Los investigadores crean un nuevo marco para evaluar al usuario …



Los enfoques basados ​​en cuestionarios y autoevaluación no siempre son un buen indicador de qué tan bien un usuario puede mitigar las amenazas de ingeniería social.

Investigadores de la Universidad Ben-Gurion (BGU) de Israel han desarrollado un marco para evaluar continuamente la resistencia de los usuarios finales al phishing y ataques similares de ingeniería social.

A diferencia de otras técnicas de evaluación de conciencia de seguridad que se basan en gran medida en cuestionarios y el comportamiento autoinformado de los usuarios, el nuevo enfoque se basa en datos reales recopilados de los teléfonos inteligentes de los usuarios finales, Personal computer, tráfico de pink hacia y desde dispositivos y simulación de ataques.

En una presentación en el evento de Black Hat United states of america esta semana, Ron Bitton, gerente principal de investigación del centro de investigación de ciberseguridad de BGU, dijo que el marco aborda algunas de las deficiencias de los enfoques actuales para evaluar la conciencia de seguridad del usuario.

A menudo, estos enfoques no distinguen entre diferentes tipos de ataques o plataformas, y son en gran medida de naturaleza estática, dijo. «Las soluciones existentes tienen varias limitaciones», señaló Bitton. «Por ejemplo, los cuestionarios y las encuestas se basan en el comportamiento autoinformado de los usuarios. Estos métodos tienden a ser muy subjetivos y sesgados», dijo.

De manera related, los ataques simulados que están diseñados para medir cómo un usuario podría responder a una estafa de ingeniería social tienden a verse afectados por factores ambientales. Y la participación forzada en cosas como talleres de formación de sensibilización a menudo puede resultar en una baja participación de los usuarios.

Al desarrollar el nuevo marco, los investigadores primero intentaron comprender todos los criterios requeridos para que un usuario sea realmente consciente de la seguridad y luego evaluaron la importancia de diferentes criterios para mitigar diferentes tipos de ataques.

Para hacer lo primero, los investigadores exploraron numerosos estudios de casos de ingeniería social e identificaron las vulnerabilidades humanas y las tecnologías que los adversarios tienden a explotar en los ataques de ingeniería social, y las contramedidas que se pueden utilizar para protegerse contra dicha explotación.

El ejercicio dio como resultado que los investigadores elaboraran una lista de 30 criterios diferentes para un usuario consciente de la seguridad. Ejemplos de buena conciencia de seguridad incluyen comportamientos tales como: descargar solo aplicaciones de fuentes confiables, no instalar aplicaciones con permisos peligrosos, usar solo sitios HTTPS, evitar sitios marcados por el navegador como peligrosos, actualizar contraseñas regularmente y no conectar medios desconocidos, como como unidades USB – a sus computadoras.

Clasificación y evaluación

Después de identificar los criterios, los investigadores desarrollaron un procedimiento para clasificar la efectividad del comportamiento de cada usuario para mitigar cuatro tipos diferentes de ataques: ataques de contraseña, ataques basados ​​en aplicaciones, phishing y ataques de intermediario. Descubrieron que las acciones requeridas por un usuario para mitigar un ataque son diferentes para diferentes clases de ataques.

En los ataques de phishing, por ejemplo, un usuario podría evitar enviar información confidencial a través de HTTP y no insertar información privada en sitios web no validados. Para los ataques MITM, por otro lado, eliminar certificados desconocidos de su dispositivo y no aprobar certificados digitales desconocidos marcó la mayor diferencia.

Después de determinar los criterios a medir y cómo evaluarlos, los investigadores de BGU desarrollaron dos sensores para perfilar el comportamiento del usuario. Uno era un agente de punto remaining que recopilaba múltiples datos de sensores del dispositivo, incluidas las aplicaciones instaladas, los permisos de las aplicaciones, la fuente de la aplicación, la clasificación, la actividad del correo, la configuración de seguridad y la actividad de la crimson social.

Los investigadores también desarrollaron un keep an eye on basado en crimson menos intrusivo que inspeccionaba el tráfico desde y hacia el dispositivo del usuario last utilizando varios métodos, incluida la inspección profunda de paquetes y la evaluación de protocolos a nivel de aplicación. Los sensores permitieron a los investigadores crear perfiles detallados de usuarios individuales en términos de su conciencia de seguridad.

También desarrollaron un marco de ataque simulado que implementó 20 tipos diferentes de ataques, incluido el abuso de permisos y los ataques con macros de Word maliciosas, documentos PDF y correos electrónicos de phishing y mensajes SMS.

Los investigadores probaron el marco en 162 usuarios durante un período de siete a ocho semanas. Primero se pidió a cada individuo que proporcionara un cuestionario de autoevaluación como base. Según la puntuación derivada del marco, la conciencia de seguridad de cada usuario se clasificó como baja, media o alta. Luego, los investigadores calcularon la tasa de éxito que logró cada usuario en la mitigación de varios ataques dirigidos a ellos a través del marco de simulación de ataques.

Los usuarios con puntajes altos tenían muchas más probabilidades de mitigar los ataques que los usuarios con puntajes más bajos, dijo Bitton. Por otro lado, las clasificaciones de usuarios basadas en el cuestionario de seguridad tenían poca correlación con la probabilidad, o no, de que un usuario mitigara los ataques.

«El comportamiento autoinformado de los sujetos puede diferir significativamente de su comportamiento real», dijo Bitton. «Por el contrario, las puntuaciones de conciencia de seguridad derivadas de medidas objetivas, como los datos recopilados de terminales y soluciones basadas en purple, están altamente correlacionados con el éxito del usuario en la mitigación de los ataques de ingeniería social», dijo.

Contenido relacionado:

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia authentic