Awareness myten

En sælger ringer til dig: "Som du sikkert ved, er email den væsentligste angrebsvektor. Så det vigtigste sikkerhedstiltag du kan tage, er at uddanne dine brugere til ikke at klikke på de ondsindede links."

Ham fyren i dit professionelle netværk, han er GRC ansvarlig i en stor financiel virksomhed, siger: "Awareness fanger ikke 100% af phishing mailene, nok nærmere 70-90%. Men tekniske løsninger som firewalls, spamfiltre og så videre, fanger heller ikke 100%. Hvert lag bidrager med en vis sikkerhed. Awareness er bare endnu et lag. Læg det sammen med de tekniske løsninger, og du får en meget bedre beskyttelse."

Du læser op på en sikkerheds compliance standard: "Organisationer kan ikke basere sig på spamfiltre for at stoppe phishing angreb, fordi cyberkriminelle hele tiden finder måder at omgå dem på. Istedet må de lære medarbejderne hvordan de gennemskuer phishing mails og jævnligt minde dem om dette. Dine medarbejdere er første forsvarslinje, og det er essentielt at udstyre og kvalificere dem med de rette værktøjer og den rette indstilling."

Der er en klar konsensus om at awareness højner din sikkerhed, men den er forkert. Jeg vil prøve at forklare...

Konjunktiv sikkerhed

Det mest overbevisende argument kommer fra ham i netværket (nummer to eksempel ovenfor). Han peger, helt korrekt, på at man skal have flere lag af sikkerhed. Hvert af dem skal virke forskelligt, så de kan fange hvad der slap gennem et tidligere lag.

Et simpelt illustrativt eksempel:

Som man kan se er hvert lag i sig selv en sølle beskyttelse, men sammen stopper de hele 99%.

Bemærk at dette er en simpel model. Virkeligheden er mere kompleks. Men modellen viser meget godt hvordan det virker.

Men den synes dog at vise at det er en god idé at tilføje et "awareness lag". Hvor godt vil det virke? Lad os se nærmere på det.

Lad os først se hvordan vi kan modellere et awareness lag. Beskyttelsen her ligger på de enkelte brugere. Installeret i menneskehjerner, så at sige. Hver af dem virker på deres egen måde, med deres egne styrker og svagheder. Hver med deres måde at blive snydt på.

For at skære gennem kompleksiteten kan vi sige at en bruger fanger en phishing mail med en eller anden sandsynlighed. På de store linjer skal det nok passe. Sandsynlighederne kan godt variere fra bruger til bruger, og to brugere fanger phishing mails uafhængigt af hinanden. Har man læst statistik kan man sige at brugerne kan repræsenteres med uafhængige stokastiske variable. Hver med udfaldene {STOP , FORTSÆT}.

En phishing mail slipper gennem awareness laget hvis en af brugerne (variablene) ikke siger STOP.

Men hvilke sandsynligheder skal vi regne med? Det kan en phishing test give svaret på. Den viser hvor mange brugere der klikkede på linket i testmailen, eller åbnede vedhæftningen. Hvis det kun er 10% skal man være glad. Det er et meget lavt tal.

Med det har vi nu en god nok model for et awareness lag.

Phishing angreb går normalt efter mange brugere i et angreb. I en stor virksomhed er det rutine at modtage hundreder af phishing mails i et enkelt angreb.

Selv med den høje beskyttelse på 90%, som awareness vil kunne give for en enkelt bruger, fordamper den hurtigt som angrebet skalerer. Den er 81% med to brugere, 35% med 10 og 0.5% med 50... Awareness laget fejler hvis en af dets dele fejler. Det er et konjunktivt system.

Der er endnu et argument.

Genereringen af phishing mail indhold har teknisk taget et stort skridt fremad.

Tilbage i 2010erne var det realistisk at gennemskue phishing mails. De blev tydeligvis lavet af folk med få talenter hvis modersmål ikke var det i mailene. Så de indeholdt altid åbenlyse fejl, især sproglige fejl, og de indeholdt ofte meget klodsede krav om at du klikkede på linket eller åbnede vedhæftningen.

Det har ændret sig. Muligvis på grund af LLM oversættelse og tekst generering. Muligvis fordi phishing er blevet mere forretningspræget. Mailene ser rigtige ud nu. De vil narre de fleste af os. Vi kan kun håbe på at gennemskue de simple af dem.

Hvad så?

Give op? Nej, men brug dine resurser hvor det batter. Lav kun awareness træning hvis du skal opfylde nogle compliance krav, eller hvis der er kulturelle problemer omkring sikkerhed.

Skal brugerne være ligeglade? Nej, de skal stadig prøve at regne ud om de bliver snydt. Og det kan du være sikker på de bliver. Byg din sikkerhed på det, ikke på en fantasi.

PS Bemærk at alt dette handlede om phishing awareness, hvilket er den almindelige forståelse af begrebet awareness. Men der findes andre slags awareness, og nogle af dem giver faktisk mening.