.png)
التكنولوجيا
التدريب على التوعية الأمنية ومحاكاة الاحتيال
يعمل التدريب على التوعية الأمنية ومحاكاة التصيد الاحتيالي على تثقيف المستخدمين واختبارهم باستمرار، وتحويل نقاط الضعف البشرية إلى دفاع قوي ضد التهديدات الإلكترونية.
حتى مع جميع تقنيات الأمن السيبراني المتقدمة، يظل البشر أحد العوامل الأكثر أهمية في أمن المؤسسة. يعرف المهاجمون ذلك، وهذا هو سبب انتشار التصيد الاحتيالي والهندسة الاجتماعية - غالبًا ما يكون خداع الشخص أسهل من اختراق النظام. تدريب التوعية الأمنية و محاكاة التصيد تهدف التقنيات إلى تحويل هذا الرابط الأضعف إلى خط دفاع أول قوي من خلال تثقيف المستخدمين واختبارهم بانتظام.
تتضمن هذه التقنية في جوهرها منصة للتعلم الإلكتروني مع محتوى جذاب حول مواضيع الأمن السيبراني المختلفة: كيفية اكتشاف رسائل البريد الإلكتروني المخادعة، وإنشاء كلمات مرور قوية، وعادات الإنترنت الآمنة، والعلامات الحمراء للهندسة الاجتماعية، والسياسات الخاصة بالشركة. لكن المفتاح ليس مجرد التدريب لمرة واحدة - إنه التعزيز المستمر وتمارين المحاكاة.
محاكاة التصيد الاحتيالي هي تقنية تقوم فيها المؤسسة (عبر منصة مثل BeamSec Phishy) بإرسال رسائل بريد إلكتروني مزيفة واقعية إلى موظفيها لمعرفة كيفية استجابتهم. تم تصميم رسائل البريد الإلكتروني هذه لتقليد أنواع السحر التي قد يستخدمها المهاجمون الحقيقيون - ربما تنبيه تسجيل دخول مزيف إلى Office365، أو بريد إلكتروني مخادع من الموارد البشرية حول تحديث المعلومات، أو شيء موضوعي مثل تحديث سياسة COVID. عندما ينقر المستخدم على بريد إلكتروني احتيالي تمت محاكاته أو يقوم بإدخال بيانات اعتماد على صفحة تسجيل دخول مزيفة، يسجل النظام هذا الإجراء (لا يتم جمع بيانات اعتماد حقيقية بالطبع) ويقدم على الفور ملاحظات أو درسًا تدريبيًا صغيرًا: على سبيل المثال، «كان هذا اختبارًا، وقمت بالنقر. إليك ما فاتك - كان عنوان المرسل معطلاً قليلاً، ولم يكن الرابط في الواقع إلى موقع شركتنا، وما إلى ذلك.» تعتبر حلقة التغذية الراجعة الفورية هذه فعالة بشكل لا يصدق كأداة تعليمية، لأنها تربط التدريب بسيناريو حقيقي اختبره المستخدم للتو.
وبمرور الوقت، يمكن تصميم عمليات المحاكاة هذه لتكون أكثر تعقيدًا أو استهدافًا، ويمكنك تتبع مقاييس مثل معدلات النقر (من ينقر على المخادعين) ومعدلات الإبلاغ (من الناحية المثالية، سيبدأ المستخدمون في الإبلاغ عن البريد الإلكتروني المشبوه إلى قسم تكنولوجيا المعلومات). مع تحسن الوعي، يجب أن تنخفض معدلات النقر.
غالبًا ما تتضمن منصات التوعية الأمنية الألعاب والحوافز - قد يكسب المستخدمون نقاطًا أو شارات لإكمال الوحدات أو لاكتشاف اختبار التصيد بشكل صحيح. تقدم بعض المنظمات منافسة ودية بين الأقسام حول من يمكنه الحصول على أقل معدل نقر على عمليات المحاكاة أو أعلى مشاركة في التدريب.
بالإضافة إلى التصيد الاحتيالي، تغطي وحدات التدريب أشياء مثل الأمان المادي (عدم فتح الأبواب للغرباء)، وخصوصية البيانات، والتعرف على عمليات الاحتيال عبر الهاتف، وما إلى ذلك. تستخدم المنصات الحديثة مقاطع فيديو تفاعلية ومسابقات وحتى ألعاب لعب الأدوار أو محتوى بأسلوب المغامرة الخاص بك للحفاظ على تفاعل المستخدمين (دعونا نواجه الأمر، كان التدريب الأمني مملًا للغاية - والآن يسعى البائعون جاهدين لجعله ممتعًا).
نهج BeamSec، من خلال منصة PhishPro الخاصة بها (كما هو موضح في محتوى مثال Phishy)، يؤكد أيضًا على العنصر البشري للمخاطر في البريد الإلكتروني. من خلال تزويد الموظفين بالوعي والأدوات (مثل زر «الإبلاغ عن التصيد الاحتيالي» السهل)، يمكنك تحويلهم إلى امتداد لفريق الأمان الخاص بك. تصبح أجهزة استشعار يمكنها تحديد التهديدات المحتملة التي قد لا تصطادها التكنولوجيا. على سبيل المثال، سيكون الموظف الذي تم تدريبه متشككًا في طلب تحويل إلكتروني غير متوقع وسيقوم بالإبلاغ عنه، في حين أن الموظف غير المدرب قد يمتثل فقط، مما يتسبب في خسارة مالية.
جانب آخر هو قياس وتعديل البرنامج التدريبي. توفر هذه التقنية لوحات معلومات تعرض درجات المخاطر لكل مستخدم أو قسم، والموضوعات التي يعاني منها الأشخاص (ربما فشل العديد منهم في اختبار حول سلامة التخزين السحابي - مما يشير إلى الحاجة إلى مزيد من التركيز هناك)، والتحسين بمرور الوقت. يسمح هذا النهج المستند إلى البيانات للمؤسسة بتركيز الجهود عند الحاجة إليها. ربما يكون قسم الشؤون المالية مستهدفًا بشكل كبير من خلال التصيد الاحتيالي - يمكن تصميم عمليات المحاكاة لهم باستخدام الطعوم ذات الطابع المالي.
غالبًا ما يكون التدريب المستمر للتوعية جزءًا من أنظمة الامتثال ويمكن أن يقلل من تكاليف التأمين ضد المخاطر التنظيمية. إنه يُظهر ثقافة الوعي الأمني التي يمكن أن تردع الهندسة الاجتماعية (يتحدث الناس - إذا كان الموظفون معروفين باليقظة، فقد يصنف المهاجمون مؤسستك كهدف أصعب لعمليات الاحتيال).
باختصار، تعمل تقنية التوعية الأمنية ومحاكاة التصيد الاحتيالي على تحويل القوى العاملة لديك من ضحايا محتملين إلى مدافعين نشطين. إنه مكمل ضروري للدفاعات الفنية لأنه في مرحلة ما، سيمرر المهاجم بريدًا إلكترونيًا يتجاوز الفلاتر أو يتصل بمكتب الاستقبال متظاهرًا بأنه متخصص في تكنولوجيا المعلومات. في تلك اللحظة، أفضل دفاع لك هو موظف يمكنه التعرف على «هذا لا يبدو صحيحًا». تساعد التكنولوجيا على خلق تلك الغريزة من خلال الممارسة والتعليم. يمكن للقوى العاملة المدربة جيدًا إيقاف الهجوم في مساراته من خلال عدم الوقوع في غرامه أو من خلال الإبلاغ عنه في الوقت المناسب، مما يجعل التدريب التوعوي استثمارًا عالي العائد على الاستثمار في الوضع الأمني العام.
