O treinamento de simulação de phishing para funcionários parece funcionar melhor em organizações de infraestrutura crítica do que em outros setores, com 66% desses funcionários relatando corretamente pelo menos um ataque de e-mail malicioso real em um ano de treinamento, descobriu uma nova pesquisa.
As conclusões do relatório – publicado esta semana pela Hoxhunt – sugerem que os funcionários de infraestrutura crítica estão comparativamente mais engajados na segurança organizacional do que aqueles em outros locais de trabalho corporativos. De fato, o relatório também revelou que o comportamento de detecção de ameaças entre funcionários de infraestrutura crítica é 20% maior do que outras médias do setor.
Embora essas descobertas possam parecer contraintuitivas, há alguns motivos principais pelos quais os funcionários de infraestrutura crítica estariam mais alertas a possíveis ameaças aos ambientes de TI e Internet das Coisas (IoT) de suas empresas: a natureza inerentemente crítica de seu trabalho e as políticas que o regem, Mika Aalto, cofundador e CEO da Hoxhunt, diz a Dark Reading .
“Acreditamos que os funcionários de infraestrutura crítica são mais propensos a relatar e-mails de phishing devido ao fato de que [essas organizações] colocam grande ênfase em manter a conformidade com questões regulamentares muito rígidas”, diz ele. “Isso e o fato de que os funcionários de organizações de infraestrutura crítica exibem um comportamento de relatórios de ameaças incomumente ativo e de alto desempenho”.
De fato, o setor de infraestrutura crítica tem alguns incentivos exclusivos devido ao seu foco na política regulatória para estimular seus funcionários a participar do treinamento de segurança e, portanto, pode estar fazendo um investimento estratégico mais forte em tais programas do que outras organizações, observa um especialista em segurança.
Por um lado, o setor de energia em particular é um dos principais alvos de engenharia social e ataques de phishing, uma vez que as interrupções podem ter efeitos econômicos downstream maciços, observa Krishna Vishnubhotla, vice-presidente de estratégia de produto do fornecedor de soluções de segurança móvel Zimperium.
Em segundo lugar, os requisitos de conformidade do setor podem ser mais um incentivo para treinar funcionários, enquanto “outros setores podem não ser tão incentivados a investir em treinamento sem pressão regulatória”, diz ele em um e-mail para Dark Reading.
Rastreando os dados
Os pesquisadores da Hoxhunt analisaram mais de 15 milhões de simulações de phishing e ataques de e-mail reais, relatados em 2022 por 1,6 milhão de pessoas que participaram de programas de mudança de comportamento de segurança.
Programas de simulação de phishing e treinamento de segurança de funcionários relacionados, que os especialistas em segurança recomendam como parte da postura geral de defesa de segurança cibernética de uma organização, visam ajudar os funcionários a identificar e relatar proativamente campanhas maliciosas ou ameaças ao ambiente corporativo de TI.
Numerosos relatórios descobriram que o comportamento humano ainda é um dos principais impulsionadores de gafes de segurança e violações de dados em todas as organizações, demonstrando o valor dos programas de treinamento de funcionários com foco no comportamento, observa Timothy Morris, consultor-chefe de segurança da Tanium , um fornecedor de gerenciamento convergente de endpoints.
“Ainda é verdade que os humanos são o elo mais fraco na segurança cibernética”, diz ele em um e-mail para Dark Reading. “Milhões são gastos em ferramentas de segurança. No entanto, um clicker pode contornar tudo.”
Isso foi dolorosamente verdadeiro no ataque ao oleoduto colonial de maio de 2021 , quando o uso de uma única senha – obtida por meio de um vazamento de dados não especificado – permitiu um ataque de ransomware que interrompeu gravemente a distribuição de combustível nos EUA por semanas.
Embora não esteja claro se o phishing foi o culpado pelo vazamento, o ataque demonstrou como a obtenção das credenciais legítimas de um funcionário pode ter consequências catastróficas no setor de infraestrutura crítica.
A boa notícia é que a infraestrutura crítica está mostrando uma alta taxa de resiliência – a taxa de sucesso versus falha – na detecção de ataques de phishing durante as simulações em comparação com a média global da indústria, de acordo com o relatório. O setor tem uma taxa de resiliência de 10,9%, 51% superior à média global de 7,2%,uma figura que Aalto chamou de ponto de dados mais surpreendente do relatório.
Além disso, os funcionários do setor parecem aprender rapidamente por meio de treinamentos que os envolvem diretamente na identificação de ataques de phishing, constatou a pesquisa. Embora comecem com taxas mais altas de perder um ataque nas simulações, um ano após o treinamento, eles têm 65% menos chances de participar de um ataque simulado.
Um tipo de ataque de phishing que parece enganar os funcionários em todos os setores, mas especialmente na infraestrutura crítica, é aquele que usa comunicações organizacionais internas falsificadas para enganar as vítimas. As descobertas do Hoxhunt relataram uma chance 11,4% maior de uma organização de infraestrutura crítica ser comprometida por esse tipo de ataque em comparação com as médias globais.
Além disso, os funcionários dos departamentos de comunicação, marketing e desenvolvimento de negócios apresentaram as maiores tendências a cair em campanhas de phishing, o que estava de acordo com as médias globais, descobriram os pesquisadores.
FONTE: DARKREADING