🍎 Hack23 Discordian Cybersecurity בלוג

1. זיהוי דיוג

האימייל הזה מהמנכ"ל שלכם? לא מהמנכ"ל שלכם.

תוכן הדרכה: אימות שולח, בדיקת URL, דגלים אדומים לשפה דחופה, סיכוני קבצים מצורפים, טקטיקות הנדסה חברתית.

דוגמה אמיתית: "מנכ"ל" מבקש העברת כספים לספק חדש. אמתו דרך ערוץ משני (שיחת טלפון, פנים-אל-פנים).

מדד הצלחה: >80% מסימולציות דיוג מדווחות תוך 5 דקות.

2. ניהול סיסמאות

Password123 אינו מאובטח. השתמשו בפועל במנהל הסיסמאות.

כלים נדרשים: מנהל סיסמאות (חובה), MFA בכל מקום (נאכף), אימות ביומטרי (מועדף).

תקנים: סיסמאות 16+ תווים, ייחודיות לכל שירות, ללא שימוש חוזר, ללא שיתוף, ללא פתקים דביקים.

מדד הצלחה: 100% רישום MFA, מעקב אימוץ מנהל סיסמאות.

3. אבטחה פיזית

אל תתנו לזרים לעקוב אחריכם פנימה. אל תחברו USB אקראיים.

אבטחת משרד דף הבית: נעילת מסכים בעת התרחקות, WiFi מאובטח (WPA3), אבטחת מכשיר פיזית, מודעות למבקרים.

איומים אמיתיים: Tailgating, זריקות USB (התקפות BadUSB), הצצה מעבר לכתף, מכשירים ללא השגחה.

מדד הצלחה: אפס מכשירים לא נעולים ללא השגחה, דיווח אירועי אבטחה פיזית.

4. טיפול בנתונים

לא הכל הולך ל-Dropbox. הבינו סיווג.

הדרכת סיווג: ציבורי, נמוך, בינוני, גבוה, גבוה מאוד, קיצוני לפי מסגרת סיווג.

דרישות טיפול: סווגו לפני שיתוף, הצפינו נתונים רגישים, השתמשו באחסון מאושר, ללא Shadow IT.

מדד הצלחה: >90% סיווג נכון בבדיקות ידע, אפס אירועי דליפת נתונים.

5. דיווח אירועים

ספרו למישהו כשדברים נראים מוזרים. דיווח מוקדם מגביל נזק.

ערוצי דיווח: טופס אירוע אבטחה, קשר ישיר למנכ"ל, אימייל תגובה לאירועים, מערכות זיהוי אוטומטיות.

מה לדווח: אימיילים חשודים, מכשירים אבודים, פריצות פוטנציאליות, הפרות מדיניות אבטחה, התנהגות חריגה.

SLA תגובה: <30 דקות לאירועים קריטיים לפי תוכנית תגובה לאירועים.

מדד הצלחה: >95% מפעילויות חשודות מדווחות, <5 דקות זמן דיווח ממוצע.

📊 Realistic Click Rate Expectations

Target: 5-10% click rate (realistic, not aspirational)

Why Not 0%? If click rate is 0%, simulations aren't realistic enough. Attackers use sophisticated tactics—training must match.

Measurement: Track click rates, report rates, time-to-report, repeat offenders, improvement trends.

Industry Benchmark: Average click rate 20-30%. We target <10% through continuous training.

🎭 Simulation Scenarios

Rotate realistic attack types monthly:

• CEO Fraud: Executive impersonation requesting urgent wire transfers
• IT Helpdesk: "Your password expires today" with credential phishing
• Invoice Scams: Fake vendor invoices with malicious attachments
• Credential Phishing: Fake login pages for commonly used services
• USB Drops: Physical USB devices in common areas (when applicable)

⚡ Immediate Feedback Loop

Click = instant education. Report = positive reinforcement.

Click Response: Redirect to education page explaining attack indicators, provide learning resources, no shaming.

Report Response: Confirmation message, recognition of good security behavior, contribution to security metrics.

Dashboard: Personal security score (private), organization trends (aggregated), improvement tracking.

📈 Continuous Improvement

Monthly review. Quarterly trend analysis. Annual program assessment.

Success Indicators:

• Declining click rates over time (realistic target: <10%)
• Increasing report rates (target: >80% of phishing reported)
• Decreasing time-to-report (target: <5 minutes)
• Fewer repeat offenders quarter-over-quarter

Action Threshold: >15% click rate triggers additional targeted training.

🎓 Onboarding (Day 1)

Mandatory first-day completion. 100% required before system access.

Duration: 60-90 minutes interactive training + policy acknowledgment.

Content: ISMS overview, classification framework, acceptable use, data handling, incident reporting.

Completion: Track in HR system, block system access until complete.

📅 Quarterly Refreshers (Every 3 Months)

15-minute focused modules. Four topics per year.

2025 Schedule:

• Q1: Password management & MFA best practices
• Q2: Data classification & handling procedures
• Q3: Social engineering & phishing defense
• Q4: Incident response & reporting protocols

Delivery: Scenario-based learning, real-world examples, immediate knowledge check.

🎣 Monthly Phishing Sims (Every Month)

Continuous awareness through realistic simulations.

Frequency: First Monday of every month, randomized timing.

Scenarios: Rotate through CEO fraud, IT helpdesk, invoice scams, credential phishing.

Metrics: Click rate, report rate, time-to-report, repeat offenders.

🚨 Incident-Triggered (As Needed)

Real attacks trigger organization-wide training within 24 hours.

Trigger Events: External phishing campaigns targeting Hack23, industry-specific threats, zero-day vulnerabilities affecting our stack.

Content: Real attack breakdown, indicators of compromise, reporting procedures, lessons learned.

SLA: Training deployed <24 hours after incident identification.

👨‍💻 Role-Specific (Varies by Role)

Different roles = different threats = different training.

Developers: Secure coding (monthly), secrets management (quarterly), supply chain security (semi-annual).

CEO/Management: BEC defense (quarterly), wire transfer fraud (semi-annual), regulatory compliance (annual).

Everyone: Core security awareness + role-specific threats.

🎓 Onboarding: Baseline for All

Mandatory first-day training. 100% completion required.

Topics: ISMS overview, classification framework, acceptable use, incident reporting, data handling, access control basics.

Delivery: Interactive modules + policy acknowledgment + initial phishing baseline test.

New hires complete security training before system access. No exceptions. Trust starts with education. Or more accurately: distrust starts with realistic assessment of human fallibility.

📅 Quarterly Modules: Focused Deep Dives

15-minute targeted training sessions. Four topics per year.

2025 Schedule: Q1 - Password management & MFA; Q2 - Data classification & handling; Q3 - Social engineering & phishing; Q4 - Incident response & reporting.

Format: Scenario-based learning, real-world examples, immediate knowledge check.

Short, frequent training beats annual marathon sessions. Humans forget. Train continuously. FNORD.

🎣 Monthly Phishing Simulations

Realistic scenarios. Immediate feedback. No punishment.

Target Click Rate: 5-10% (realistic expectation, not aspirational zero).

Scenarios: CEO fraud, IT helpdesk impersonation, invoice scams, credential phishing, USB drops.

Response: Click = immediate education module. Report = positive reinforcement.

0% click rate means unrealistic simulations. 5-10% means effective training that mirrors real threats. Perfect scores indicate broken tests, not perfect humans.

🚨 Incident-Triggered Training

Real phishing campaign detected? Everyone trains immediately.

Trigger: Any external phishing campaign targeting Hack23 triggers organization-wide training within 24 hours.

Content: Real attack breakdown, indicators, reporting procedures, lessons learned.

Learn from actual attacks in real-time. Attackers provide free training content—use it. Every breach is a teachable moment. Every phishing campaign is intelligence gathering.

👨‍💻 Role-Specific Content

Developers ≠ Finance ≠ Executives. Training reflects reality.

Developers: Secure coding, secrets management, code review, supply chain security.

CEO/Management: Business email compromise, executive impersonation, wire transfer fraud, regulatory compliance.

Everyone: Core security awareness + role-specific threats.

Generic training produces generic awareness. Role-specific training produces relevant behavior changes. Or at least, that's the theory. Reality is messier. Always.

📊 Metrics-Driven Improvement

Track everything. Improve what matters.

Metrics: Training completion rates, phishing simulation click rates, time-to-report, incident frequency, knowledge check scores.

Reporting: Monthly dashboard review, quarterly trend analysis, annual program assessment.

Target: >95% completion, 5-10% click rate, <5 minutes report time, declining incident trend.