كل يوم ، يقوم الموظفون في مجموعة التصور وقابلية الاستخدام (VUG) التابعة لمختبر تقنية المعلومات التابع لـ NIST بإجراء دراسات ونشر نتائج حول قابلية استخدام الأمن السيبراني. تقنية الأمن السيبراني القابلة للاستخدام هي تلك التي يمكن للفرد استخدامها بفعالية لتحقيق أهدافه مع الحفاظ على الأمن السيبراني. يوفر بحث NIST إرشادات قابلة للتنفيذ حتى يتمكن صانعو السياسات ومهندسو النظام ومحترفو الأمن من اتخاذ قرارات أفضل للحفاظ على مؤسساتهم محمية ضد هجمات الأمن السيبراني وعمليات الاحتيال والأحداث الضارة الأخرى. لهذا السبب بدأنا سلسلة مدونة جديدة لمدونات Cybersecurity Insights بعنوان ، Staff Spotlight: NIST Cybersecurity. تسلط مدونتنا الأولى في السلسلة الضوء على الجهود البحثية الأخيرة لكريستين غرين ، الحاصلة على درجة الدكتوراه ، وهي عالمة معرفية في VUG ومتخصصة في عمليات التصيد الاحتيالي.
مع الأوقات الصعبة التي نجد أنفسنا فيها ، طلبنا من الدكتورة جرين مشاركة المعلومات حول NIST Phish Scale ، وهي أداة مفيدة ساعدت في تطويرها في NIST والتي يمكن أن تساعد المؤسسات في حماية موظفيها من عمليات التصيد الاحتيالي.
1. ما هي خلفيتك؟ في الأساس ، كيف انتهى بك الأمر في NIST للعمل على مشاريع أمنية قابلة للاستخدام؟
لديّ ماجستير ودكتوراه. في علم النفس المعرفي ، وتخصص في التفاعل بين الإنسان والحاسوب. بدأت لأول مرة في بحث قابلية استخدام التصويت ، والذي تضمن قيادة شاحنة رفع هيدروليكية إلى وسط تكساس لالتقاط آلات تصويت برافعة 600 رطل في محاولة لاختبار قابلية الاستخدام بين الآلات القديمة وآلات التصويت الإلكتروني الأحدث ومعرفة ذلك ما هي الأخطاء التي يرتكبها الناس عند التصويت. قادني ذلك إلى القدوم إلى NIST للعمل في مشروع التصويت هنا منذ عدة سنوات ، وأصبحت فرصة الانتقال إلى أبحاث أمنية قابلة للاستخدام متاحة. لقد كنت الآن في NIST 9 سنوات وعملت بشكل أساسي في أبحاث التصيد.
2. ما الذي يمكن أن نتوقعه من عمليات التصيد الاحتيالي التي تركز على فيروس كورونا؟
نتوقع أن تنشر الجهات الخبيثة هجمات تصيد احتيالي ضد العديد من الأمريكيين الذين يعملون الآن عن بُعد بسبب متطلبات التباعد الاجتماعي عن فيروس كورونا. يتظاهر الفاعلون الخبثاء بأنهم من البنك الذي تتعامل معه أو مؤسسة غير ربحية أو وكالة حكومية ، ويبدو هذا مشروعًا لأن لديك حسابًا في هذا البنك أو قد قدمته إلى تلك المؤسسة غير الربحية من قبل. إنه يطابق وجهة نظرك للعالم وسياق المستخدم ، مما يجعلك أكثر عرضة للنقر فوق الارتباط والوقوع ضحية لعملية الاحتيال. على سبيل المثال ، يتظاهر المحتالون بأنهم من منظمات مثل وزارة الصحة والخدمات الإنسانية أو منظمة الصحة العالمية أو الصليب الأحمر. نحتاج جميعًا إلى أن نكون يقظين للغاية وأن نسأل كل بريد إلكتروني في هذا الوقت الصعب.
نظرًا لأنه من السهل جدًا صياغة رسائل البريد الإلكتروني الاحتيالية التي يمكن أن تبدو وكأنها جاءت من شركتك أو وكالة حكومية ، فقد حان الوقت الآن للعديد من المتخصصين في مجال الأمن السيبراني للمنظمات للوصول إلى موظفيهم لإبلاغهم بما يجب البحث عنه فيما يتعلق بالتصيد الاحتيالي رسائل البريد الإلكتروني التي قد تصل إلى البريد الإلكتروني للعمل ، ولضمان حماية الشخص والمؤسسة من التعرض للخداع أو الاختراق.
3. هل يمكنك التحدث عن مقياس NIST Phish ، ولماذا تم إنشاؤه؟
يعد البحث عن التصيد الاحتيالي مهمًا للغاية لأن هجمات التصيد الاحتيالي تؤثر على كل أمريكي تقريبًا يستخدم البريد الإلكتروني ومواقع الويب والرسائل النصية للهاتف المحمول والبريد الصوتي. نظرًا لأن المهاجمين والمحتالين أصبحوا أكثر تطورًا ، فإن جدران الحماية والفلاتر والأدوات الخاصة بنا تعمل بمثابة سباق تسلح – يحصل المهاجمون على أسلحة أفضل ، ويحتاج المدافعون إلى دروع أفضل.
تحاول المؤسسات إعداد موظفيها وإشراكهم في هذه الهجمات عن طريق إرسال رسائل بريد إلكتروني احتيالية مزيفة ومعرفة من ينقر ، ثم تتبع معدلات النقر. تكمن المشكلة في أن بعض هذه الشركات تفرض إجراءات عقابية على موظفيها مقابل عدة نقرات على رسائل البريد الإلكتروني الاحتيالية الوهمية. نحن في NIST نحاول تشجيع هذه المؤسسات على التركيز بشكل أقل على معاقبة الموظفين والمزيد على تثقيفهم لفهم رسالة البريد الإلكتروني المخادعة بشكل أفضل ، والإبلاغ عن هذا البريد الإلكتروني إلى فريق أمن تكنولوجيا المعلومات الخاص بهم.
بناءً على بحث NIST ، قمنا بتطوير مقياس NIST Phish Scale – والذي يسمح لكبار مسؤولي أمن المعلومات (CISOs) ومنفذي تدريب التصيد الاحتيالي بتقييم صعوبة تمارين التصيد الاحتيالي بسهولة أكبر والمساعدة في شرح معدلات النقرات المرتبطة. يعتمد المقياس على الأبحاث السابقة في إشارات التصيد الاحتيالي وسياق المستخدم (مدى ارتباط البريد الإلكتروني للتصيد الاحتيالي بالمستخدم) ويمكن أن يكون بمثابة أداة للمساعدة في تأطير مشاركة البيانات حول معدلات النقر على تمارين التصيد عبر القطاعات. نحن نخطط لمواصلة جمع البيانات من المزيد من المنظمات وإجراء اختبارات بمجموعات بيانات أوسع في المستقبل.
4. ما هو الشيء المفضل لديك في العمل في NIST؟
لقد قابلت الكثير من الأشخاص المثيرين للاهتمام والأذكياء الذين يجرون أبحاثًا رائعة في NIST. لقد كان من الرائع أن تكون جزءًا من العديد من المشاريع البحثية التي لها تطبيقات واقعية وتحل مشاكل العالم الحقيقي. في الفضاء الأكاديمي ، قد يكون من الصعب أحيانًا إنشاء هذا الاتصال الواقعي الذي تسمح به NIST. أنا أيضًا أحب فرق NIST للكرة اللينة والتنس!
5. أي شيء تود إضافته؟
يؤثر التصيد الاحتيالي حقًا على أي شخص وكل شخص لديه حساب بريد إلكتروني (أو رقم هاتف) ، ويشمل ذلك مسؤولي الانتخابات وغيرهم في مساحة التصويت ، بالإضافة إلى وكالات السلامة العامة التي تتفاعل جميعها مع الجمهور ، لا سيما أن لديهم عناوين بريد إلكتروني (وهاتف) الأرقام) ، وكلها أهداف. التصيد الاحتيالي ، مثل العديد من موضوعات الأمان الأخرى القابلة للاستخدام ، ينطبق بالفعل على جميع القطاعات. كانت هناك بالفعل حالات ملحوظة من المدن والوكالات التي تم إسقاطها بواسطة برامج الفدية ، مما يؤكد أهمية تثقيف المستخدمين حول كيفية نسخ بياناتهم احتياطيًا واختبار النسخ الاحتياطية ، في حالة برامج الفدية.
لدى الحكومة الفيدرالية العديد من المواقع الإلكترونية المخصصة لمساعدة المؤسسات والأفراد على فهم مخاطر عمليات التصيد الاحتيالي بشكل أفضل:
