为什么要进行钓鱼演练相信在甲方工作的信息安全工程师都知道,定期对公司员工进行安全意识培训是我们的工作之一,目的也很明确。不安全的行为会降低人类风险。根据网络安全问题源头数据分析,75%的安全事件是人为原因造成的,其中很大一部分原因是意识薄弱、弱口令、网络钓鱼等;只有25%与技术有关,包括系统漏洞和配置缺陷以及业务逻辑缺陷等。为了更好地了解企业的??安全意识成熟度,钓鱼邮件测试是最好的评估方法,也是最有效的方法之一验证安全意识培训的有效性,尤其是对刚入职公司的信息安全工程师。可以快速了解公司人员的安全意识阶段,从而有针对性地进行安全意识培训。不试则不知,试则惊。一、网络钓鱼的现状在当今的互联网环境中,网络钓鱼是个人和组织面临的主要安全威胁。员工被“钓鱼”是不同规模组织面临的主要风险,因为对手会使用恶意电子邮件和网站来攻击用户。据纵横随心与360行业安全研究中心联合监测评估,2019年,全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封。全球每天发送约3000亿封电子邮件,其中90%是垃圾邮件和病毒邮件超过90%的黑客攻击和数据泄露是由于网络钓鱼诈骗,商业电子邮件欺诈(BEC)报告的损失超过125亿美元,但报告的网络犯罪数量仅占实际犯罪总数的10%至12%。2.常见的网络钓鱼攻击类型CEO欺骗或商业电子邮件欺诈(BEC)–冒充公司的CEO或其他高管并向较低级别的员工(通常是会计或财务部门的员工)发送电子邮件,这些电子邮件的意图是获取机密商业信息或让受害者将资金转移到假账户。克隆钓鱼——利用受害者已经收到的合法信息,模拟创建恶意脚本,然后以之前邮件中的链接有问题为由,重新发送原邮件,诱导用户点击克隆的钓鱼邮件。Pharming-伪造一个新的电子邮件标题,使其看起来来自合法的公司电子邮件地址。或者创建一个欺诈网站,其域名看似合法或与合法公司的域名相似。鱼叉式网络钓鱼-使用社会工程策略为组织内的特定个人定制个性化电子邮件。攻击者使用电子邮件主题行作为受害者感兴趣的主题,以诱使他们打开邮件并单击链接或附件。WateringHole——攻击YangHong公司经常访问的网站,感染其中一个网站并植入恶意软件。当您或您的员工访问该站点时,计算机会自动加载恶意软件,使攻击者能够访问您的网络、服务器和敏感信息。捕鲸攻击-是一种鱼叉式网络钓鱼,与CEO欺诈相对。攻击者的目标是高层管理人员,如CEO、CFO等,其目的是诱导高管输入敏感信息和公司数据。3.常见的网络钓鱼攻击主题金融主题IT通知主题司法欺诈商业电子欺诈在欺诈活动中,受害者经常泄露他们的私人资料。骗子通常会伪装成网上银行、网上商城、快递等值得信赖的品牌,骗取用户的隐私信息。企业网络钓鱼(phshng)是互联网上的一种身份盗窃形式,利用钓鱼邮件和欺骗性网站,引诱人们泄露公司内部系统的账号和密码、公司账户和密码,影响公司个人信息、电子邮箱账户、尊贵的CEO/CFO的密码等。盗取用户资金,敲诈公司,会给公司造成经济损失,上市公司仍会影响股价。网络钓鱼演练的目的是合规驱动:《网络安全法》-第34条第2款规定定期对从业人员进行网络安全教育、技术培训和技能考核。《等保2.0》-6/7/8/9.1.7.3:对各类人员进行安全意识教育和岗位技能培训,告知相关安全责任和惩戒措施。《关基安全保护条例》-第二十七条:经营者应当对从业人员进行网络安全教育培训,每人每年用于教育培训的时间不少于1个工作日,关键岗位专业技术人员每人每年不少于3个工作日每年用于教育和培训的小时数。工作日。提高信息安全意识:识别人为风险并确定优先级,从而对症下药改变员工不安全行为,降低人为风险,提高安全意识成熟度,开展钓鱼步骤1.钓鱼系统技术实现钓鱼邮件演练技术支持包括以下是企业内部人员与外部供应商的优缺点比较。公司内部人员:优势:更了解公司的企业文化和信息安全成熟度,有针对性地向不同人员发送钓鱼邮件主题。成本低,复用率高,可以在一定程度上提高安保人员的技术能力。缺点:需要具备一定技术能力的技术人员,包括钓鱼邮件系统环境部署能力、前端页面开发能力、数据汇总能力。周期长,内容效果难以保证。外部供应商:优势:可实现一定程度的定制化,在技术能力和行业前瞻性方面具有相当优势,提供有保障的技术支持。缺点:成本高,缺乏对企业特定威胁和工作特点的深入了解;钓鱼邮件系统复用率低,更换供应商后原旧系统可能不适用综上所述,可以根据以往的演练结果和需求匹配综合考虑,交付,管理等方面,有多种选择外部供应商,这里不再赘述。如果是公司内部人员实施,我推荐一个使用开源系统gophish的钓鱼邮件平台,前端页面使用HTML+CSS+JavaScript等,效果很好,简单易用,并且0元玩钓鱼邮件,这是老板最想要的。它免费且易于使用。附上GitHub地址:https://github.com/gophish/gophish2。设置邮件主题冒充公司IT或行政部门发送钓鱼邮件,目标对象:全体员工。伪装成供应商和客户,向目标方发送网络钓鱼电子邮件:采购、销售和管理。伪造面试候选人并将网络钓鱼电子邮件发送至:财务、法律、人力资源。无论选择哪一个作为测试对象,都需要得到高层的同意。3.设置难度一级钓鱼攻击——有很多指标,可以轻松识别“钓鱼邮件”二级钓鱼攻击——基于公司信息或个人信息的电子邮件三级钓鱼攻击——定向、有针对性的钓鱼攻击四级钓鱼攻击或鱼叉式网络钓鱼攻击-具有个性化消息、徽标、无错别字等特征。企业在进行演练时,需要注意以下几点:不得冒充公安局相关监管机构,包括标识、电话号码、工作人员真实信息等,必须符合规定。邮件正文中不得发表、传播反党反社会舆论;不得侵犯商业秘密;不得非法获取国家秘密;不得侵犯公民个人信息。不能对公司现有系统造成破坏,以窃取公司商业机密4.脚本启动钓鱼邮件测试后,我们会收到员工的举报。我们需要统一脚本,避免提前泄露真相,比如:“感谢您的反馈,我们先确认一下邮件是否是钓鱼邮件,确认前请不要做任何事情,我们会第一时间通知您确认后可以,谢谢。”5、点击统计报表跟踪统计点击钓鱼邮件攻击未上报人数点击并上报人数未点击上报人数未上报人数clickbutreported以上数据可以在gophish上获取,重点关注点击率和举报率6.开展培训审核本次钓鱼邮件演练展示数据一步到位,对员工进行信息安全意识培训,介绍钓鱼邮件的常见类型及防范方法,收到钓鱼邮件后的举报方式7.重复定期进行钓鱼邮件测试,防止员工时间长了,警惕性降低。对于新员工,可能有缺乏相关的信息安全意识培训,通过真人演练提高信息安全意识。跟进流行的钓鱼邮件攻击。后每次测试完成后,与之前的测试进行对比,检查员工的不安全感。行为是否得到改善。总结每次的不足和需要改进的地方,避免下次考试出现同样的问题。钓鱼邮件常见问题及改进1.常见问题过分强调员工的情绪和感受高层领导例外内容让员工感到不舒服,被迫停止测试认为培训太多让人厌烦员工删除钓鱼邮件直接员工可能无法区分钓鱼邮件和钓鱼邮件邮件正常的员工不知道如何举报(尤其是新员工)。邮件可能会被自动识别为垃圾邮件,用户不知道邮件的存在,会影响测试范围。2.对策钓鱼攻击回归现实,随着时间的推移增加钓鱼攻击的权重,但避免过于个人化的主题。根据当前流行的钓鱼手段安排钓鱼攻击训练。提供举报可疑电子邮件的渠道。演练前,需要与被测部门或业务单位的负责人沟通,获得上级授权。在安全意识课程中加入钓鱼邮件的现状和如何识别钓鱼邮件,加强对钓鱼邮件的认知。总结我们需要像攻击者一样进行钓鱼攻击测试,根据目前流行的攻击方式对员工进行测试。让员工测试学会识别网络钓鱼攻击,避免落入真正的网络钓鱼攻击,并将网络钓鱼攻击和社会工程学纳入您的安全意识培训。在开展钓鱼攻击演练之前,需要为组织单位设定一个合理的目标,以及如何衡量这个目标。以上就是我对企业钓鱼邮件演练的一些看法,希望对正在阅读本文的你有所帮助。如果大家有更好的观点,可以给我留言,不吝赐教。希望能帮助企业最大限度地降低人为带来的安全风险,守护网络安全的净土。
