Güvenlik Farkındalığı Eğitimi Kimlik Avı Saldırılarını Azaltıyor

Saldırganlar, kuruluşlara sızmak için giderek daha fazla insan tabanlı güvenlik açıklarını hedef alıyor. İnsanlar, içerideki sistemlere ve verilere doğrudan erişebiliyor; herhangi bir tehdit aktörü, gelişmiş siber güvenlik savunmalarıyla savaşmak zorunda kalmadan kullanıcıları kolayca dolandırabilir, kimlik bilgilerini çalabilir ve krallığın anahtarlarını güvence altına alabilir. Çalışmalar, tüm ihlallerin %68'inin arkasında sosyal mühendislik saldırıları ve insan hatalarının olduğunu gösteriyor. 

İnsan davranışı, insan kaynaklı risklerin temel nedenidir. İnsan davranışını ölçmek zordur çünkü duygularımız (öfke, korku, şehvet, merak, açgözlülük), önyargılarımız, bilgi eksikliğimiz, anlayışımız ve güvenlik risklerine karşı duyarsızlığımız tarafından etkilenir ve tetikleniriz. Saldırganlar bu kusurları kimlik avı ve sosyal mühendislik saldırılarında sıklıkla kullanırlar.

Kimlik Avına Eğilimli Yüzde Bulgularına Genel Bakış

Yaklaşık 56 bin kuruluştan 12 milyon kullanıcının kimlik avına eğilimli yüzdesini analiz eden ve karşılaştıran büyük bir kimlik avı kıyaslama çalışmasına göre; kimlik avına eğilimli yüzde, kötü amaçlı bir bağlantıya tıklayarak veya kötü amaçlı bir dosya indirerek bir kimlik avı e-postasıyla etkileşime girme olasılığı olan kişilerin yüzdesinin bir ölçüsüdür. Çalışma, yaklaşık 12 milyon kullanıcı üzerinde gerçekleştirilen yaklaşık 55 milyon simüle edilmiş kimlik avı testinin sonuçlarını incelendi.

Bu araştırmayı üç aşamalı test üzerinden yürütüldü. Birinci aşama, daha önce hiç güvenlik farkındalığı eğitimi vermemiş kuruluşlar üzerinde bir temel test yapıldı. İkinci Aşamada, kuruluşlar kullanıcılarını 90 günlük simüle edilmiş kimlik avı eğitimine tabi tuttuktan sonra güvenlik testleri tekrar yapıldı. Ardından, bir yıllık tekrarlanan ve titiz kimlik avı simülasyonu eğitiminin ardından, Üçüncü Aşama testi kimlik avına eğilimli yüzdesinde herhangi bir önemli fark olup olmadığını değerlendirmek için uygulandı.

Sonuçlar:

• Birinci Aşamada tüm sektörler ve kuruluşlarda ortalama kimlik avı eğilimi oranı %34,3'tü. Başka bir deyişle, kullanıcıların ortalama %34,3'ü güvenli olmayan bir e-postaya tıkladı veya etkileşime girdi.

• 90 günlük düzenli simülasyon eğitiminin (İkinci Aşama) ardından ortalama kimlik avına eğilimli yüzdede önemli bir düşüş fark etti ve bunu %18,9'a düşürdü; bu da birinci aşamaya göre ortalama neredeyse %50'lik bir azalma anlamına geliyor.

• Üçüncü aşamada (bir yıllık devam eden eğitimden sonra), kimlik avına eğilimli yüzdesinin birinci aşamadaki ortalama %34,3'ten Üçüncü Aşamadaki ortalama %4,6'ya önemli ölçüde iyileştiğini buldu. 

• Tüm kuruluşlar, endüstriler ve bölgelerde, gözlemlenen kimlik avına eğilimli yüzdesinin ortalama iyileşme %86'ydı. Hem küçük hem de orta ölçekli kuruluşlarda kimlik avına eğilimli yüzde ortalama %85 oranında iyileşirken, büyük kuruluşlarda kimlik avına eğilimli yüzde %87 oranında iyileşti. 

İşletmeler için Önemli Çıkarımlar

Kimlik Avına Eğilimli Yüzdesi araştırmasının sonuçları üç önemli sonuca işaret ediyor:

1. Sürekli güvenlik eğitimi olmadan, kuruluşlar daha yüksek risk altındadır. Ortalama %34,3 Kimlik Avına Eğilimli Yüzdenin, iş gücünün neredeyse üçte biri bir kimlik avı saldırısının kurbanı olabilir. Bu nedenle, kuruluşların çalışanlara uyanık ve güvende kalmaları gerektiğini hatırlatan ve pekiştiren programlar ve uygulamalar geliştirmeleri kritik öneme sahiptir.
2. Kuruluşlar insan tabanlı riskleri üç ayda azaltabilir. Çalışmanın ortaya koyduğu gibi, kuruluşlar iş gücünde sadece üç ay boyunca kimlik avı simülasyonu egzersizleri yaparsa, kimlik avı duyarlılıklarını büyük ölçüde azaltabilir ve kuruluşun insan güvenlik duvarı olarak bilinen son savunma hattını iyileştirebilir.
3. Ölçüm odaklı bir yaklaşım hedefli bir değişim getirebilir: Teknik ölçümlerin yanı sıra, güvenlik liderleri genel siber güvenlik stratejisini belirlerken Kimlik Avına Eğilimli Yüzdesi gibi insan riski ölçümlerini de dikkate almalıdır. Bu tür ölçümler ayrıca ilerlemeyi göstermek, güvenlik açıklarını açıklamak ve liderlikten destek ve yatırım sağlamak için de kullanılabilir. 

Kimlik avı riskini azaltmak karmaşık veya zorlu bir çaba değildir. Gerçekte, siber alanda kullanıcılar arasında tutarlı bir şekilde uygulanan teknik olmayan bir güvenlik yaklaşımının saldırı yüzeyini kaçınılmaz ve önemli ölçüde beklentilerin çok ötesinde azaltacağı birkaç alandan biridir. 

Eğitime doğru yaklaşımla beraber çevrim içi veya sınıf içi eğitimin bir kombinasyonunu kullanarak, kuruluşlar kimlik avı saldırılarını önemli ölçüde azaltabilir, insan hatasını en aza indirebilir ve güvenlik duruşunu büyük ölçüde artırabilir.