На конференции Black Hat были представлены результаты восьмимесячного исследования, посвящённого эффективности антифишингового обучения. Исследователи Ариана Мириан и Кристиан Дамефф протестировали более 19 тыс. сотрудников медицинской системы Университета Калифорнии в Сан-Диего (UCSD) и пришли к выводу: существующие методы обучения почти не дают результата.
Участников эксперимента разделили на несколько групп. Одним после перехода по фишинговой ссылке показывалась только ошибка 404, другим — советы на статических страницах, третьим — интерактивные материалы, а четвёртым — персонализированный разбор письма, на которое они «клюнули». Ожидалось, что такая градация повысит уровень сопротивляемости атакам, но итоговая разница между всеми группами и контрольной составила лишь 1,7 %.
Исследователи подчеркнули, что фокус на обучении в нынешнем виде даёт сомнительный эффект. Ариана Мириан заявила, что в таком виде антифишинговые программы практически бесполезны, а их эффективность — переоценена.
В ходе исследования удалось выявить важные закономерности. Поведение сотрудников во многом зависело от содержания писем. Темы вроде «смены пароля» игнорировались почти всеми, тогда как фейковые уведомления о «новых правилах отпусков» или «изменениях дресс-кода» срабатывали в 30 % случаев.
Даже при регулярных тестах более половины сотрудников хотя бы раз становились жертвами фишинга. «Если дать достаточно времени, почти все попадаются», — отметила Ариана Мириан, добавив, что наказания за такие инциденты неэффективны и подрывают рабочую атмосферу, ведь под них может попасть значительная часть компании.
Отдельным тревожным результатом стало то, что многие участники просто закрывали обучающие страницы почти сразу, не читая информацию. Исследователи не успевали даже зафиксировать факт ознакомления.
По словам Кристиана Дамеффа, это не означает, что образовательные программы по фишингу нужно отменять. Но необходимо пересматривать подход: внедрять новые форматы, измерять их результативность научными методами и не полагаться вслепую на заверения поставщиков решений. «Требуйте доказательства эффективности — сухих цифр, а не презентаций», — подчеркнул он.
Оригинал публикации на сайте CISOCLUB: "Антифишинговое обучение сотрудников оказалось почти неэффективным".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.