Sådan laver du en gratis phishing-test for din organisation
Så du vil vurdere din organisations sårbarheder med en Phishing test, men du vil ikke betale for phishing-simuleringssoftware, der vil køre regningen op?
Hvis dette er sandt for dig, så fortsæt med at læse.
Denne artikel dækker måder, som en teknisk sikkerhedsingeniør eller en ikke-teknisk sikkerhedsanalytiker kan konfigurere og køre en phishing-simulering gratis eller næsten uden omkostninger.
Hvorfor skal jeg køre en phishing-test?
Ifølge Verizon 2022 Undersøgelser af databrud Rapport om over 23,000 hændelser og 5,200 bekræftede brud fra hele verden, phishing er en af de fire nøgleveje til at gå på kompromis i en organisation, og ingen organisation er sikker uden en plan for at håndtere phishing.
Phishing-simuleringer er den anden forsvarslinje og en udvidelse af phishing-bevidstheden. Det er en måde at styrke medarbejderuddannelsen og hjælpe dig med at forstå din egen risiko og forbedre arbejdsstyrkens modstandsdygtighed. Erfaring er den bedste lærer af alle, og en phishing-test er den mest effektive måde at styrke cybersikkerhedstræning og -bevidsthed på.
Hvordan kører jeg en phishing-kampagne i min organisation?
At køre en phishing-simulering i en organisation kan udløse alarmer (på en dårlig måde), hvis det ikke gøres korrekt.
Du vil gerne sikre dig, at du har en plan for teknisk implementering samt organisatorisk kommunikation.
- Planlæg din kommunikationsstrategi (Planlæg, hvordan du sælger dette til ledere, og hvordan du slår tonen an med medarbejderne. Husk: At fange en i din organisation, der falder for din phishing-test, skal ikke handle om straf, det skal handle om træning).
- Forstå, hvordan du analyserer dine resultater (At have en succesrate på 100 % er ikke ensbetydende med succes. En succesrate på 0 % gør det heller ikke).
- Start med en baseline test (dette vil give dig et tal at måle i forhold til)
- Send på månedsbasis (dette er den anbefalede frekvens for phishing-tests)
- Send en række forskellige tests (kopier ikke dig selv for ofte. Ingen vil falde for det).
- Send en relevant besked (Brug aktuelle nyheder uden for virksomheden eller internt for at få en højere åbningsrate for din kampagne)
Vil du vide flere detaljer om, hvad du må og ikke må ved at køre en gratis phishing-test?
>>>Tjek vores ultimative guide til at forstå phishing HER. <<
Hvorfor skal jeg bruge gratis eller budgetvenlig phishing-simuleringssoftware?
Det enkle svar på dette spørgsmål er, fordi du ikke behøver at gå med dyre løsninger som KnowBe4 for at køre en god phishing-kampagne.
Det er også rigtigt i dette tilfælde, at den dyrere software ikke nødvendigvis er den bedste software til at køre din kampagne.
Hvad har du brug for til en effektiv phishing-kampagne?
Sandheden er, at du ikke har brug for mange klokker og fløjter for at køre en phishing-kampagne.
Du behøver heller ikke 1,000 skabeloner for at få gennemført en kampagne.
De fleste phishing-kampagner sender trods alt ikke mere end 1 phishing-e-mail om måneden.
Således, den bedste måde at køre en fantastisk kampagne på er at tilpasse dine egne skabeloner, der er rettet mod din organisation.
Så i virkeligheden er det bedst at vælge phishing-simuleringssoftware, der kan tilpasses og let at bruge, ikke for kompliceret og fyldt med funktioner, som du aldrig vil bruge.
Hvad er den bedste gratis phishing-testsoftware?
GoPhish skiller sig ud som den stærkeste open source Phish test af software på markedet.
Faktisk kan vi lide det så meget, at vi udarbejdede en kopi på Hailbytes fyldt med skabeloner og landingssider, som vores team bruger. Du kan tjekke vores GoPhish-phishing-ramme på AWS.
GoPhish er en enkel, hurtig, udvidelig phishing-ramme, der er open source og bliver opdateret ofte.
Hvordan kommer jeg i gang med GoPhish Framework?
Der er to forskellige muligheder for, hvordan du skal komme i gang. For at finde ud af, hvilken mulighed du skal vælge, bør du stille dig selv et par spørgsmål.
Er jeg teknisk dygtig, når det kommer til opsætning af sikkerhedsinfrastruktur?
Hvis svaret er ja, så er du nok okay opsæt Gophish på egen hånd. Husk, at opsætning af denne type infrastruktur kan være tidskrævende og udfordrende, hvis du vil have den sat rigtigt op.
Hvis svaret er nej, så vil du gerne gå den nemme vej og brug GoPhish framework-instansen, der er tilgængelig på AWS-markedspladsen. Denne instans giver mulighed for en gratis prøveperiode og gebyrer for målt brug. Det er ikke gratis, men det er mere overkommeligt end KnowBe4 og er meget nemmere at sætte op.
Vil jeg konfigurere GoPhish som Cloud Infrastructure?
Hvis svaret er ja, så kan du brug den færdige version af GoPhish på AWS. Fordelen ved dette er, at du nemt kan skalere dine phishing-kampagner op fra ethvert sted. Du kan også administrere dit abonnement sammen med din anden cloud-infrastruktur i AWS.
Hvis ikke, så vil du måske opsæt GoPhish selv.
Sådan konfigurerer du GoPhish med AWS (DEN LETTE MÅDE):
Sådan installeres den seneste version af GoPhish på Kali Linux:
Sådan laver du penetrationstest med GoPhish:
Klar til at komme i gang?