Was in einem Exchange Server-Phishing-Test enthalten sein soll


Angesichts zunehmender Phishing-Vorfälle gibt es keinen besseren Zeitpunkt, um mit einem Phishing-Testplan für Ihre Exchange-Bereitstellung zu beginnen.

Viele IT-Organisationen arbeiten noch nicht diese Art von Sicherheitstests. Kürzlich Sicherheitsberichte haben eine hohe Anzahl von Endbenutzern gezeigt, die Phishing-E-Mails öffnen, sowie eine hohe Anzahl von Cyberspionage-Vorfällen, an denen sie beteiligt sind Phishing.

Dieser einfache und vorhersehbare Exploit ist wahrscheinlich der Grund für noch mehr Verstöße, die in Organisationen auf der ganzen Welt noch entdeckt werden müssen. Nach meiner eigenen Erfahrung auftreten Phishing-TestsIch habe Rücklaufquoten von nur 5%, aber von 67% gesehen. Das sind viele Leute, die einen nicht verifizierten Empfänger öffnen, klicken und vertrauliche Informationen bereitstellen.

So einfach ein Phishing-Test für Microsoft Exchange auch klingt, es lohnt sich, die Dinge im Voraus zu planen. Vorausplanung ist ein solides Sicherheitsverfahren und ein solider politischer Schritt – Phishing kann diejenigen in Verlegenheit bringen, die den Köder ziehen, einschließlich Endbenutzer in Führungspositionen. Während jede Organisation unterschiedliche spezifische Anforderungen hat, finden Sie hier einige allgemeine Hinweise zu den wichtigen Teilen, die in einen Phishing-Test einbezogen werden müssen.

  • Haben Sie ein Buy-In vom Management, um diese Tests durchzuführen? Wenn nicht, lohnt es sich wahrscheinlich nicht, dies zu tun, da Sie die Tests oder Ergebnisse nicht verwenden können, um Änderungen vorzunehmen. Sie können auch mehr Probleme verursachen, als Sie lösen, ohne den richtigen Abstand zu haben.
  • Wen wirst du testen? Ich unterstütze das Testen aller Endbenutzer und aller E-Mail-Konten. Alles andere – einschließlich Ausnahmen für Führungskräfte oder IT-Mitarbeiter – ist kein gründlicher Test. Ausnahmen dienen lediglich dazu, ein falsches Sicherheitsgefühl zu schaffen und unnötige Lücken zu hinterlassen, die Ihr Unternehmen gefährden.
  • Treffen Sie in Ihrem Phishing-Test ein aufmerksamkeitsstarkes Thema wie Änderungen der HR-Vorteile oder die Annahme von Sicherheitsrichtlinien. Fragen Sie nach vertraulichen Geschäftsinformationen, z. B. nach den Anmeldeinformationen des Netzwerkbenutzers eines Endbenutzers (ohne persönliche Daten), und schaffen Sie ein Gefühl der Dringlichkeit, damit die Empfänger schnell reagieren können. Dies ist keine Falle – dies ist die reale Welt. Wenn Kriminelle es tun, warum sollten Sie ihr Verhalten nicht für Ihren Test modellieren? Wenn Sie nach Anmeldeinformationen fragen, kann Ihr Phishing-Test zeigen, wie Ihre Domain-Kennwortrichtlinie funktioniert und wer noch schwache Kennwörter verwendet. Es kann auch ein guter Zeitpunkt sein, eine Kennwortänderung für alle zu erzwingen.
  • Führen Sie Tests durch, die theoretisch interne Sicherheitskontrollen auslösen sollten, z. B. Filterung von Web- und E-Mail-Inhalten, Antivirensoftware und Verhinderung von Datenverlust. Sobald Sie eine Test-Phishing-E-Mail versenden, stellen Sie möglicherweise fest, dass vorhandene Sicherheitskontrollen im Weg stehen und die Nachrichten blockieren oder als Spam kennzeichnen. Es ist in Ordnung, solche Steuerelemente zu deaktivieren oder diese Blockierung zu umgehen. Solange die Änderungen dokumentiert und in Ihrem gesamten Phishing-Risiko berücksichtigt sind, sollten Sie in Ordnung sein.
  • Stellen Sie sicher, dass Sie alle geltenden Sicherheitsrichtlinien testen, einschließlich der Freigabe von Kennwörtern und des Öffnens von E-Mail-Anhängen. Sie sollten auch die Lektionen des Sicherheitstrainingsprogramms testen, einschließlich der Maßnahmen, die zu ergreifen sind, wenn jemand vertrauliche Informationen anfordert.
  • Führen Sie Ihre Tests durch, um festzustellen, welche Teile Ihres Notfallplans ordnungsgemäß aufgerufen und ausgeführt werden.
  • Abhängig von Ihrer anfänglichen Antwortrate sollten Sie über einen Zeitraum von einigen Tagen eine oder zwei Folge-E-Mails senden.
  • Entfernen Sie nach dem Sammeln der Phishing-Testergebnisse alle vertraulichen Informationen, die Sie gesammelt haben (z. B. Netzwerkkennwörter), und bewahren Sie diese Informationen und alle nachfolgenden Berichte sicher auf.
  • Teilen Sie Ihre Ergebnisse vor allem mit dem Management-Team des Unternehmens. Skizzieren Sie die Fakten, Ihre Ergebnisse und die daraus gewonnenen Erkenntnisse. Tun Sie alles, um sicherzustellen, dass Sie die Endbenutzer schulen und beim nächsten Testen Ihres Exchange-Setups eine niedrigere Antwortrate anstreben. Sie werden wahrscheinlich nie null Phishing-Antworten erreichen, aber diese sollten im weiteren Verlauf nach unten tendieren.

Wenn Sie jetzt keine Phishing-Tests in Exchange durchführen, wann dann? Es ist absolut garantiert, dass Kriminelle in Ihrem Unternehmen Phishing betreiben. Schneiden Sie ihre Bemühungen auf dem Pass ab, um eine stabilere Netzwerkumgebung mit proaktiven Mitteln zu erreichen, anstatt mit reaktiven Mitteln während eines bestätigter Verstoß.

Über den Autor:
Kevin Beaver ist ein Berater für Informationssicherheit, Sachverständiger und professioneller Redner mit Principle Logic, LLC mit Sitz in Atlanta. Mit über 26 Jahren Erfahrung in der Branche ist Kevin auf die Durchführung unabhängiger Sicherheitsbewertungen spezialisiert, die sich mit dem Informationsrisikomanagement befassen. Er hat 12 Bücher über Informationssicherheit verfasst / mitverfasst, darunter Hacken für Dummies und Der praktische Leitfaden zur HIPAA Privacy and Security Alliance. Darüber hinaus ist er der Schöpfer der Sicherheit auf Rädern Hörbücher zur Informationssicherheitund Blog Bereitstellung von Sicherheitslernen für IT-Experten unterwegs. Kevin ist erreichbar unter principlelogic.com und du kannst folge ihm auf Twitter, schau ihn dir auf YouTube an und Verbinden Sie sich mit ihm auf LinkedIn.

Nächste Schritte

Verhindern Sie Phishing mit Social-Engineering-Tests

Verwenden Sie konsistente Sicherheitsprotokolle, um Phishing zu stoppen

Schritte zum Schutz vor Phishing-Betrug

Dig Deeper bei der Einrichtung und Fehlerbehebung von Exchange Server

Similar Posts

Leave a Reply