广意识计划的指南。
关键词
计划
预算
成本
推广
国家网络安全意识月(NCSAM)
我们在前几章中已经介绍了意识计划的基本组成部分。现在,我们将探讨一些使用这些基本组成部分构建完整计划的示例。讨论的样本计划旨在为您提供一个计划基准,并可根据您组织的需求进行定制。
创建安全意识网站
该网站应该是你的意识计划的代表。它应该为员工提供一个可信赖的资源,提供最新信息。没有人想要在他们的电子邮件中搜索政策或程序,特别是当网站为他们提供他们所需的所有资源时[1]。至少,内容应包括
■ 报告可疑活动的电子邮件地址和电话号码
■ 培训和参考资料
■ 最近收到的网络钓鱼电子邮件或电话的警报
■ 企业计算机使用和物理安全政策
■ 他们家庭计算机的防病毒信息
■ 每日安全提示
■ 链接到外部关于热门话题的文章,例如身份盗窃
除了包含有用信息外,意识网站还需要具有吸引力,以鼓励员工访问。引人注目的标题,主题和图形能够吸引读者的注意力[2]。包括短的安全视频[3]或卡通[4]可以创建一个有吸引力且具有教育性的网站。与您的市场营销和网页开发团队合作,简化访客的体验。最重要的是,网站内容必须是当前的,以吸引员工频繁访问。虽然您希望网站充满有用的内容,但不要过度加载多余的材料,因为一些员工可能无法区分有用信息和一般信息。
样本计划
低预算
该计划最适合预算有限的组织。如果部门地理分布广泛,可以由当地安全联系人介绍面对面培训部分,或者从总公司演示中录制。
新员工培训
■ 采用面对面讲座形式介绍以下企业政策:
■ 数据分类
■ 授权的计算机使用
■ 物理进出程序
■ 处理敏感信息
■ 报告可疑的电子邮件或活动
■ 符合监管要求的具体内容(如果适用)
■ 基于计算机的培训(CBT)、基于网络的培训(WBT)或视频培训,用于以下内容:
■ 计算机/笔记本电脑安全
■ 钓鱼意识和预防基础知识
■ 良好的安全习惯
■ 安全的网页浏览
■ 选择有效密码
■ 社会工程
存在许多免费的 CBT、WBT 和视频培训资源。请参见第八章中免费和商业培训产品的示例。一种 CBT 的形式也可以是您的安全团队制作的幻灯片。如果您选择的解决方案没有进度跟踪功能,请确保确定一种跟踪每位员工何时完成培训的方法。
每半年进行的培训
大部分每半年进行的培训都会重申新员工培训中涵盖的基本知识,但还会加入一些其他话题。
使用新员工培训的 CBT、WBT 或视频培训模块。还应该添加内容以包括
■ 与安全相关的政策或程序变更
■ 物理安全基础知识复习,比如尾随进入
■ 访客政策
■ 报告可疑电子邮件和/或活动的程序
■ 处理敏感信息的方法
■ 可移动媒体安全
■ 新的与安全相关的软件,比如密码保险箱
持续培训
海报是最廉价的意识资源之一。成功利用海报的两个最大因素是位置和内容。将海报放在交通量大的地方,这样它们就会被最多人看到。此外,要轮换海报,包括内容和位置,以确保员工不断地复习材料。通过这样做,你有更大的机会让员工记住海报上的信息。有关海报的更多信息请参见第八章。为员工保持信息新鲜的其他方法包括不断更新安全意识网站,并发布每月或每季度有关各种与安全相关的主题的新闻简报。这些都是让员工牢记安全意识的有效方法。
自制视频宣传是另一种低成本的培训选择。视频应该是非正式的——想象一下更像是 YouTube 而不是好莱坞——而且只有一两分钟长。在视频中使用员工可以鼓励每个人参与。在视频中加入一些幽默也可以鼓励员工经常期待观看,因为它能激发同事之间的友情,帮助员工与某个话题产生共鸣。还可以包括一个“建议箱”电子邮件帐户,供员工提交未来内容的想法。
许多免费的午餐学习活动选项存在。安全团队或其他员工(在安全团队的指导和批准下)可以为演示编写会话内容。在这些活动中演讲也是那些希望提高公众演讲技能的人的好方法。另一个选择是观看一个短视频,然后进行小组讨论。从每季度开始,并根据受欢迎程度和自愿者演讲者增加会话。可以在第八章中找到一些午餐学习主题的示例。
钓鱼评估
组织应该每年完成至少两次钓鱼评估。自行实施钓鱼评估的最便宜选项是使用开源软件。社会工程工具包(SET),如第十章中讨论的那样,是执行自己的钓鱼评估的免费工具。SET 需要基本的 Linux 和 Apache 知识,因此这项任务最好由安全团队中技术熟练的成员负责。确保结果以电子表格或类似格式存储以供长期跟踪和比较。
适度预算
这个计划最适合预算适中、地理位置分散的组织。该计划的重点是在流程自动化和内容最有利的领域利用资金。面对面培训部分可以由当地安全联系人进行或从主要公司办公室的演示录制。该计划的面对面培训部分旨在让组织中的安全组或当地联系人有一个面孔。
新员工培训
■ 以面对面讲座形式讲解以下公司政策:
■ 数据分类
■ 授权计算机使用
■ 物理进出程序
■ 处理敏感信息
■ 报告可疑电子邮件或活动
■ 特定监管要求(如果适用)
■ CBT、WBT 或视频培训的以下内容:
■ 计算机/笔记本安全
■ 钓鱼意识和预防基础知识
■ 良好的安全习惯
■ 安全的网络浏览
■ 选择有效密码
■ 社会工程学
对于适度预算,最佳选择是具有独立培训模块、钓鱼评估能力、可以与失败的钓鱼评估结合的培训模块以及进度跟踪的商业解决方案 WBT。进度跟踪应包括员工何时接受了所需的培训和钓鱼评估的结果。
半年培训
大多数半年培训都是重申新员工培训中涵盖的基本知识,但增加了一些额外的话题。利用新员工培训的 WBT 模块。还应添加内容,包括
■ 与安全相关的政策或流程更改
■ 对物理安全基础的审查,如尾随
■ 访客政策
■ 报告可疑电子邮件和/或活动的程序
■ 处理敏感信息
■ 可移动媒体安全
■ 新的与安全相关的软件,比如密码保险箱
请记住,每半年的培训课程并不要求使用相同的交付方法。例如,一年中的第一次培训课程可以是网络培训,而第二次培训课程可以是面对面的演示。改变交付方法通常是帮助员工保持数据记忆和整体意识的好方法。
持续培训
资金的首要用途应该是购买一个稳健的商业解决方案,该解决方案整合了培训、钓鱼测试和追踪功能。如果有额外的资金,考虑将商业视频广告活动纳入你的安全意识计划中。Restricted Intelligence 提供了一种基于喜剧的方法,通过一个视频系列以娱乐的方式教授安全基础知识。该活动采用类似电视系列的方式,每次发布一段视频。套餐包括海报、预告片和其他资源,用于宣传视频系列。更多信息请访问www.restrictedintelligence.co.uk/
。
海报是最受欢迎且成本最低的意识资源之一。成功利用海报的两个最重要因素是位置和内容。将海报放置在人流量大的区域,以确保最大的可见性。此外,要轮换海报,包括内容和位置,以确保员工不断地复习材料。通过这样做,你有更大的机会让员工记住海报上的信息。关于海报的更多信息,请参考第八章。为员工保持信息更新的其他方法包括不断更新安全意识网站,并发布关于各种安全相关主题的每月或每季度新闻通讯。这些都是让员工时刻关注安全的有效方式。
也可以将午餐学习会纳入你的安全意识计划中,但不应占用年度计划预算的大部分。午餐学习会有许多免费和低成本的选择。安全团队或其他工作人员(在安全团队的指导和批准下)可以为演示文稿编写会议内容。在这些活动上演讲也是希望提高公众演讲技巧的人们的好方法。有关午餐学习会主题的一些示例可以在第八章中找到。
钓鱼测试
如果您投资于一个包括钓鱼评估能力和培训的强大商业解决方案,那么应该每季度完成钓鱼评估。为每个季度制定一个评估计划,与联系人名单一起审查,如第十章所讨论的。如果您的组织规模较小到中等,可能可以每月进行钓鱼评估。通过为那些未通过钓鱼评估的人提供培训,您正在提供一个全年不间断的培训计划,强化了在每年两次培训会议中传达的内容。
大预算
如果您的组织有足够大的预算,以下计划应作为最低活动基线。该计划假定组织拥有大量地理分布的员工,并且必须满足监管培训要求。该计划的重点是利用资金在流程自动化和内容方面获得最大效益。虽然面对面培训部分对一些组织效果很好,但对于大量员工,更多基于技术的交付解决方案可能更适合。
新员工培训
■ CBT、WBT 或视频培训包括以下内容:
■ 数据分类
■ 授权计算机使用
■ 进出程序
■ 敏感信息处理
■ 报告可疑电子邮件和/或活动的程序
■ 法规特定要求(如适用)
■ 计算机/笔记本安全
■ 钓鱼意识和基本预防
■ 良好的安全习惯
■ 安全的网络浏览
■ 选择有效的密码
■ 社会工程
对于组织特定的主题,定制的 WBT 解决方案是最佳选择。具有长期支持的定制 WBT 解决方案使您能够指定所需内容,并随着时间的推移更新材料。由于可能涉及敏感材料,最好将 WBT 托管在您的环境中。在选择商业产品时,请确保内容可以在您的环境中托管。
对于一般的安全主题,投资于一个具有独立培训模块、钓鱼评估能力、可以与未通过的钓鱼评估结合的培训模块以及进度跟踪的 WBT。进度跟踪应包括员工何时接受了必要的培训以及钓鱼评估的结果。
每年两次培训
大部分每年两次的培训重申了新员工培训中涵盖的基本知识,但还包括一些额外的主题。利用新员工培训中的 WBT 模块。还应添加内容,包括
■ 与安全相关的政策或程序更改
■ 审查物理安全基础知识,如尾随入侵
■ 访客政策
■ 报告可疑电子邮件和/或活动的程序
■ 敏感信息处理
■ 可移动媒体安全
■ 新的与安全相关的软件,如密码保险箱
请记住,不需要使用相同的交付方法进行每年两次的培训会议。例如,一年中的第一次培训会议可以是网络培训,而第二次培训会议可以是面对面演示。虽然为远程地点录制面对面演示是一种选择,但为了最大效果,当地现场安全经理应当呈现材料。这为员工提供了亲自提问并熟悉当地安全团队的机会。
持续培训
资金的首要优先事项应该是一个集成培训、钓鱼和跟踪能力的强大商业解决方案。如果有额外资金可用,考虑将商业视频广告活动纳入您的意识计划中。商业视频广告活动非常适合大型组织,因为它们提供持续的安全意识。Restricted Intelligence 提供了一个以喜剧为基础的方法,通过一个带有娱乐性转折的视频系列教授安全基础知识。该活动采用类似电视系列的方式,视频逐一发布。套餐包括海报、预告片和其他资源来宣传视频系列。更多信息请访问www.restrictedintelligence.co.uk/
。
尽管海报被认为是一种低成本的意识资源,但仍应纳入您的意识计划中。在大型组织中,员工不太可能与安全团队进行日常互动。海报用于为员工提供最佳安全实践的微妙提醒。如果您投资于商业视频广告活动,海报通常包含在购买价格中。有关海报的更多信息可在第八章中找到。除了更新安全意识网站外,发布每月或每季度关于各种安全相关主题的新闻简报是保持员工对安全关注的有效方式。
对于大型组织来说,午餐学习会可能在逻辑上存在挑战,但并非不可能。在总部设施举办的会议可以录制或通过视频电话会议软件进行直播。此外,远程地点也可以举办本地会议。安全团队或其他工作人员(在安全团队的指导和批准下)可以为演示编写会议内容。在这些活动中演讲也是希望提高公众演讲技巧的人的好方法。如果预算允许,考虑聘请一位知名演讲人来鼓励参与。午餐学习的主题示例可在第八章中找到。
钓鱼评估
钓鱼评估应每季度完成,使用一款强大的商业解决方案,其中包括钓鱼评估功能以及培训。为每个季度制定评估计划,与第十章讨论的联系人清单一起审查。通过为那些未通过钓鱼评估的人提供培训,您正在提供一项全年持续的培训计划,加强了在每年两次培训会议中传达的内容。
推广您的意识计划
所有的意识计划都需要进行推广才能取得成功。然而,让员工参与并不总是一件容易的事情。通常可能需要在内部营销您的计划,也称为社会工程自己的(员工)。您不仅正在推广一个意识计划,而且还在影响一个具有安全意识的文化。以下是一些帮助您入门的活动。
比赛和奖品
人们天生具有竞争性,一旦涉及某种奖品,这种竞争性就会更加明显。比赛是吸引所有人的注意和参与的好方法。以下是一些示例,帮助您入门:
■ 根据程序、合规性或任何其他提供的材料回答安全问题的正确答案奖品
■ 安全海报比赛
■ 钓鱼评估得分完美的人的奖品或认可
■ 自制意识视频比赛
■ 每月对报告潜在钓鱼事件的人进行抽奖
奖品可以根据您的预算而变化。但是,奖品并不总是需要昂贵才能有效。一些流行的选择包括
■ 礼品卡
■ 电影票
■ 活动门票
■ 保留的停车位
■ 现金
■ 小型电子设备,如 MP3 播放器
公告
实施每月安全电子邮件活动可以使您的员工保持最新状态,并增加对您的安全意识网站的访问量。简短的每月电子邮件应包含一个关键消息。还包括链接到安全意识网站上的新材料。积极的公开认可可以成为员工激励的有力工具。考虑展示报告可疑活动或其他安全意识行为的员工。
国家网络安全意识月
美国国土安全部和国家网络安全联盟共同创建的国家网络安全意识月(NCSAM)在十月份举行。NCSAM 旨在在政府和民间组织中创建一个安全的网络环境[5]。NCSAM 可用于加强先前教授的材料,以及引入新内容。通常会为每周宣布一个主题,但不是必需的。一些示例主题包括以下内容:
■ 安全:一种共同的责任
■ 移动安全
■ 身份盗窃
■ 社交媒体的危险
■ 保护孩子在网上的安全
■ 网络犯罪
NCSAM 活动可以从特别版桌面背景到带有演讲和活动的网络安全展览会。许多大学和组织提供免费的 NCSAM 计划和协调材料。也可以在 www.staysafeonline.org/ncsam/
上获得信息。
注释
[1] 安全意识快速入门指南 wiki.internet2.edu/confluence/display/itsg2/Security+Awareness+Quick+Start+Guide
[于 2014 年 3 月 16 日访问]。
[2] 开发您的校园信息安全网站 wiki.internet2.edu/confluence/display/itsg2/Developing+Your+Campus+Information+Security+Website
[于 2014 年 3 月 16 日访问]。
[3] 联邦贸易委员会消费者信息 www.consumer.ftc.gov/media
[于 2014 年 3 月 16 日访问]。
[4] 安全漫画 www.securitycartoon.com/
[于 2014 年 3 月 16 日访问]。
[5] 国家网络安全意识月 www.dhs.gov/national-cyber-security-awareness-month
[于 2014 年 3 月 22 日访问]。
第十三章:评估有效性
瓦莱丽·托马斯(美国弗吉尼亚州洛顿 Securicon)
摘要
评估意识计划的有效性可能具有挑战性,特别是对于那些没有风险管理背景的人。本章涵盖了选择有价值的测量和创建可用指标。详细讨论了正确报告和呈现指标,因为这对于获得高级管理层的理解和支持至关重要。
关键词
测量
指标
指标计划
图表
报告
评估有效性
意识计划经常被忽视的一个部分是跟踪进展和衡量影响的方法。这些指标应该用作调整计划和向高级管理层报告进展的指南。如果您的组织有一个风险管理团队,请与他们就他们当前的指标计划进行咨询。很可能他们收集的部分数据可以用于意识培训指标。
测量 vs. 指标
这些信息类型经常可以互换使用;然而,它们并不相同。
测量是在特定时间确定的数值,由计数生成[1]。一个测量的例子是上个月报告的感染计算机数量。
指标是通过对测量进行分析生成的。指标是对比在一定时间内进行的两个或多个测量,并与预定基线进行比较[1]。例如,感染计算机数量在第二季度比第一季度增加了 5%。可用的指标取决于准确的测量。
创建指标
成功的指标计划包括定义明确的测量和获取这些测量所需的步骤。记录所需测量和负责人员是关键。以下示例来自 SANS 社区网站[2]。许多意识计划资源可供使用,包括一个样本指标矩阵,网址为www.securingthehuman.org/resources/security-awareness-roadmap/
。每个指标至少应包含以下部分。
指标名称
指标名称应该是可以从一个或多个类型的测量中计算出来的高级主题。在这个例子中,我们将使用钓鱼检测。
什么被测量
测量是客观原始数据,意味着不需要人类解释来获得测量值。钓鱼检测的一个测量是报告给安全团队的可疑电子邮件数量。这个测量旨在评估遵循适当程序报告可疑消息的员工数量。虽然这个测量本身就足够了,但额外的测量可以提供更多见解。测量关于可疑电子邮件的帮助台电话或电子邮件的数量也可能有用,因为它可以指示未遵循适当程序的员工数量。
收集的测量数据数量没有限制。与评估相关的钓鱼检测的一些附加测量数据包括
■ 发送的电子邮件数量
■ 打开的电子邮件数量
■ 点击链接的员工人数
■ 输入信息的员工人数
构建信息安全感知程序(二)(3)https://developer.aliyun.com/article/1507688