背景随着近年来网络安全政策和技术的不断发展,国内企业对安全的重视程度越来越高,安全建设的投入越来越多,安全水平不断提高。防御能力。显着改善。然而,企业面临的一个尴尬问题是,即使企业采取了诸多安全防御措施,仍然无法有效避免信息安全事件的发生,而这些安全事件大多与内部员工的安全意识缺乏有关。据相关机构统计,在所有安全事件中,只有20-30%是由黑客攻击造成的,而70-80%是由于内部员工的疏忽或故意泄密造成的。同时,2017年《中国网民网络安全意识调研报告》统计显示,近90%的网民认为当前网络环境是安全的,但82.6%的网民没有接受过任何形式的网络安全培训。员工安全意识薄弱成为企业面临的最大风险。提高员工安全意识,做好安全教育工作刻不容缓。面对这一问题,国家有关部门也将员工安全意识教育写入政策法规:《网络安全法》-第34条第2款规定,定期对员工进行网络安全教育、技术培训和技能考核。《等保2.0》‐6/7/8/9.1.7.3:对各类人员进行安全意识教育和岗位技能培训,告知相关安全责任和惩戒措施。《关基安全保护条例》‐第二十七条:经营者应当对从业人员进行网络安全教育培训,每人每年教育培训时间不少于1个工作日,关键岗位专业技术人员教育培训时间不少于3小时每年用于教育和培训。工作日。PhishingPhishing无疑是提高员工安全意识的有效手段,也是近年来黑客攻击员工的常用手段。因其攻击成本低、效果好,明显受到青睐,占全网攻击活动的78%。因此,员工学习如何识别网络钓鱼并学会避免此类攻击将大大减少安全事件。网络钓鱼结合了社会工程和欺诈技术,通常是利用人类的弱点:贪婪、恐惧、好奇心、同理心、对权威的敬畏、认知局限和偏见。网络钓鱼可以采用电子邮件附件的形式将恶意软件加载到您的计算机上;指向非法网站的链接,诱使用户下载恶意软件或泄露个人信息,甚至窃取重要凭证;或伪造的登录页面以欺骗用户的登录凭据。图1钓鱼攻击概况知名反钓鱼组织APWG(Anti-PhishingWorkingGroup)对2021年第三季度钓鱼事件现状进行了分析,归纳如下:2021年7月,共发生260642起钓鱼攻击事件被监控。APWG报告了历史上最高的月度。自2020年初以来,网络钓鱼攻击的数量翻了一番。软件即服务和网络邮件部分是第三季度网络钓鱼攻击最频繁的部分,占所有攻击的29.1%。针对金融机构和支付服务提供商的攻击仍在继续,占所有攻击的34.9%。针对加密货币目标(加密货币交易所和钱包提供商)的网络钓鱼占攻击的5.6%。2021年被攻击的品牌数量有所增加,从每月400多个增加到9月份的700多个。巴西的网络钓鱼攻击从第二季度的4,275起增加到第三季度的7,741起。安全意识提升的七大指标结合国内外安全意识提升的数据,不难发现,安全意识的提升主要在安全培训和模拟演练两个方面进行。下面介绍如何做好安全培训以及模拟演练中需要注意的一些指标。1、安全培训的关键指标大多数企业都或多或少地进行了安全培训,以确保人员有足够的能力和应急措施来应对安全事故。但为什么在这么多工作岗位的前提下,遇到真正的钓鱼攻击,员工还是大量倒下呢?这是因为员工还没有形成反钓鱼的潜意识和针对不同场景进行思考和决策的能力。在综合研究和梳理了国外两大安全意识培训公司的计划后,给出了以下三个指标:1.课程完成率,2.知识吸收转化率,3.非考试期间活动检出率。(1)CourseCompletionRate图2CourseCompletionRate无论是安防行业还是其他行业,入职培训都会进行安全意识培训。里面的课程五花八门,但有的员工学过,有的员工觉得无聊跳过,更有什者干脆不理会。因此,相应的问题又回到了课程培训的组织者身上。组织者必须知道如何测试学生的完成率,导致这种情况的问题因素在哪里,以及通过课程测试可以输出什么。首先是检测方法,我们可以查看员工的学习轨迹(包括持续时间、时间段等),然后根据结果做一个表格,分层展示(个人<组<部门<企业)。其次,我们应该思考三点:如何做系统的课程和阶段性的课程;员工必须同时完成哪些课程,哪些课程被暂停/跳过,为什么?在随机选择的课程中,员工更愿意学习哪些课程,不想看课程的原因是什么?课程完成率这个指标最能直观地反映员工的学习态度、进度、课程准确率。这里有一个课程开发的原则:BEST。简述(Brief)长期的计算机课件培训会使员工感到厌烦,也无法提高教学效率。在1-4分钟内完成所有操作是最有效的。有效地教会您的员工如何识别网络钓鱼攻击、发现网络钓鱼攻击时应采取的措施以及向何处报告。简单当培训使用不熟悉的术语或说明过于复杂时,员工会感到沮丧。这种挫败感会对训练产生负面影响。周到(Thoughtful)你知道员工每天要做多少事情吗?他们每天要承受多大的压力?如果你知道,那么你就会考虑准备你的培训课程,这样他们就不会给他们忙碌的生活增加额外的压力。同时,您要让他们做好准备,保护自己、家人和公司免受网络钓鱼攻击。你多体贴啊!(2)知识吸收与转化率图3知识吸收与转化率相信很多人在掌握课程学习的时候都会有一个疑问,那就是员工学习了我的课程后是否吸收了?之所以发出这样的信息疑惑,往往是因为你的课程没有设置知识吸收转化率的检测点。那么我们应该如何制作测试点呢?最简单粗暴的方法就是在课程中加入试题。不仅起到防止刷题的作用,还可以对知识点进行逐一检测,加深记忆。关于试题,一般分为选择题、判断题和填空题三类。选择题:给答题者答案,寻找记忆薄弱点,测试是否有学习或记忆。判断题:给受访者一个敏感易错的方法,检查敏感易错的点是否记住了。填空:给受访者一个模拟场景,测试个人认知+思维练习的程度。分阶段对三类主题进行调研,筛选员工的知识转化率。也可作为卡点加深学习记忆。该指标使培训课程的组织者可以轻松检测员工的学习成果。(3)非测试期活动检测率图4非测试期活动检测率安全培训很多,只有理论课程。将为零。该指标是指在非培训期间,通过一些无形的活动来检测员工的安全意识。既能体现员工安全意识的沉淀,又能加深员工的警惕性。例如:U盘派发活动、报名领取福利等。随着时间的推移难度增加,间隔可以缩短。真正让安全意识铭记心底,运用到工作和生活中。2、钓鱼演练的关键指标除了安全培训,最直接的检验员工安全意识的方式就是进行模拟钓鱼演练。通过打开率、点击率、举报率、弹性系数四个指标,从不同维度、不同场景反映实施者的技术水平、员工的安全意识、组织安全建设的完善程度。(1)Openrate图5打开率打开率直观地显示了邮件是否有足够的吸引力让读者打开它了解更多信息。对于跟踪技术,我们经常使用像素跟踪技术。用于网络犯罪的像素追踪技术,决定打开率的关键因素往往有很多,非常考验作案者的经验和技术。例如:主题是否吸引人阅读发件人姓名是否有关键邮箱服务是否有邮件预览文本邮箱是否有内外邮件识别插件邮件是否被放入垃圾箱邮件是否上报邮件是否可以绕过邮件网关(2)点击图6点击率点击率是指点击钓鱼邮件中链接的收件人所占的百分比,是衡量员工安全的重要指标意识。钓鱼攻击的成败也在此。我们可以依靠链接、输入凭据、附件等多种方式的后台记录来查看点击率。点击率低的原因:模板选择不正确(强度低),错别字等关键识别因素多(强度低),有人举报,IT端被屏蔽的邮件在垃圾箱,用户不知道增加的常用方法点击率:邮件回复【邮件中注明此邮件的优先级,一定要回复】下载查看附件【邮件中添加查看附件的诱惑】电话回复【可以添加一个电话回复提高可信度,但要注意电话反溯源】短信回复【同上】(3)举报率图7举报率该指标不仅衡量员工的安全意识,还衡量深度安全培训和流程的完善(最重要的指标)。为什么它是最重要的?例如,在报告率较低的组织中,第一位员工将一封电子邮件识别为恶意电子邮件,但会立即将其删除。虽然这对他们个人来说是好事,但此举会使其他员工在当天晚些时候面临风险;在报告率高的组织中,第一个将电子邮件识别为恶意电子邮件的员工,但将其告知IT团队。在下一位员工处理电子邮件之前,IT团队现在有一个小时的时间进行干预(通过通信,或通过DNS防火墙等方式阻止恶意链接的域)。这一行动对个人和整个组织都有好处。通常,高升级率会使IT和组织变得主动而不是被动。这就是成熟的网络安全文化所代表的,也是网络安全意识培训计划的主要目标。提高举报率的关键因素:举报渠道的完备性、举报流程培训、举报意识培训、主办方如何提供跟踪举报技术?读取举报渠道中的记录,进入统计系统:电话/企业微信/邮箱等举报方式邮件系统举报插件officeoa举报渠道(4)弹性系数图8单次弹性点击率和举报率系数往往有很多不确定因素,导致结果出现偏差。因此,有必要定义一个指标来平衡两者:弹性系数。【弹性系数=举报率/点击率】理想的弹性系数为14,而举报率和点击率分别为70%和5%。该指标可以趋向于稳定地评价组织内真实的安全意识和安全建设的成熟度。了解了以上7个指标后,我们就可以根据场景制定不同的目标和方案,提升各自企业的安全意识。钓鱼演练实施要点从文章开头提到的回报率,把你的思路转到组织者的角度。我们应该如何证明或提高回报率?笔者梳理了国外多家专利安全意识培训公司的报告和计划,梳理出以下三个目标:最大化暴露风险点最大化损失程度反映安全意识的弹性因子的变化安全意识的提升应着手从组织上分层次细化。当然,你也可以选择自己的水平和视角来看下面的内容。1.最大化暴露风险点图9最大化暴露风险点风险点是从个人到部门的组织风险累积起来的。如果不最大程度地排查相应的风险点,就会存在很大的安全隐患。具体的分析方案需要站在组织者的角度进行。目标导向:首先需要对整个组织进行模拟演练,建立组织的平均弹性系数。然后,随着规划和实施,整体弹性系数需要保持在稳定的14倍。(1)组织层面的目标和方案制定首先需要了解一个组织的目标是什么?组织的安全意识成熟度的全面提高(增加的弹性因素)。这个过程如何表现?用折线图展示员工/部门/组织的弹性系数随时间的变化。怎么做?根据层级细化数据分析,注意减少各层级之间的偏差,统一提高弹性系数。决定因素?组织必须全力支持整个项目,帮助项目团队最大限度地挖掘风险点。在整体项目实施中,需要大量的数据支撑,从而形成直观的组织整体安全意识成熟度模型和安全投资回报折线图。(2)不同部门的安全意识成熟度不同。例如,行政/人力部门的点击率可能比销售团队高,而开发团队的点击率可能比安全团队高;外包人员命中率高于子公司,长沙子公司高于西安子公司。可以将这些子组的指标与组织的整体水平进行比较,以了解哪些领域更值得进行强化培训和测试,然后再细化到团队/子组。目标是什么?缩小部门间弹性系数差异,提高组织整体弹性系数。过程如何体现?通过数据和图表,部门之间的偏差随时间变化。怎么做?从最初的模拟演练开始,对比筛选出最好和最差的部门,再通过安全意识培训+测试,缩短两者之间的偏差。重复此操作以缩短每个部门之间的偏差。然后加强试验强度,巩固安全意识,提高弹性系数。决定因素?安全培训的三大指标决定了弹性系数,部门之间的配合程度决定了投入的成本。从机构整体层面到部门中层,层层细化,循环解决部门间的偏差。以部门为单位显示曲线变化。(3)员工层面的目标和计划制定与部门层面相似。由于人员基础素质、教育背景、日常环境的差异,安全意识的成熟度存在明显差异。在员工层面,我们应该分析哪些特定员工相对于他们的部门或整个组织面临更高的风险。然后相应地训练他们。目标是什么?如何缩小员工之间的弹性系数差异,提高整个部门的弹性系数?通过部门内员工的折扣表来体现。如何应对员工随时间变化的偏差变化?保留一次有效的安全培训测试或模拟演练的结果,筛选出一个名单,将这名员工放入一个培训桶中,然后通过安全意识培训+测试减少桶中的员工数量。决定因素?安全培训三大指标决定弹性系数,员工配合程度决定投入成本。我应该注意什么?即使有这些指标数据,也应谨慎处理相应的数据,以免产生不必要的摩擦和纠纷,造成负面影响。总体方案是:从组织层面出发,先进行模拟演练,然后对数据进行分析,整理出以下数据:组织的初始弹性系数、各部门的初始弹性系数、部门之间的偏差,以及员工之间的偏差。有弹性系数的部门会提高安全意识。先在模拟演练中梳理出这些部门的四大指标,然后提取部门中下层员工。这时,我们可以从数据中得到组织中的风险点。哪些部门、哪些员工安全意识薄弱。我们对这些培训桶内的员工进行安全意识培训,当三大指标合格后,我们将有针对性地开展部门模拟演练。培训后获取员工安全意识指数和部门弹性系数。如果该系数大于组织的平均值,则该部门将从培训桶中删除。反复重复这个步骤(注意投资收益为正),每个部门都可以逐步淘汰。这时,我们需要留下一组数据,即多次模拟演练中频繁打开和点击的员工,为他们提供定制化的安全意识培训。直到他们的安全意识达到标准。需要注意的是,组织需要明确安全意识培训的目的,培训投入与员工/部门的态度成正比。2.需要最大化损失度。通过最大限度地减少安全事件造成的损失,引起组织层面的重视和重视,达到提高安全意识的目的。具体丢失情况如下例所示:eg1:某HR在招聘网站注册的邮箱被攻击者获取。攻击者冒充求职者,向HR发送了一封远程控制的邮件。HR点开办公室电脑,被黑了。为打破网络隔离,攻击者入侵内网,将勒索软件植入内网服务器,将所有员工信息+重要业务数据打包复制。eg2:攻击者发现某银行的VPN客户端可以从外网下载,此时就冒充该银行的客户。我到附近的每一家银行询问业务,并记录了银行员工的工号、姓名、电话号码、邮箱等信息,银行员工因为有业务指标而热情地提供了所有信息,包括微信和其他联系方式。然后攻击者利用获取的员工通讯录发起钓鱼攻击,高精度DIY定制邮件内容:xxvpn需要升级,请稍后重设密码。有银行员工点击输入原账户密码,员工发现密码正常【初始密码为大写英文首字母+银行成立年份】,然后批量爆出VPN凭据【爆破没有招到的员工】,然后进入内网入侵系统,【银行内网隔离监控系统不完善,吹炸弹可以攻破内网】获取存款信息大客户。我们国内的模拟演练都是点对点的,利用链条没有走完,相应的模拟损失。因此,一些员工/部门/组织无法意识到安全意识的重要性。因此,有必要根据机构的行业性质做一套相应的模拟损失。例1中:员工信息=灰黑产品价格重要业务数据=代码重构投入的研发资金勒索病毒=赎金总额例2中:大客户存款信息=灰黑产品价格+存款利息(大客户可能流失)内网入侵=重要内网系统改造研发资金+安全调查事件曝光=舆论造成的股票下跌+大客户流失所以在项目中,模拟演练中要制定模拟损失,体现在数据和图表上,一方面可以反映随时间推移的回报率,另一方面也可以直观反映安全意识的重要性。在制定了组织的模拟损失后,需要不同层次的合作和支持。组织层面:采取不隐瞒、不回避、不阻挠的态度,最大程度支持项目实施。在部门层面,也根据部门性质计算制定模拟损失,配合演练实施人员进行演练,及时计算攻击链造成的损失。.对于个人,应如实反映,并详细记录自己的处理过程。在完成上述工作的基础上,需要考虑如何显示收益率:最大化弹性系数随时间的变化。3.为了最大化弹力系数随时间的变化,所有展示都依赖于数据,分为三部分:模拟演练前的安全训练+弹力系数,演练后的安全训练+弹力系数,延展后的弹力时间轴系数。三个部门的数据汇总输出随时间变化,组织/部门/员工的安全意识提高。每个节点都需要标记模拟损失和投入的资源。可以向不同的接受者呈现三个级别的变化图表。最后补充一下项目的后续说明。员工达标后,开始增加部门不同演练难度,最终强化部门弹性系数在14左右。从员工到部门,部门到组织,风险点自下而上收敛提高组织的整体安全意识成熟度。当组织整体弹性系数达到14倍左右时,项目进入竣工验收阶段。眼动仪与钓鱼分级不仅攻击者需要衡量钓鱼邮件的欺骗程度,企业培训也可以使用眼动仪跟踪技术来识别钓鱼邮件的欺骗程度和员工的安全意识。眼动仪可以帮助我们记录快速变化的眼动数据,同时绘制眼动轨迹、热力图等,直观、全面地反映眼动的时空特征。眼动分析的核心数据指标包括停留时间、注视轨迹图、热力图、鼠标点击次数、区块曝光率等,通过将量化指标与图表相结合,可以有效分析用户眼动规律,尤其是对于评价设计效果。可以参考英国普尔伯恩茅斯大学理工学院心理学系进行的实验“UnderstandingPhishingEmailProcessingandPerceivedCredibilityThroughEyeTracking”,检测员工对企业的安全意识,衡量不同网络钓鱼的有效性电子邮件。欺骗程度。根据钓鱼邮件和网页的欺骗程度,我们通常将钓鱼攻击分为四个级别,分别是:1.1级钓鱼攻击1级钓鱼攻击是最容易识别的,通常有很多指标可以识别为“网络钓鱼攻击”,大多数普通用户应该很容易发现这些类型的电子邮件有什么问题。以下指标可用于一级钓鱼攻击的分类:无方向性的问候语和结束语;拼写错误和语法错误;简单的信息/不太可能的原因;诱发贪婪、恐惧或好奇心;奇怪的电子邮件地址/未知发件人。2.二级钓鱼攻击二级钓鱼攻击更为复杂。虽然也有与一级钓鱼攻击类似的指标,但其主题更加隐蔽、隐蔽。可以根据以下指标对二级钓鱼攻击进行分类:非定向问候语和结束语;拼写正确,但存在一些语法问题;更复杂但仍然是基本信息;诱发贪婪、恐惧或好奇心;文中恶意链接;奇怪的电子邮件地址/未知发件人。3.三级钓鱼攻击三级钓鱼攻击除了鱼叉式钓鱼攻击之外,更接近于针对性钓鱼攻击。3级钓鱼邮件复杂且难以识别。可以用以下指标来划分三级钓鱼攻击:定向问候语和结束语;正确的拼写;正确的语法;复杂的信息;会引起恐惧或好奇;文中恶意链接;有时奇怪的电子邮件地址,但发件人似乎是合法的;多次出现商标。4.4级钓鱼攻击(SpearPhishingAttacks)这种级别的钓鱼攻击非常高级,非常个性化,而且往往非常成功。这种级别的网络钓鱼的有趣之处在于它可以有个人信息、徽标、没有拼写错误等,但它也可以是地球上最简单的电子邮件,这是一种鱼叉式网络钓鱼攻击。鱼叉式网络钓鱼攻击不同于其他类型的网络钓鱼攻击,因为它们针对的是特定人员或特定公司的员工。鱼叉式网络钓鱼等针对性攻击更加危险。网络犯罪分子会仔细收集有关其目标的信息,以使“诱饵”更具吸引力。精心制作的鱼叉式网络钓鱼电子邮件可能很难与合法电子邮件区分开来。因此,鱼叉式网络钓鱼攻击更有可能钩住目标。结语在众多的安全防御手段中,通过钓鱼演练来提高员工的安全意识和钓鱼邮件的识别能力,是当前网络安全防范力度加大的情况下最经济的防御手段。因此,在未来的企业安全建设中,为有效提升员工安全意识,需要对钓鱼演练进行规范化、指标化,衡量员工安全意识。
