网络安全问题产生的原因有三种:技术漏洞、流程漏洞以及人的漏洞,人是网络安全防线中最脆弱的一环!微软总裁布拉德·史密斯(BradSmith)曾在美国旧金山举行的信息安全大会上发表了主旨演讲,分析了当今世界网络安全的问题。他强调指出,每家公司都至少有一个员工会拿着鼠标到处点,很不幸,这就是为什么90%的网络攻击都从一封钓鱼邮件开始的原因。
据卡巴斯基实验室:《2018年Q2 全球垃圾邮件和钓鱼邮件情况》,第二季度,共检测到107,785,069次网络钓鱼,尝试将用户连接到恶意网站。遭受网络钓鱼攻击的用户比例最高的国家是巴西,占15.51%;其次是中国,占14.77%。
根据“Gartner网络安全意识教育魔力象限”指出,基于计算机模式的安全意识教育市场复合增长率超过50%,主要趋势是SaaS服务、邮件钓鱼、游戏化运营,其中邮件钓鱼测试已经成为欧美国家企业开展员工安全教育工作的标准手段,相对应的发展中国家企业对开展钓鱼邮件测试工作的认识存在严重不足,只有少数金融与互联网企业定期开展面向员工的钓鱼邮件测试。
企业基于钓鱼邮件方式开展员工安全意识教育可以有效的提升员工风险认知水平、建立企业员工行为规范,相比讲师授课、张贴海报等传统教育方法,基于邮件钓鱼的安全意识培训是目前国际主流的员工网络安全教育方式,不受员工所处地理位置、工作时间的限制,随时随地可以接受培训,培训效果可精确度量,是投入产出比最高的网络安全意识培训方式。
国内常见钓鱼邮件形式
对于国内企业用户来说,OA钓鱼邮件是最具危险性的钓鱼邮件,攻击者冒充系统管理员发送邮件,以邮箱升级、邮箱停用等理由诱骗企业用户登录钓鱼网站,并进而骗取企业员工的帐号、密码、姓名、职务等信息。
此外,非常经典的钓鱼骗术还包括电商促销、员工福利、中奖通知等常见的钓鱼场景,以此骗取人员的个人隐私信息或钱财。
还有一些,主要针对企业的财务人员或合作伙伴的商业欺诈型钓鱼邮件,骗取商业机密。
如何构建钓鱼测试邮件
第一、一个合理迫切的借口!借口是攻击者用来诱导目标员工,以伪装的合法请求或任务欺骗员工接收钓鱼邮件的故事或诡计。
第二、有效的payload,执行恶意活动的重要组成部分。
第三、一个令人信服的钓鱼网站、钓鱼邮件可能会要求目标点击链接,该链接会跳转到攻击者制作的假网站上,通常这些网站都是一些可信站点的副本,主要用来窃取目标的用户名和密码。
第四、成功发送钓鱼邮件。如果电子邮件被发送到了目标的“垃圾邮件”或“垃圾”文件夹中,那么邮件将很可能不会被打开甚至是被忽略。因此想要成功执行钓鱼攻击,将邮件准确的发送到目标收件箱是非常重要的。
企业开展基于钓鱼的安全意识教育方法
1、进行基础测试,统计在测试活动中点击模拟钓鱼邮件链接或打开受感染附件的员工人数,估算出未开展相应的安全意识教育的情况下,企业实际的风险状况。
2、通过交互式培训来教育员工识别与防范钓鱼邮件,可以通过竞赛答题、视频教学、互动体验等多种方式开展。针对钓鱼邮件的特征,结合本单位关注主要风险,构建教育素材内容。
3、定期开展钓鱼测试,每月(至少每季度)进行一次模拟测试,加强培训效果。
国际组织研究分析了一组数据,包括来自1.1万个组织的600多万用户和几十万个模拟钓鱼安全测试数据。通过分析数据呈现,在使用安全意识训练和模拟网络钓鱼的12个月后,组织机构防范网络钓鱼的成功率提高了94%,安全意识有了显著的提升。
笔者所在的企业,对国内某互联网企业各个部门,在过去3个月内进行的三次钓鱼邮件测试数据进行了分析,对比情况如下:
发送第一次钓鱼邮件,实发10631位员工,被钓鱼成功6258,“中招”率达59%。基于超高的“中招率”,当月内就组织全员进行集中的视频学习。第二个月发送第二次钓鱼邮件,依然有21%的员工继续被钓鱼成功,继续对全员进行针对性的知识竞答。第三个月,发送第三次钓鱼邮件,被钓鱼员工整体低于2%,收到较好的教育效果。企业的整体“中招”率从59%下降到2%,这证明了持续性的对员工进行安全意识培训,可以在加强信息技术安全态势方面获得有意义的回报,即使是在头三个月。
企业开展钓鱼邮件测试的建议
企业主动开展针对员工的钓鱼仿真测试,对提升企业以及员工的安全意识有很大的帮助,这对企业和员工来说都是一场很好的安全检验,企业也更能从一个攻击者的视角看到自身安全的不足之处。
对于企业而言,如何实施有效地安全意识培训:像营销人员一样计划,像攻击者一样测试。
使用真实世界的攻击方法。模拟钓鱼演练必须仿真真实的攻击和方法。否则,企业的“培训”只会给组织一种虚假的安全感。
不要单独做这件事。参与其他团队和主管,包括人力资源、IT甚至市场营销。创造一种积极地、全公司范围的安全文化。
让它与员工有关。人们只关心对他们有意义的事情,确保企业的模拟攻击与员工日常活动相关。
关注员工的行为改变。安全培训不仅仅是告诉员工希望他们知道什么,而是要给他们必要的关键信息,培养他们对安全问题的反应能力,这样员工才能成为企业有效的最后一道防线。(易念科技 宋琼)
