Nu phishing-aanvallen geavanceerder worden, hebben organisaties het steeds moeilijker om hun eindgebruikers op de hoogte te houden van de meest recente ontwikkelingen en technieken. Het implementeren van een automatisch trainingsprogramma voor beveiligingsbewustwording kan een stap in de goede richting zijn. In deze blog gaan we dieper in op de impact van dergelijke hulpprogramma’s op het verkleinen van de risico’s van phishing.
Phishing blijft een hardnekkige dreiging in het digitale landschap. Nu phishing-aanvallen steeds geavanceerder worden, is het cruciaal om je gebruikers te trainen en bewust te maken van deze dreigingen. Door hen uit te rusten met de nodige kennis van het huidige dreigingslandschap, kun je phishing-aanvallen nog effectiever bestrijden.
Aanvalssimulaties zijn een krachtig hulpmiddel en kunnen het bewustzijn en de cyberweerbaarheid vergroten. Microsoft zoomt in haar jaarlijks Digital Defence Report in op het gedrag van eindgebruikers in dergelijke simulaties en deelt enkele belangrijke inzichten over de impact van dergelijke trainingen op de cyberweerbaarheid van je organisatie. We zetten de belangrijkste bevindingen op een rijtje.
Phishing blijft een uitdaging
Phishing-aanvallen mogen dan wel geavanceerder geworden zijn, de basisprincipes zijn in de loop der jaren niet veranderd. Maar liefst 90% van de phishing-aanvallen maakt nog steeds gebruik van social engineering, met mensen als grootste risicofactor. Aanvallers bedenken dan ook steeds vaker nieuwe technieken die gebruikers aansporen om vaak onbewust en uit gewoonte te klikken op kwaadaardige links en bijlagen.
Zoals wordt aangeduid in het Microsoft Digital Defence Report, zijn gebruikers vooral kwetsbaar voor drive-by URL-aanvallen. De schadelijke URL in het bericht neemt de gebruiker mee naar een website die er vertrouwd uitziet. Wat de gebruiker niet doorheeft is dat er in de achtergrond een code wordt geïnstalleerd op het apparaat. Om zulke aanvallen uit te voeren, integreren cybercriminelen een stukje kwaadaardige code in beveiligingsfouten op de website.
Nood aan een aanpak op maat
De meeste programma’s voor bewustwording prioriteren het voldoen aan compliance-eisen boven het leveren van een effectief gedragsveranderingsprogramma. Deze werken onder de onjuiste veronderstelling dat periodieke blootstelling gebruikers in staat stelt om geavanceerde en evoluerende phishing-pogingen te identificeren. Deze programma’s blijken echter onvoldoende te zijn in het beschermen van je organisatie in deze snel evoluerende digitale wereld.
Om een effectieve bewustwordingsstrategie te implementeren, is het van belang om in te zetten op objectieve gedragsmetingen en contextuele ervaringen die prioriteit geven aan gedragsverandering eerder dan het leveren van informatie. Organisaties moeten beseffen dat iedere gebruiker uniek is en zijn eigen gedragsmatige kenmerken heeft. Als gevolg hiervan heeft elke gebruiker een gepersonaliseerde leerervaring nodig die berust op zijn unieke eigenschappen en profiel. Denk aan de werkfunctie, beveiligingshouding en eerder uitgevoerde digitale acties.
Door verder te kijken dan de standaard ‘one-size-fits-all’ aanpak en op maat gemaakte en contextbewuste betrokkenheidsmodellen te bieden die op grotere schaal geïmplementeerd kunnen worden, kunnen organisaties de kans op slagen van moderne social engineering-aanvallen sterk reduceren.
Tools om je beter te beschermen tegen phishing
Om organisaties te ondersteunen bij het implementeren van een automatisch trainingsprogramma voor beveiligingsbewustwording en het meten van gedragswijzigingen, biedt Microsoft de mogelijkheid om phishing-aanvallen te simuleren via de Attack Simulation Training-module in Microsoft Defender. Zo kun je de risico’s van phishing binnen je organisatie detecteren en de bewustwording verhogen.
Wil je meer weten over deze verborgen en vaak onbenutte parel? Microsoft Security Experts Tim Struik en Nick Oosterwijk je graag meer over hoe je een succesvolle phishing-simulatie kunt opzetten en uitvoeren.
Content afkomstig van het Microsoft Digital Defence Report. Klik HIER om het volledige rapport te raadplegen.