ในการต่อสู้กับภัยคุกคามทางไซเบอร์ที่ยังคงดำเนินอยู่ ฟิชชิ่งยังคงเป็นหนึ่งในความท้าทายด้านความปลอดภัยที่ยืดเยื้อและสร้างค่าใช้จ่ายสูงที่สุดสำหรับองค์กรทั่วโลก แม้จะมีโปรแกรมการฝึกอบรมและโครงการสร้างความตระหนักรู้ด้านความปลอดภัยมาหลายทศวรรษ แต่การศึกษาล่าสุดจาก UC San Diego เปิดเผยว่าการฝึกอบรมป้องกันฟิชชิ่งแบบดั้งเดิมให้การป้องกันในทางปฏิบัติได้น้อยมาก ขณะที่ชุมชนความปลอดภัยทางไซเบอร์กำลังตีความผลการวิจัยเหล่านี้ ความจริงที่ลึกซึ้งยิ่งกว่าก็ปรากฏขึ้น: ปัญหาไม่ได้เป็นเพียงความผิดพลาดของมนุษย์ แต่เป็นความขัดแย้งพื้นฐานที่ถูกสร้างขึ้นในกระบวนงาน cooperate ในยุคสมัยใหม่
ความขัดแย้งในการฝึกอบรม
ปัญหาหลักของการฝึกอบรมป้องกันฟิชชิ่งอยู่ที่สิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยเรียกว่า corporate contradiction พนักงานถูกบอกซ้ำแล้วซ้ำเล่าให้หลีกเลี่ยงการคลิกลิงก์ในอีเมล แต่การทำงานประจำวันของพวกเขากลับต้องการพฤติกรรมนั้นอย่างแท้จริง ตั้งแต่พอร์ทัลฝ่ายทรัพยากรบุคคลและการจัดการสวัสดิการ ไปจนถึงแอปพลิเคชันคลาวด์และเครื่องมือการทำงานร่วมกัน พนักงานในยุคใหม่ต้องเผชิญกับกระแสอีเมลที่ถูกต้องตามกฎหมายซึ่งมีลิงก์สำคัญอยู่ตลอดเวลา
แนวปฏิบัติขององค์กรคือรูปแบบหลักของการฝึกอบรมด้านความปลอดภัยทางไซเบอร์ องค์กรต่างๆ ว่าจ้างบุคคลภายนอกให้จัดการเครื่องมือเกือบทุกอย่างที่พนักงานใช้ และฝึกให้พวกเขาใส่ข้อมูลประจำตัวขององค์กรไม่ว่า URL ในเบราว์เซอร์จะแสดงอะไร โดยสรุปแล้ว พวกเขาทำการฟิชชิ่งพนักงานของตัวเอง 100 ครั้งต่อวัน
ความขัดแย้งทางความคิดนี้สร้างสภาพแวดล้อมที่การเตือนด้านความปลอดภัยกลายเป็นเสียงรบกวนพื้นหลัง เมื่อผู้ขายที่ถูกกฎหมายทุกเจ้า ระบบภายใน และการสื่อสารภายในองค์กรใช้กลไกเดียวกันกับการโจมตีแบบฟิชชิ่ง พนักงานจึงพัฒนาสิ่งที่ผู้แสดงความคิดเห็นคนหนึ่งเรียกว่า click fatigue — การยอมรับการคลิกลิงก์โดยไม่ตรวจสอบอย่างละเอียดเป็นเรื่องปกติ
ความขัดแย้งทั่วไปในองค์กรเกี่ยวกับการป้องกันฟิชชิง
| แนวปฏิบัติขององค์กร | ข้อความจากการอบรมด้านความปลอดภัย | ความขัดแย้งที่เกิดขึ้น |
|---|---|---|
| ส่งลิงก์ที่ถูกต้องตามกฎหมายในอีเมล | "อย่าคลิกลิงก์ในอีเมลเด็ดขาด" | พนักงานต้องฝ่าฝืนการอบรมเพื่อทำงานของตน |
| ใช้บริการเขียน URL ใหม่ | "ตรวจสอบ URL ก่อนคลิกเสมอ" | ทำให้การตรวจสอบ URL เป็นไปไม่ได้ |
| กำหนดให้คลิกลิงก์ยกเลิกการสมัครสมาชิก | "อย่ามีส่วนร่วมกับอีเมลที่น่าสงสัย" | สร้างความสับสนเกี่ยวกับการดำเนินการที่ถูกต้อง |
| ใช้งานบริการจากบุคคลที่สามหลายรายการ | "ป้อนข้อมูลประจำตัวบนโดเมนที่เชื่อถือได้เท่านั้น" | พนักงานต้องจำโดเมนที่ "เชื่อถือได้" หลายสิบรายการ |
มาตรการทางเทคนิคที่ให้ผลลัพธ์ย้อนกลับ
หลายองค์กรใช้มาตรการตอบโต้ทางเทคนิคที่กลับทำให้ปัญหาลดลงโดยไม่ตั้งใจ เกตเวย์ความปลอดภัยอีเมลที่เขียน URL ใหม่ทำให้ผู้ใช้ไม่สามารถตรวจสอบที่อยู่เว็บจริงได้ ซึ่งเป็นการทำลายการฝึกอบรม เลื่อนเมาส์ไปวางเพื่อตรวจสอบ ที่พวกเขาได้รับ บริการ safe link สามารถทำให้ URL ผิดรูปไปจนจำไม่ได้ สร้างลิงก์ที่มีลักษณะน่าสงสัยExactly ตามแบบที่การฝึกอบรมเคยเตือน
สถานการณ์ยิ่งกลายเป็นเรื่อง absurd เป็นพิเศษเมื่อทีมความปลอดภัยเองเป็นผู้ส่งอีเมลเกี่ยวกับการตระหนักรู้เรื่องฟิชชิ่งที่มีลิงก์ฝังอยู่ ดังที่สมาชิกในชุมชนหนึ่งระบุว่า ฉันได้รับอีเมลจากทีม IT ของเราเกี่ยวกับการไม่คลิกลิงก์ที่ฝังในอีเมล และอีเมลนั้นมีลิงก์ฝังอยู่เพื่อ 'เรียนรู้เพิ่มเติม' การส่งสัญญาณที่ขัดแย้งกันเช่นนี้บ่อนทำลายบทเรียนที่องค์กรพยายามสอน
การปฏิวัติสมาร์ทโฟน
การเพิ่มขึ้นของสมาร์ทโฟนได้เปลี่ยนวิธีที่ผู้คนโต้ตอบกับอีเมลไปอย่างมาก บนอุปกรณ์หน้าจอสัมผัส ผู้ใช้ไม่สามารถเลื่อนเมาส์ไปวางบนลิงก์เพื่อตรวจสอบ URL ก่อนคลิกได้ ความสะดวกในการแตะลิงก์ในอีเมลธุรกรรมจากบริการที่ถูกกฎหมายเช่น Amazon ธนาคาร และบริษัทขนส่ง ได้ฝึกฝนคนทั้งรุ่นให้ปฏิบัติต่อลิงก์ในอีเมลว่าปลอดภัยโดยค่าเริ่มต้น
นี่แสดงถึงการกลับกันอย่างสมบูรณ์ของแนวปฏิบัติด้านความปลอดภัยที่มีประสิทธิภาพในทศวรรษ 1990 และต้นทศวรรษ 2000 ในขณะที่ผู้ใช้เดสก์ท็อปเคยพัฒนานิสัยรอบคอบเกี่ยวกับลิงก์อีเมล ผู้ใช้มือถือกลับพัฒนารูปแบบพฤติกรรมที่ตรงกันข้าม — ซึ่งเป็นสิ่งที่ผู้โจมตีแบบฟิชชิ่งใช้ประโยชน์ด้วยความซับซ้อนที่เพิ่มขึ้น
ก้าวข้ามการฝึกอบรม: หนทางสู่ความก้าวหน้า
ชุมชนความปลอดภัยทางไซเบอร์เสนอแนวทางที่มีประสิทธิภาพมากขึ้นหลายประการ ระบบ Single Sign-On (SSO) พร้อมการตรวจสอบโดเมนที่เหมาะสมสามารถกำจัดฟิชชิ่งเพื่อขโมยข้อมูลประจำตัวได้ทั้งหมด แม้ว่าองค์กรจำนวนมากจะต้องเผชิญกับสิ่งที่เรียกว่า SSO tax — ราคาสำหรับองค์กรที่ทำให้เทคโนโลยีนี้อยู่นอกเอื้อมของบริษัทขนาดเล็ก
วิธีการพิสูจน์ตัวตนที่ต้านทานการฟิชชิ่งเช่น WebAuthn และ FIDO2 เป็นตัวแทนของทางออกทางเทคโนโลยีสำหรับปัญหาการขโมยข้อมูลประจำตัว โปรโทคอลเหล่านี้รับรองว่าการพิสูจน์ตัวตนจะทำงานบนโดเมนที่ถูกต้องตามกฎหมายเท่านั้น ทำให้ข้อมูลประจำตัวที่ถูกขโมยไปไร้ประโยชน์สำหรับผู้โจมตี
ข้อเสนอที่รุนแรงบางประการรวมถึงการปิดใช้งานอีเมล HTML ทั้งหมด หรือการนำนโยบายองค์กรที่ห้ามส่งลิงก์ในการสื่อสารภายในมาใช้ แม้จะเป็นไปได้ในทางเทคนิค แต่แนวทางแก้ไขเหล่านี้ต้องเผชิญกับอุปสรรคด้านวัฒนธรรมและการปฏิบัติที่สำคัญต่อการนำไปใช้
ปัจจัยมนุษย์ยังคงอยู่
แม้จะมีทางออกทางเทคโนโลยี แต่ปัจจัยมนุษย์ไม่สามารถกำจัดออกไปได้ทั้งหมด ดังที่ผู้แสดงความคิดเห็นหนึ่งสังเกตว่า คุณไม่จำเป็นต้อง 'ถูกหลอก' โดยการฟิชชิ่งจริงๆ คุณแค่ต้องรู้สึกเหนื่อยในเช้าวันหนึ่งแล้วคลิกโดยไม่ได้ดู ความจริงนี้เน้นย้ำว่าแม้การฝึกอบรมที่สมบูรณ์แบบก็ไม่สามารถป้องกันความผิดพลาดของมนุษย์ได้ทั้งหมด
แนวทางขององค์กรที่มีประสิทธิภาพสูงสุดอาจเป็นการสร้างวัฒนธรรมที่พนักงานรู้สึกสบายใจที่จะรายงานความพยายามการฟิชชิ่งที่อาจเกิดขึ้นโดยไม่ต้องกลัวการถูกลงโทษ เมื่อความปลอดภัยถูกเชื่อมโยงกับการกล่าวโทษมากกว่าการทำงานร่วมกัน พนักงานอาจปกปิดข้อผิดพลาดแทนที่จะรายงาน ซึ่งสร้างความเสี่ยงให้กับองค์กรมากขึ้น
การเปรียบเทียบประสิทธิผลของมาตรการป้องกันฟิชชิง
- การฝึกอบรมแบบดั้งเดิม: ลดอัตราการคลิกลิงก์ได้เพียง 2% (จากการศึกษาของ UC San Diego)
- การฝึกอบรมแบบฝังตัว: ผู้ใช้ 75% ใช้เวลาเรียนรู้น้อยกว่าหนึ่งนาที
- โซลูชันทางเทคนิค: การยืนยันตัวตนแบบป้องกันฟิชชิงสามารถป้องกันการขโมยข้อมูลประจำตัวได้อย่างสมบูรณ์
- แนวทางด้านวัฒนธรรม: การสร้างความไว้วางใจและวัฒนธรรมการรายงานอาจช่วยลดผลกระทบจากเหตุการณ์ได้
สรุป
ความล้มเหลวของการฝึกอบรมป้องกันฟิชชิ่งแบบดั้งเดิมเป็นตัวแทนของสิ่งที่มากกว่าการศึกษาที่ไม่มีประสิทธิภาพ — มันเปิดเผยข้อบกพร่องพื้นฐานในวิธีที่องค์กรต่างๆ เข้าใกล้ความปลอดภัยทางไซเบอร์ ความขัดแย้งระหว่างนโยบายความปลอดภัยและกระบวนงานประจำวัน ร่วมกับมาตรการทางเทคนิคที่มักทำให้ปัญหาลดลง สร้างสภาพแวดล้อมที่แม้แต่พนักงานที่มีความตั้งใจดีก็ยังต้องดิ้นรนเพื่อรักษาการตื่นตัวด้านความปลอดภัย
ในขณะที่ภูมิทัศน์ความปลอดภัยทางไซเบอร์พัฒนาขึ้น มาตรการป้องกันที่มีประสิทธิภาพสูงสุดน่าจะเป็นการรวมกันระหว่างทางออกทางเทคโนโลยี เช่น การพิสูจน์ตัวตนที่ต้านทานการฟิชชิ่ง กับการเปลี่ยนแปลงทางวัฒนธรรมที่ทำให้ความปลอดภัยเป็นความรับผิดชอบของทุกคน แทนที่จะเป็นเพียงช่องทำเครื่องหมายในการฝึกอบรม จนกว่าองค์กรต่างๆ จะจัดการกับความขัดแย้งพื้นฐานในระบบและกระบวนการของพวกเขา ฟิชชิ่งจะยังคงเป็นภัยคุกคามที่ยืดเยื้อและมีค่าใช้จ่ายสูง
หมายเหตุ: SSO (Single Sign-On) อนุญาตให้ผู้ใช้เข้าถึงแอปพลิเคชันหลายตัวด้วยชุดข้อมูลประจำตัวการเข้าสู่ระบบหนึ่งชุด ในขณะที่ WebAuthn และ FIDO2 เป็นมาตรฐานเว็บสำหรับการพิสูจน์ตัวตนแบบไม่ใช้รหัสผ่านซึ่งต้านทานการโจมตีแบบฟิชชิ่ง
อ้างอิง: Cybersecurity Training Programs Don't Prevent Employees from Falling for Phishing Scams