网络钓鱼模拟,或所谓的网络钓鱼渗透测试,已成为各种规模组织的网络安全培训计划的热门功能。它是这样工作的:执行网络钓鱼测试的安全人员制作并向员工发送看起来与真正恶意网络钓鱼电子邮件非常相似且“糟糕”的电子邮件,通常包括一些欺骗员工的“糟糕”网络钓鱼电子邮件。诱饵消息”,例如错过送货通知、发票付款请求和名人(包括管理层)八卦。在安全团队的控制下,可以监控、量化员工对这些“网络钓鱼”电子邮件的响应,并用于确定(至少在某种程度上)组织内员工的安全意识水平。员工打开了多少个附件或点击了多少个链接?有多少电子邮件被标记为可疑或完全忽略?与其他主题相比,哪些主题对诱饵的影响最大?哪些部门或用户更容易成为受害者?这些数据可以帮助安全部门更好地定制网络安全意识培训和教育计划,并确定需要解决的潜在人员和流程差距。但值得注意的是,如果不遵循必要的原则和最佳实践,网络钓鱼测试往往会引发道德问题,甚至引发企业员工的反感和抗议,导致安全意识计划受挫。最典型的案例之一是位于英格兰西米德兰兹郡的铁路公司西米德兰兹火车公司(WMT)。该公司在其员工进行的钓鱼测试中使用的主题(诱饵)最近引起了广泛争议。铁路员工收到一封看似来自财务和人力资源部的电子邮件,告诉他们他们将获得奖金,以表彰他们在冠状病毒大流行期间所做的努力,并鼓励收件人点击“来自WMT董事总经理的个人信息"-MicrosoftOffice365链接。事实上,该链接指向一个包含Microsoft设置的模拟网络钓鱼练习的Sharepoint站点,单击该链接的人会收到一封来自公司人力资源团队的安全警报电子邮件,建议他们留意电子邮件要求帐户密码。邮箱当然可以,所谓的bonus也是扯淡。显然,虽然使用金钱奖励作为诱饵是网络犯罪分子常用的欺骗策略,但在网络钓鱼测试中使用这种策略会引发道德问题和员工的反感。那么,网络安全团队应该采取哪些措施来确保网络钓鱼测试成为对各方有用、有效和有益的网络安全培训和教育活动,而不是弊大于利的风险?Cygenta联合首席执行官兼联合创始人、技术主管JessicaBarker博士指出:“在网络钓鱼测试场景方面,组织应该在道德界限内运作,因为过度模拟网络钓鱼可能是有害的。使用高度情绪化的诱饵,例如因为奖金和医疗保健——尤其是在COVID-19的背景下——会影响接受者的情绪健康,这反过来又会损害工作场所的心理安全、信任和文化,”巴克补充说,并补充说这只会破坏整个网络安全团队努力疏远他们与企业员工。企业应谨慎选择电子邮件模板,以免给一些沮丧的员工造成心理问题。DigitalXRAID首席执行官RickJones指出:“甚至一些像REvil这样的犯罪团伙也在推动某些标准,例如它现在禁止人们使用其SaaS勒索软件攻击政府、公共、医疗或教育机构。网络钓鱼模拟一个好的安全团队拥有与真正的犯罪团伙相同的技能,但他们必须遵守一定的标准和道德规范。”以下是专家强调的网络钓鱼测试最佳实践的5个注意事项:1.了解网络钓鱼测试对Barker来说,准备一个合乎道德且富有成效的网络钓鱼模拟的关键是了解网络钓鱼测试的目标。“网络钓鱼模拟设计阶段的关键是考虑你计划进行测试的原因。如果您将网络钓鱼模拟视为“陷阱”练习,我建议您退一步反思,因为这不是训练,而是一种技能。如果您将测试视为培训,那么您想要培训什么行为?”组织必须了解网络钓鱼测试场景的目的是建立对网络钓鱼电子邮件的基本了解,并让用户相信他们有能力发现网络钓鱼活动。巴克博士强调:“更有效的网络钓鱼测试的重点不应放在降低点击率上,而应放在提高报告率上。太多的网络钓鱼模拟仍然关注点击率。”巴克继续说道。“人们总是会点击链接,尤其是在精心设计的网络钓鱼中。为了更有效地进行网络钓鱼测试,重点不应放在降低点击率上,而应放在提高报告率上。归根结底,正确进行网络钓鱼模拟就是了解组织环境并尊重它。2.通过沟通建立信任Blythe表示,透明度是网络钓鱼测试的下一个关键要素。教育工具。如果没有建立信任,员工会很快变得怨恨,感觉好像他们正在被监视或等待被“抓住”。琼斯也同意这种对透明度的强调:“应该逐渐向用户介绍网络钓鱼的概念、需要注意的事项以及如何应对,”他认为。“在此过程中建立沟通文化是关键。”3.PositiveLead,PositiveReinforcementPositive,orpositivereinforcement不仅对网络钓鱼测试的短期和长期有效性起着关键作用,而且对组织的测试方法是否被认为是道德的也有重大影响。例如,而不是责备或惩罚未通过网络钓鱼测试的员工(这会产生消极情绪、抵制情绪),而是可以更多地关注公开庆祝或鼓励员工的反应和行动。巴克指出:“这种积极的强化更具影响力。它利用社会证明的原则,更有效地让人们参与安全意识培训活动。DarkTower的情报总监加里·华纳(GaryWarner)引用了他担任IT总监期间的一个例子,推荐了一种类似的“胡萝卜不粘”方法来模拟网络钓鱼。“我告诉我的老板,我可以花100美元改进可疑电子邮件的报告。我拿走了我们收到的最新报告并对其进行了彻底分析。然后我向全公司发送了一封电子邮件,内容如下:服务中心的乔收到一封可疑电子邮件,看起来像这样(插入屏幕截图)。Joe知道该怎么做!他将电子邮件转发到phishing@myoldjob.com。如果Joe单击该链接,他的计算机就会感染XYZ病毒并开始从我们的网络窃取数据并将其发送到俄罗斯!为了感谢Joe对公司的照顾,我们请他吃牛排晚餐。感谢您保护公司,Joe!你见过可疑的电子邮件吗?请转发给phishing@myoldjob.com!你也可以节省您的公司免受毁灭性的??网络攻击,并为自己赢得奖品!结果,在收到上述第一封电子邮件后,报告率飙升了大约1,000%,每月的奖金仅需100美元。4.将网络钓鱼测试失败转化为安全培训机会一旦从测试过程中捕获数据,后续行动就与测试的计划和执行阶段一样重要。现在不仅要关注用户,还要关注更广泛的组织单位和人员从模拟结果中获益。“这是陈词滥调,但数据是网络安全的王者,”琼斯指出。“从设备的安全日志或技术数据到用户信息,一切都提供了重要的知识。员工是企业的第一道防线,因此决策者必须意识到他们带来的风险,尤其是因为成功的网络钓鱼攻击可以让恶意软件绕过所有其他现有的安全工具。“然而,在与未通过模拟测试的员工互动时,安全教育和鼓励而不是责备需要成为主要关注点。”当人们点击模拟网络钓鱼电子邮件时,他们应该会及时收到有用的反馈。布莱斯解释道。这种反馈的内容应该简短且引人入胜,而不是为了获得最佳结果而进行冗长的强制性培训或惩罚。同理心,”他补充道。“从长远来看,一种寻求帮助和授权员工改变行为的更具同理心的方法比指责和贬低那些未能通过模拟测试的人更有可能。”成功。5.在正确的时间使用正确的工具组织必须考虑的最后一个重要因素是使用网络钓鱼测试工具的最佳时间。在某些情况下,运行网络钓鱼模拟根本没有帮助,例如当对网络安全产生恐惧文化时。“网络钓鱼模拟只是一种工具,与所有工具一样,它们需要在正确的时间以正确的方式使用,”巴克建议道。琼斯表示,安全团队有时需要考虑使用稍微“温和”的网络钓鱼测试来提醒或教育员工识别真正危险的网络犯罪攻击。犯罪分子可能会在不让员工直接接触模拟中的这些主题的情况下参与建设性讨论的策略。无论哪种方式,模拟网络钓鱼仍然只是在员工中培养良好安全行为的总体战略的一部分,而且明确这一点很重要,Blythe说。随着越来越多的员工成为网络钓鱼攻击的受害者,还有其他安全行为需要关注和解决。“归根结底,如果钓鱼测试的目的只是简单地诱骗用户点击,然后发出警告课,则可能会适得其反,不仅无法教育用户了解钓鱼攻击的风险,还会让他们无所事事、士气低落,甚至无知。情绪受到影响。相比之下,当使用道德和同理心的方法时,测试工作可以与组织文化保持一致,并得到积极强化和建设性互动的支持,鼓励员工实践安全行为,随着时间的推移届时,钓鱼检测或将成为推动组织提高安全意识的有效工具。授权】点此阅读该作者更多好文
