Jak wykonać bezpłatny test phishingowy w swojej organizacji
Chcesz więc ocenić słabe punkty swojej organizacji za pomocą a phishing przetestować, ale nie chcesz płacić za oprogramowanie do symulacji phishingu, które spowoduje wzrost rachunków?
Jeśli tak jest w Twoim przypadku, czytaj dalej.
W tym artykule opisano, w jaki sposób techniczny inżynier bezpieczeństwa lub analityk bezpieczeństwa nietechniczny może skonfigurować i uruchomić symulację phishingu za darmo lub prawie bez żadnych kosztów.
Dlaczego muszę przeprowadzić test phishingowy?
Według Verizona 2022 Raport z badań naruszeń danych obejmujący ponad 23,000 5,200 incydentów i XNUMX potwierdzonych naruszeń na całym świecie. Wyłudzanie informacji to jedna z czterech kluczowych ścieżek włamań w organizacji, a żadna organizacja nie jest bezpieczna bez planu postępowania z phishingiem.
Symulacje phishingu to druga linia obrony i rozszerzenie świadomości phishingu. Jest to sposób na wzmocnienie szkolenia pracowników i zrozumienie własnego ryzyka oraz poprawę odporności pracowników. Doświadczenie jest najlepszym nauczycielem ze wszystkich, a test phishingowy jest najskuteczniejszym sposobem na wzmocnienie szkolenia i świadomości w zakresie bezpieczeństwa cybernetycznego.
Jak przeprowadzić kampanię phishingową w mojej organizacji?
Przeprowadzenie symulacji phishingu w organizacji może wywołać alarm (w zły sposób), jeśli nie zostanie przeprowadzone prawidłowo.
Chcesz mieć pewność, że masz plan wdrożenia technicznego oraz komunikacji organizacyjnej.
- Zaplanuj strategię komunikacji (Zaplanuj, jak sprzedać to kierownictwu i jak nawiązać kontakt z pracownikami. Pamiętaj: złapanie kogoś w Twojej organizacji, który dał się nabrać na test phishingowy, nie powinno być karą, powinno być szkoleniem).
- Dowiedz się, jak analizować swoje wyniki (100% wskaźnik sukcesu nie przekłada się na sukces. 0% wskaźnik sukcesu też nie).
- Zacznij od testu podstawowego (to da ci liczbę do zmierzenia)
- Wysyłaj co miesiąc (jest to zalecana częstotliwość testów phishingowych)
- Wysyłaj różnorodne testy (nie kopiuj się zbyt często. Nikt się na to nie nabierze).
- Wyślij odpowiednią wiadomość (Wykorzystaj aktualne wiadomości spoza firmy lub wewnątrz, aby uzyskać wyższy wskaźnik otwarć dla Twojej kampanii)
Chcesz poznać więcej szczegółów na temat tego, co należy, a czego nie należy robić, przeprowadzając bezpłatny test wyłudzania informacji?
>>>Sprawdź nasz Kompletny przewodnik po zrozumieniu phishingu TUTAJ. <<
Dlaczego powinienem używać bezpłatnego lub niedrogiego oprogramowania do symulacji phishingu?
Prosta odpowiedź na to pytanie brzmi: nie musisz korzystać z drogich rozwiązań, takich jak KnowBe4, aby przeprowadzić dobrą kampanię phishingową.
Prawdą jest również w tym przypadku, że droższe oprogramowanie niekoniecznie jest najlepszym oprogramowaniem do prowadzenia kampanii.
Czego potrzebujesz do skutecznej kampanii phishingowej?
Cóż, prawda jest taka, że tak naprawdę nie potrzebujesz wielu dzwonków i gwizdków, aby przeprowadzić kampanię phishingową.
Nie potrzebujesz też 1,000 szablonów, aby zrealizować kampanię.
W końcu większość kampanii phishingowych wysyła nie więcej niż 1 wiadomość e-mail phishingową miesięcznie.
Tak więc, najlepszym sposobem na prowadzenie świetnej kampanii jest dostosowanie własnych szablonów dostosowanych do potrzeb Twojej organizacji.
Tak więc w rzeczywistości najlepiej jest wybrać oprogramowanie do symulacji phishingu, które można dostosować i jest łatwe w użyciu, niezbyt skomplikowane i pełne funkcji, z których nigdy nie będziesz korzystać.
Jakie jest najlepsze darmowe oprogramowanie do testowania phishingu?
GoPhish wyróżnia się jako najsilniejszy open source phish testowanie oprogramowania na rynku.
W rzeczywistości podoba nam się tak bardzo, że przygotowaliśmy kopię w Hailbytes wypełnioną szablonami i stronami docelowymi, z których korzysta nasz zespół. Możesz sprawdzić nasze Framework phishingowy GoPhish na AWS.
GoPhish to prosta, szybka i rozszerzalna platforma phishingowa, która jest open-source i jest często aktualizowana.
Jak rozpocząć pracę z GoPhish Framework?
Istnieją dwie różne opcje, jak zacząć. Aby dowiedzieć się, którą opcję wybrać, należy zadać sobie kilka pytań.
Czy mam umiejętności techniczne, jeśli chodzi o konfigurowanie infrastruktury bezpieczeństwa?
Jeśli odpowiedź brzmi „tak”., to prawdopodobnie nie masz nic przeciwko skonfiguruj Gophish na własną rękę. Pamiętaj, że skonfigurowanie tego typu infrastruktury może być czasochłonne i trudne, jeśli chcesz, aby była skonfigurowana prawidłowo.
Jeśli odpowiedź brzmi nie, wtedy będziesz chciał wybrać łatwą trasę i użyj instancji GoPhish framework, która jest dostępna na rynku AWS. Ta instancja umożliwia bezpłatny okres próbny i opłaty za zmierzone użycie. To nie jest darmowe, ale jest tańsze niż KnowBe4 i dużo łatwiejsze w konfiguracji.
Czy chcę skonfigurować GoPhish jako infrastrukturę chmurową?
Jeśli odpowiedź brzmi „tak”, możesz skorzystaj z gotowej wersji GoPhish na AWS. Zaletą tego jest to, że możesz z łatwością skalować swoje kampanie phishingowe z dowolnego miejsca. Możesz także zarządzać swoją subskrypcją wraz z inną infrastrukturą chmurową w AWS.
Jeśli nie, możesz chcieć samodzielnie skonfiguruj GoPhish.
Jak skonfigurować GoPhish z AWS (ŁATWY SPOSÓB):
Jak zainstalować najnowszą wersję GoPhish na Kali Linux:
Jak przeprowadzić testy penetracyjne za pomocą GoPhish:
Czy chcesz zacząć?