Fråga:
Företaget vill inte ha några namn på nätfiskerapporter
pm1391
2018-01-30 06:53:36 UTC
view on stackexchange narkive permalink

Vi har nyligen fått uppdrag att köra phishing-tester för ett företag. Låt oss kalla det ett företag men i grunden är de enligt lag skyldiga att bedöma säkerheten i deras miljö med nätfiske-kampanjer.

Vi körde våra första kampanjer för inte så länge sedan och resultaten var ganska dåliga. Över 70% av deras användare litade på de "skadliga e-postmeddelandena" som vi skickade och gjorde vad e-postmeddelandet bad dem.

När det var över hade vi naturligtvis en kortfattad beskrivning av våra resultat. Lång historia kort, de ville inte ~ några ~ Identifierare (e-post, användarnamn, vad som helst) av vem som föll för phishen. De ville att "X av 300" kunde inte identifiera e-postmeddelandet. Deras anledning var att de inte ville förolämpa någon. (Jag ville säga att dina kunders känslor kommer att skadas när dina anställda faller för en potentiell attack och läcka information) Jag anklagade artigt dem för att ha markerat en ruta och faktiskt inte var intresserade av att utbilda sina användare. De var inte särskilt nöjda. Jag borde utarbeta genom att säga att de inte ens ville ha två rapporter, en som visar e-postmeddelandena och en annan som inte visar dem. Jag erbjöd dem det eftersom de åtminstone kan se hur dessa enskilda människor reagerar på olika kampanjer övertid. Detta skulle absolut hjälpa om användaren "Sam" klickar på varje länk i ett e-postmeddelande varje gång under tio kampanjer. Visst skulle du vilja utbilda Sam annorlunda än andra användare?

Min fråga är, besegrar detta inte syftet med phishing-kampanjer och förbättrar säkerheten för information i ditt nätverk? Är det till och med normalt?

"Jag anklagade dem artigt för att ha markerat en ruta och faktiskt inte varit intresserade av att utbilda sina användare."Det är inte riktigt möjligt att göra det artigt.
Är det här en enskild phishing-kampanj?eller pågående?Vid ett tidigare företag hade vi pågående körningar - månadsvis, kvartalsvis ... Det fanns allmänna rapporter (8 av 300) - och specifika rapporter för ledningen (de som körde testerna kunde säga vem som var upprepade).Det finns en skillnad mellan "Jill klickade på e-postmeddelandet en gång" och "Jill klickade på e-postmeddelandet fyra gånger i rad trots upprepade klasser och varningar" ... Mer än en gång leder till ökad synlighet - och konsekvenser.
@pm1391 Pågående ... Finns det olika rapporter?"8 av 300" ... mot detaljerade uppdelningar av, säg, upprepade gärningsmän?Första körningar skiljer sig från femte körningar - efter att ha varnats upprepade gånger.Är ledningen ovillig att ta itu med upprepade gärningsmän (om du har kommit så långt)?DET skulle vara en större fråga ...
Skulle de vara öppna för uppdelning efter avdelning / plats / ålder?Enligt min erfarenhet är detta extremt användbart för att hjälpa till att begränsa områden som behöver hjälp.Och på det här sättet behöver du inte hantera individer.Också av erfarenhet har jag sett denna begäran tidigare.Och det är när beslutsfattarna inte vill vara de som identifieras ...
Hatar att ständigt ställa frågor: Om de förnekar detaljerad rapportering och resultaten inte förbättras ... vem är skyldig när det gäller sällskapsdjur?Om du inte ger bra information - har du fel?Om de vägrar informationen, är de fel?Med andra ord - om ett år när ett intrång inträffar ... vem ska bli stämd?
Kommentarer är inte för utökad diskussion eller för att besvara frågan;den här konversationen har [flyttats till chatt] (http://chat.stackexchange.com/rooms/72590/discussion-on-question-by-pm1391-company-does-not-want-any-names-on-phishing-rep).
Som icke-expert tycker jag att detta är ganska smart, eftersom det undviker att låtsas att de testade individerna är problemet och inte systemet / kulturen.
åtta svar:
baldPrussian
2018-01-30 07:01:50 UTC
view on stackexchange narkive permalink

Denna första kampanj skapade först en baslinje. Så ja, det är normalt. "Hur står vi som företag? Till vilken nivå behöver vi träna? Har vi som helhet säkra användare eller har vi som helhet osäkra användare?" Denna rapport fastställer detta och i vilken utsträckning ledningen behöver delta i phishing-utbildning. Om bara 5% av användarna skulle falla för phish-försöket skulle utbildningsfokuset vara mycket annorlunda. Som det ser ut, vet nu ledningen att de i huvudsak har ett företagsomfattande problem och att en phish-kampanj i princip har 70% chans att lyckas.

Nu när företaget gör framtida phishing-utbildning kan de jämföra resultat och avgöra om utbildningen lyckades. "Vi föll ursprungligen för det 70% av tiden. Den här gången föll vi för det 68% av tiden. Det var därför inte framgångsrikt." Eller "Vi föll ursprungligen för det 70% av tiden och föll nu för det 50% av tiden. Vi klarar oss bättre men behöver vidareutbildning."

Bra poäng, jag skulle vara överens med dig men de sa aldrig något om att upprätta en baslinje när jag uttryckte min oro.Dessutom ville de inte ens att jag skulle lagra resultaten, så jag blev förbryllad.
Det är du som gör phishing-testet.Du borde veta att förbättring tar träning och tid
Man kan argumentera för att ett företag där 70% av användarna faller för phishing-kampanjer i grund och botten har en 100% chans att falla för en phish-kampanj eftersom det vanligtvis räcker att en enda person faller för det.
En person som faller för nätfisket är faktiskt en person för många.Och träningen måste förbättras för att tilldela namn eller inte om det är ett utbrett problem som förmodligen inte behövs.Få alla utbildade ändå.Om det är en liten delmängd är identifiering troligen bra, speciellt om det är en kärnidentifierbar grupp som en lista över personer som har en jobbtitel som börjar med C (US) eller D (UK), en viss avdelning, etc.
+1 och en nitpick: Om 70% av användarna förväntas svara positivt, dvs.e.varje användare har sannolikheten att p = 0,7 svarar positivt, på en nätfiske-kampanj, då är kampanjens chans att lyckas sannolikheten P för minst ett positivt svar och `P = 1- (1-p) ^ n` där när antalet användare som adresseras under kampanjen.Detta är ganska mycket i linje med kommentaren från @Christoph.
... för ett medelstort företag med n = 50 och p = 0,7 är sannolikheten för kampanj * misslyckande * 1 − P ungefär 10 ^ −26.
@pm1391 Jag vet inte hur din kampanj kördes, men i något av de dussin jag har gått igenom ropas användarna som klickar på den dåliga länken eller vad som helst, för länken leder till en sida som säger "Du misslyckades medtest "eller liknande.Det finns inget behov (åtminstone initialt) att rapportera exakt * vem * misslyckades, för själva kampanjen var en slags utbildning.
På baksidan fick personer som rapporterade den misstänkta aktiviteten till säkerhetsteamet ett personligt klapp på ryggen, vilket förstärkte deras beteende positivt.Det är möjligt att en rapport levererades högre upp i livsmedelskedjan med faktiska användarnamn och svar, men jag ser inte (särskilt i ett stort företag) hur det skulle vara en användbar ansträngning att komponera / konsumera.
@thanby Vi gjorde något liknande (meddelade användarna att de misslyckades).Men ledningen ville inte ha någon användarinformation och de tänker inte spåra något övertid.Enligt min åsikt kan du få så mycket information från ett phishing-test och att krympa ner det till x / 300 klickat, är enligt min åsikt dumt
Rätt nog, det är inte mycket som argumenterar med det.Men i slutändan är allt du kan göra att ge ditt bästa råd, och om de inte vill ha det borde du inte tvinga problemet.Dokumentera bara att de inte följde dina rekommendationer till CYA
@pm1391 De betalar verkligen för att göra något och så länge det inte är olagligt, omoraliskt eller oetiskt, är det verkligen deras problem.Det är svårt för oss att acceptera "vi fick betalt och de kan göra med vårt arbete vad de vill", men det är typ av ett konsultföretag.Ja, de kunde göra mer.Men i slutändan tillhandahåller vi den service som krävs och går iväg medvetna om att vi gjorde det bästa vi kunde.
@DavidFoerster: säger "bla-bla 10 ^ -26 chans att nätfiske-kampanj misslyckas bla-bla" kommer att göra absolut inget intryck i något styrelserum i Amerika.Det rätta sättet att uttrycka detta är, "Om du inte gör något omedelbart och drastiskt, kommer alla i detta rum att förlora sina bonusar, aktietillskott, optioner och avgångspaket efter att feds stänger dina dörrar".DET kommer att fokusera uppmärksamheten som ingenting annat - och även * det * kommer att resultera i att bara några få chefer sparkas och C-sviten blandas om.Bara ordna om dessa solstolar så är vi bra, Cap'n ..!
@BobJarvis: Visst.Mitt argument var dock inte avsett för en styrelse.Det riktades till författaren av frågan och en kritik av deras matematik.
McMatty
2018-01-30 08:47:08 UTC
view on stackexchange narkive permalink

Nej, för genom att ge namn som du tilldelar skulden måste säkerheten gå bort från att skylla på individer och istället ta det som en helhet. Det är detsamma som att hitta en säkerhetsproblem på en webbplats: du ska inte skylla på utvecklaren utan istället försöka förbättra hela processen.

Vi kör nätfiskekampanjer och identifierar inte användare. Vad vi använder det för är att identifiera svaghet från vår sida och att vi behöver utbilda vår personal bättre. Det är ingen mening att fokusera utbildningen på bara en enda person.

Efter en kampanj skickar vi e-post till all personal, ger statistik över misslyckanden / framgång och ger sedan tips för att upptäcka nätfiske och hur man behandlar e-post i allmänhet .

Består inte "att ta säkerhet som helhet" av dina individer?Så din miljö är bara så säker som dina individer i denna mening.Jag förstår att det inte handlar om att skylla på användare, men det finns en möjlighet att vissa användare är mer mottagliga för attacker och därför bör behandlas och utbildas annorlunda.Jag tror inte att det är relaterat till en webbutvecklare, för jag skulle skylla på en webbutvecklare för en dåligt inrättad webbplats, det är hans jobb.
@pm1391 ett av de potentiella problem som jag kan tänka mig om användarna identifieras är att det blir svårt att glömma dessa användare, och de kan bedömas partiskt i framtiden när det finns en förekomst relaterad till att lita på något (t.ex. dataläckage,etc.).
@pm1391 Om du tar hänsyn till det faktum att användare tenderar att lämna och gå med förstår du att det inte finns någon anledning att fokusera på specifika användare, bara på träningsprocesser och säkerhetsprocedurer.
Vid 70% har de helt klart ett systemproblem.De kan ha en enorm förbättring med utbildning över hela företaget och inget behov av att skylla på någon.På dessa nivåer, om någon är skyldig, är det de som är på toppen ändå ~ (förutsatt att företaget inte består av säkerhetsproffs som borde veta om dessa saker);de andra 30% kan ta lite försiktighet på sin egen tid, eller kanske var de helt enkelt för upptagen och ignorerade nätfiskeförsöken.
Att ha en icke-nominativ rapport binder dem inte till privata dataregler, medan det fortfarande extraherar meningsfulla resultat.
@pm1391 bör du alltid försöka ge alla samma behandling.Om du börjar utpeka människor kan de känna sig diskriminerade i framtiden.
Jag håller med, ni har alla ändrat mig.Jag gillade bara inte svaret de gav mig.Men det är deras sak antar jag, inte min
Detta är det rätta svaret.Jag vet inte var tanken att _skämma människor är bra säkerhet_ kommer ifrån.Om något gör det människor mer defensiva och mindre benägna att följa råd.Jag önskar verkligen att "proffs" i säkerhet skulle inse att det finns en enorm värld utanför deras lilla lilla domän.
@Jorrit det är sant i det här fallet där ~ 70% föll för det.Förmodligen behöver hela företaget utbildning.Men om 2% av hela företaget var mottagliga för detta, skulle det inte vara meningsfullt att utbilda hela företaget baserat på några misstag.Ett individuellt nivåprat kan vara mycket mer effektivt här.
@ChrisH det finns tryck att svara på nätfiske.om din handledare rutinmässigt skickar e-post till dig från hans / hennes personliga konto och förväntar sig ett svar, skulle det vara rationellt att svara på ett nätfiskeattack.det kan vara så att 70% bara gör "rätt sak" med tanke på hur organisationen faktiskt fungerar ... om det var sant skulle det inte vara deras fel.
@emory, det var vad jag gjorde med * På dessa nivåer om någon är skyldig är det de som är högst ändå *
Om jag körde företagets säkerhet och hade namnen skulle jag vilja prata med ett litet urval av offer för att försöka identifiera det specifika problemet innan jag utbildade hela företaget.Annars kanske min "utbildning" missar märket helt!Du får reda på vad problemet är och sedan fixar du det.Du kastar inte bara fixar mot väggen, utan kunskap om problemet, tills de sitter fast.
Tom K.
2018-01-30 20:21:58 UTC
view on stackexchange narkive permalink

Jag tror att rätt vinkel för att titta på detta är att ställa följande fråga:

Med den mängd människor som misslyckades med testet, vilka (säkerhets) mål skulle uppnås om företaget hade dessa namn?

Jag skulle säga: ingen

Vad är säkerhetsmålet för ett företagsövergripande phishing-test i alla fall?

Vanligtvis i varje företag som litar på IT och har en viss mängd anställda är dessa anställda föremål för informationssäkerhetsutbildningar. Dessa utbildningar täcker mestadels grundläggande ämnen som e-postkommunikation, säkerhet på skrivbordet och så vidare. När ett phishing-test körs vill ledningen veta:

  1. om dessa utbildningar lyckades (som i: värt pengarna)
  2. om data eller IT-system som tillhör företaget kan äventyras på grund av brist på bra utbildning

Om du som deras entreprenör säger till dem "70% av dina anställda misslyckades med testet", svarar det på de två frågorna ovan. Om ledningen frågar efter namn i ett företag med mer än 300 anställda får de inte mer relevant information och gör inte jobbet korrekt.

Nästa steg är nu att definiera ett nytt säkerhetsmål. Den borde läsa ungefär så här:

"Under de närmaste X månaderna måste varje anställd delta i en säkerhetsutbildning. Vid $ månad på $ år vill vi att $ entreprenör ska genomföra ytterligare ett phishing-test och andelen människor som misslyckas med detta test bör vara under X%. "

Skulle dessa utbildningar vara mer kostnadseffektiva, om bara de anställda var tvungna att delta, som misslyckades phishing-testet? Förmodligen.
Men: du presenterar dem för 30% av företaget (de som inte behöver gå) som "för dumma för att identifiera ett nätfiskeförsök". Vad detta gör för moral uppväger alla kostnader för att bara skicka alla dina anställda till en utbildning. Dessutom: En annan påminnelse till 30% om informationssäkerhet gör inte riktigt ont.
Det finns en annan anledning till att det här är en bra idé: Om du kör ett phishing-test vet du inte varför människor inte faller för det. Kanske läste vissa av dem inte e-postmeddelandet för att de var på semester, sjuka eller bara hoppade över det, för att de har en inkorg full av viktigare mejl. Ingen kan berätta för dig om de klarar testet nästa gång. Anställda är alltid din främsta riskfaktor, träna dem om du kan.

En annan punkt som jag vill nämna som missades hittills i de andra svaren är att beroende på hur du kommunicerar resultaten: de flesta kommer att känna sig själva att de misslyckades med testet .
Du måste informera dina anställda på ett eller annat sätt och jag antar att det är så som de flesta företag gör det: Skicka ett e-postmeddelande över hela företaget med en skärmdump av nätfiske.

"Kära anställda, ledsen att berätta, men det här var ett phishing-test. Det finns ingen gratis båt som väntar på dig. Antalet personer som inte klarade testet var dåliga, det är varför vi kommer att ha några säkerhetsutbildningar inom en snar framtid. En entreprenör gjorde det här för oss och vi samlade inga personuppgifter, så vi vet inte vem som klickade på en länk och vem som inte gjorde det. Phishing-post kan få riktigt dåliga konsekvenser som ... yadda, yadda, yadda .. ".

Folk kontrollerar deras inkorg och om det inte är för länge sedan, kom ihåg vad de gjorde. Detta kommer att öka acceptansen mot en säkerhetsutbildning och en justering av beteendet. Att åberopa rädsla och pressa människor gör inget bra.

"Skicka ett företagsomfattande e-postmeddelande med en skärmdump av nätfiske."Bra poäng
+1 speciellt för att notera att du inte vet VARFÖR de misslyckades eller klarat och hur mycket moral påverkas.Samma räknas på ett sätt även för misslyckanden!Ja, även en person som inte klarar testet är riktigt dålig för företaget, men även den personen kan ha påverkats av omständigheterna.Och om företaget har omständigheter som kan få EN person att misslyckas, kan det få NÅGON att misslyckas.Och igen, att lägga skulden på att en person fortfarande lämnar en potentiell strukturell fråga i det fria, och den anställde känner sig hemsk.
Om det finns flera phishing-tester skulle jag tro att det kan vara användbart att veta vilken del av användarna som faller för någon av dem, och jag är inte säker på hur det skulle kunna fastställas utan att på något sätt registrera vilka användare som hade fallit för vilka tester.
"Inläggsägare eller mod" som överskrider redigeringsgodkännande, var god förklara varför frasen "delta i en säkerhetsutbildning" och "vissa säkerhetsutbildningar" är bättre engelska än "delta i säkerhetsutbildning" och "viss säkerhetsutbildning".Det finns ingen flertal "träning", och det finns inget sådant som "en träning".Det är inte ett substantiv.
[Egentligen är det ett räknbart substantiv] (https://english.stackexchange.com/questions/354625/what-is-the-correct-plural-of-training).Ännu viktigare, frågan (och svaret) hänvisade till flera utbildningar *.Din redigering ändrade innebörden av svaret, det är därför jag överskrider.
Det enda jag skulle vilja se som ledning är en uppdelning efter avdelning eller funktionsområde ... inte enskilda namn utan vilka enskilda kontor som är svagare.Detta kan vara värdefullt eftersom det sätter press på cheferna i de svagare områdena att följa upp på egen hand.
@TomK, från SE-svaret du länkade: Träning är både räknas och räknas inte.* Vanligtvis, med hänvisning till en process, är den otalbar och har ingen plural. * Din användning var fel.Jag är engelska som modersmål, och som den engelska som talar i den frågan är jag lika "road" över ditt missbruk av ordet.För det räknbara substantivet vill du ha "Träningskurs" (som sedan skulle bli "Träningskurser").
@Phil Läste du det accepterade svaret?Om inte, snälla gör.Om du sedan vill fortsätta att argumentera om detta, vänligen gör det i chatten och inte i kommentarerna till detta svar.Tack.
Tom
2018-01-30 18:59:43 UTC
view on stackexchange narkive permalink

Det verkar finnas en viss felkommunikation om syftet med dessa tester.

Att använda identifierare betyder att hitta ansvariga personer , att utbilda och / eller straffa dem. Det kan vara en tydlig parameter i testet att inga personer kan identifieras. I många europeiska länder måste det lokala arbetarrådet eller fackföreningsrepresentanterna gå med på ett sådant test och kan sätta detta som ett villkor.

Att använda statistik betyder att identifiera prestationsindikatorer . Du kan mäta dessa mot varandra för att identifiera, till exempel om du förbättras eller om någon medvetenhetskampanj som du genomförde var effektiv. Du behöver inte identifierade personer för detta och det kan till och med suddiga resultaten.

Slutligen betalar kunden räkningen. Du arbetar för dem, så medan du bör påpeka eventuella yrkesmässiga problem eller tankar du har, såvida det inte strider mot din personliga eller yrkesetiska etik (t.ex. ISACAs etiska standarder om du är medlem), levererar du vad kunden ber om. / p>

Förstått.Jag tyckte det var oroväckande att de inte ville behålla denna referens för framtida phishing-test.Och det strider mot min "personliga" etik på ett sätt.Jag är stolt över att hålla människor ansvariga.Men från de andra svaren verkar det som om det är viktigare att ta itu med det systematiskt
"Jag är stolt över att hålla människor ansvariga."- Men hur skulle du göra det i det här fallet?Förväntar du dig att företaget tuktar sina kunder för att ha fallit för nätfiske?Liksom ska de skicka ut ett andra e-postmeddelande som säger "Om du föll för den sista e-posten skulle du må dåligt."?
@pm1391, Om du är intresserad av att utmana din personliga tro, läs vilken bok som helst av W. Edward Deming.https://www.amazon.com/s/ref=nb_sb_noss_1?url=search-alias%3Daps&field-keywords=w+edward+deming Han var stor för att inte skylla företagets brister på den faktiska arbetskraften utan på dess faktiskasystem designat av dess ledning.
@industry7 ansvarig i den meningen att efter 10 kampanjer, om användaren x inte förbättras, måste vi sitta ner med användaren x.Eftersom användaren x inte förbättras och bryr sig inte.
@pm1391 på nivån för toppnivåhantering är individuell prestanda irrelevant.De har större fisk att steka.De kan vara intresserade av andelen anställda som inte får det efter tio kampanjer, men inte för individer.
@Tom Utan att läcka vem detta kontrakt är, har människorna inom organisationen potential att läcka ** mycket ** mer än deras amazon-lösenord
Det kan mycket väl vara sant och du bör inkludera det i din konsekvensanalys.Men ändå vill ledningsnivån du hanterar kanske inte hantera individer.
Wadih M.
2018-01-30 20:28:50 UTC
view on stackexchange narkive permalink

För att svara på din fråga:

försämrar detta inte syftet med phishing-kampanjer och förbättrar säkerheten för information i ditt nätverk? Är det till och med normalt?

Nej. Om kunden vill ha en urvattnad version av forskningsresultatet är det i slutändan deras samtal. Men du har alla rättigheter att ge dina bästa råd och ge dem valfrihet.

Är det normalt att möta sådana typer av kundreaktioner? Ja, det kan hända hela tiden, och det kan vara en följd av många saker. Kunden kan ha sina egna osäkerheter (t.ex. om ledningsmedlemmar fångas, hur man hanterar det), eller kanske inte vill minska sina anställda, kanske inte vet hur de ska hantera sin utbildning efteråt när rapporten är offentlig.

Om det är de som betalar för det måste du som rådgivare äntligen respektera deras beslut.

Som en extra sidnot, om något jag märkte :

Jag anklagade dem artigt för att ha markerat en ruta och inte egentligen var intresserade av att utbilda deras användare.

Det finns inget sätt att vara artig att säga vad du just sa. Men det finns andra sätt att säga det utan att stöta på allt fel. Välkommen till politikens värld. Jag ser att de flesta av de andra svaren täckte säkerhetsaspekten, så jag vill täcka den andra subtila politiska aspekten i mitt svar.

Du har synligt mycket god vilja och kunskap, och din kund verkar envis från din ståndpunkt för att inte gå till hela övningen.

Jag hittade det bästa sättet att kommunicera något sådant är att använda något olika sätt att säga det, som kommer att främja din sak utan att nödvändigtvis irritera kunden eller få kunden att känna att du inte låter dem ringa skotten eller om du kritiserar honom och stöter på fel väg.

Här är några sätt som du kunde ha sagt det som troligen skulle ha hjälpt till att främja din vision. Det är all politik och kan studeras separat.

  • Det mest politiskt korrekta sättet (maximal utspädning av meddelanden): Vi skulle missa en fantastisk möjlighet om vi utelämnade den delen av övningen. Är du säker på att du vill göra det herr Kund?
  • Lite mindre politiskt korrekt men budskapet är mindre utspätt och ändå inte kommer över: Om vi ​​inte går till fullo och låter träningen ske där den beror skulle vi slösa mycket av energi. Är du säker på att du vill göra det herr Kund?

Observera i båda fallen slutade jag med Är du säker på att du vill göra det herr Kund? . Det kallas kraften i valet, lägg tillbaka valet i deras händer i slutet av alla försök att ändra deras beteende eller tänkande.

Om du inte lyckas och de fortfarande inte vill, låt det vara. Du hade inte behörighet hur som helst, allt du kan göra är att ge dem det bästa du kan. Men ändå, i ett annat scenario, kunde du ha påverkat kundens tänkande och fått det på ditt sätt. Men så är det inte alltid.

Tack, du adresserar den politiska sidan av striden, som du nämner.Jag är ung på detta område och kanske inte har lärt mig språket i branschen ännu.Kan inte prata med om det borde vara ett svar, men jag uppskattar perspektivet
WoJ
2018-02-01 04:13:45 UTC
view on stackexchange narkive permalink

Jag avslutade just en sådan kampanj (som kund) och ville ha absolut anonymitet för användarna.

Det fanns några anledningar, bland dem var de viktigaste

  • integritet, en komplicerad fråga i vissa länder
  • det faktum att jag skulle skicka en global anteckning om kampanjen och resultaten

Din kund kan ha haft andra skäl. Du gav dem möjlighet att få fullständiga resultat, eventuellt med några råd. De ville ha den anonyma versionen, deras val.

Obs: ledsen för skrivfel (eller faktiskt - fel autoslutföranden från min telefon) som gjorde mitt första svar ganska konstigt.

Det är sant, och jag respekterar att det är deras beslut.Men det gör mig ont att det finns så mycket data som enligt min mening kan användas för att ytterligare skydda deras miljö.De kan fortfarande behålla informationen och samtidigt inte tilldela individer skulden.
Sekretess är stort, särskilt i europeiska unionsländer.
@pm1391 Namn på naiva är värdelösa för att skydda sin miljö.Som du korrekt har identifierat handlar det om att skapa miljö av motstånd mot nätfiske - inte om att ge Sam anti-phishing-hjälp.Dessutom kunde de 30% som klarat precis ha missat det, utbildning måste vara enhetlig. Som någon som arbetar med säkerhet bör du bäst veta att ** du inte ska lagra data du inte behöver **.Det är ett brott som väntar på att hända.De var smarta genom att vägra att se din lista, på det här sättet om listan någonsin dyker upp, blir det bara ditt fel.Jag råder dig att förstöra det.
Harper - Reinstate Monica
2018-01-31 03:06:57 UTC
view on stackexchange narkive permalink

Jag förstår helt din önskan att fånga den informationen. Så anonymiser dem. Den allmänna idén är att du tar en MD5-hash av deras lägre e-postadress och tar så många bitar av upplösning som du behöver, och antingen lämnar dem b7R + eller konverterar till "AOL-lösenord" som rakning -pen-osram .

Förbjudet 

  John Smith FAIL Frank Frink FAIL Juliana Crain PASS

Vad du kanske får tillåtas 

  Rufus-Castle-Uniform-Enemy FAIL Zion-Lathe-Shoot-Loyal FAIL Flee-Worldly-Variable-Key PASS

Vad är säkrare fortfarande 

  Bucket Stop-Bad 4/6 misslyckades (66%) Bucket Wax-Sax 5/6 misslyckades (83%) Bucket Memory-Egg 4/5 misslyckades (80%)

Där är två sätt att gå så långt som anonymitet, föreställ dig n bitar kan innehålla antalet anställda (t.ex. anställda = 700 n = 10).

  • Du kan gå en några extra bitar, som n +6 bitar, i vilket fall anonymiseringen skulle vara reversibel och den anställde skulle kunna exponeras: Rufus-Castle-Uniform-Enemy vanligtvis hashes bara till jsmith@foo.com ... Gotcha! Det kan finnas ett andra e-postmeddelande, men ju fler bitar, desto mindre sannolikt.
  • Du kan gå några för få bitar, som n -3 bitar, i vilket fall den omvända körningen avslöjar Stopp- Dålig hasar ut till jsmith, emccarthy, jcrian, tkido, ctagawa, och ffrink, vilket gör vedergällning omöjlig. Detta slutar skapa en grupp "skopor" som det var.
  • du kan salta MD5, men det misslyckas om förföljaren
    • lär sig saltet via en kryptoattack med brute-force
    • befaller dig helt enkelt att vända på det
    • noterar mönstret för aktiviteter som har loggats och härleder användaren

Din oenighet med deras skäl är ett klassiskt arbetsplats.se -problem, men de berättar kanske inte alla sina skäl *. Oavsett måste du följa i din rapport till dem.

Metoderna jag har tillhandahållit här med anonymisering gör att du kan presentera de detaljerade uppgifterna du vill presentera i din rapport, samtidigt som du följer deras direktiv. Du kan antingen göra det i n + -formuläret, vilket gör det möjligt för dem att backspåra till enskilda användare om de verkligen vill - eller den formade skopan, som inte gör det.

Bucketing är ganska värdelöst på 70% om du inte presenterar "I bucket 127 föll 4/6 användare för phishen". Bucketing fungerar bäst när träfffrekvensen är 1/3 av antalet skopor eller mindre, så två träffar i samma skopa är sällsynta. "I 512 hinkar hade 90 hinkar träffar, troligtvis är det 90-95 personer, vilket är det nummer du vill ha.

* som tvister kan jag tänka mig en riktigt stor. Om det var jag, Jag skulle radera de personliga uppgifterna "som en rutin". Att spara allt för alltid är allt roligt och spel tills stämningen kommer.

@schroeder Jag ska försöka klargöra det.Jag säger "Rufus-Castle-Uniform-Enemy" i rapporterna där namnet annars skulle vara.
Okej, det är * lite * mer vettigt nu som ett sätt att presentera individer i data med hjälp av en reversibel anonymisering så att klienten kan välja att genomborra den slöjan.Men goss, var det oklart i början.
@schroeder finns det något mer jag kan göra för att fixa det?Exempel?
Skulle det inte vara lättare att bara använda något slumpmässigt genererat id istället för hash?
Problemet med detta schema är att det fortfarande inte nödvändigtvis förhindrar deanonymisering.Om du ser Rufus-Castle i datamängden för redovisningsavdelningen, anställda i åldrarna 30-40 och entreprenörslistan, kanske det bara finns en anställd som matchar den profilen.Om du verkligen vill ha en teknisk mekanism för att anonymisera uppgifterna, samtidigt som du samlar in användbar statistisk information, föreslår jag att du undersöker [differentiell integritet] (https://en.m.wikipedia.org/wiki/Differential_privacy) istället.
@LieRyan Helt överens, jag föreslog det för att förhindra deanonymisering inte var en sak OP ens ville ha.Skoptekniken hjälper till med det.Sourav det skulle vara mycket enklare, men skulle inte tillåta dig att ansluta efterföljande tester till tidigare resultat.Du skulle veta att du gick från 70% misslyckades till 44% misslyckades, men skulle inte veta att 56% av tidigare misslyckades lyckades och (oroväckande) 61% av tidigare efterträdare misslyckades.
Platsen där jag gick i pension gjorde en årlig "medarbetarnamnundersökning".Undersökningen frågade aldrig demografisk information, men den fick anställds ID-nummer.Den som hade sju av färre personer som rapporterade till dem fick inte en rapport - för lätt att gissa vem som sa vad.Ledare med fler underordnade än det fick en rapport om deras _ genomsnittliga poäng för varje fråga.
WGroleau
2018-01-31 08:34:21 UTC
view on stackexchange narkive permalink

Jag håller med om att kundens val tycks förhindra möjligheter till förbättringar. Det finns dock ett annat sätt att förbättra.

Låt alla anställda veta ”Vi vet inte vem som föll för det och vem som inte gjorde det, så vi kan inte sparka eller belöna någon. Vi gör dock detta test varje månad och vi kommer att publicera procentsatserna. Om 70% är nere till 20% vid årets slut får alla anställda en bonus. Storleken på bonusen beror på hur mycket under tjugo. För att hjälpa oss att nå det målet kommer det att finnas ett e-postmeddelande varje vecka som läser en teknik för att identifiera nätfiske. Nästa år blir bonusen varje kvartal, men målet blir också mindre varje kvartal. ”



Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...