網(wǎng)絡(luò)釣魚(yú)是網(wǎng)絡(luò)犯罪分子使用的最古老、最有效的手段之一,無(wú)人能對(duì)其免疫,就連互聯(lián)網(wǎng)安全專(zhuān)家也不例外,網(wǎng)絡(luò)安全專(zhuān)家特洛伊·亨特(Troy Hunt)最近就上當(dāng)受騙,點(diǎn)擊了一封釣魚(yú)郵件。
在AI普及之前,釣魚(yú)郵件往往很容易被識(shí)破,這些郵件中語(yǔ)法錯(cuò)誤和用詞不當(dāng)?shù)那闆r比比皆是,因此很容易被發(fā)現(xiàn),但如今情況已不同,如今的網(wǎng)絡(luò)釣魚(yú)攻擊更具說(shuō)服力,往往與真實(shí)信息無(wú)異。
因此,許多公司都在使用網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試來(lái)培訓(xùn)員工,以識(shí)別和防范此類(lèi)攻擊。
人力資源團(tuán)隊(duì)經(jīng)常參與這些項(xiàng)目的推行,尤其是在員工培訓(xùn)、合規(guī)和意識(shí)提升方面。雖然技術(shù)方面的工作通常由IT或安全團(tuán)隊(duì)負(fù)責(zé),但人力資源團(tuán)隊(duì)在確保培訓(xùn)成效方面發(fā)揮著關(guān)鍵作用。
這些模擬測(cè)試的實(shí)際效果如何?
研究人員對(duì)常見(jiàn)網(wǎng)絡(luò)釣魚(yú)培訓(xùn)方法的實(shí)際效果展開(kāi)了一項(xiàng)研究,他們發(fā)現(xiàn),在各種培訓(xùn)內(nèi)容中,受過(guò)培訓(xùn)和未受過(guò)培訓(xùn)的用戶(hù)在失敗率上的絕對(duì)差異很小。
不過(guò),我們應(yīng)謹(jǐn)慎看待這一結(jié)果,因?yàn)樵撗芯績(jī)H在一家醫(yī)療機(jī)構(gòu)內(nèi)開(kāi)展,且僅以點(diǎn)擊率作為衡量成功或失敗的標(biāo)準(zhǔn),并未全面反映實(shí)際情況。
谷歌安全經(jīng)理馬特·林頓(Matt Linton)表示,網(wǎng)絡(luò)釣魚(yú)測(cè)試已經(jīng)過(guò)時(shí),往往給員工帶來(lái)更多挫敗感,而非真正改善他們的安全習(xí)慣。
另一方面,采用適應(yīng)性網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試和基于行為的培訓(xùn)(尤其是在入職培訓(xùn)期間)的公司發(fā)現(xiàn),新員工的網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)降低了30%。
盡管任何培訓(xùn)都不可能盡善盡美,但教育員工識(shí)別網(wǎng)絡(luò)釣魚(yú)仍是良好安全策略的關(guān)鍵組成部分。
事實(shí)上,網(wǎng)絡(luò)釣魚(yú)手段不斷演變,幾個(gè)月前還看似貼切的模擬測(cè)試可能現(xiàn)在已經(jīng)過(guò)時(shí)。如果培訓(xùn)不能跟上新威脅的步伐,員工可能無(wú)法應(yīng)對(duì)現(xiàn)實(shí)中的網(wǎng)絡(luò)釣魚(yú)攻擊。
因此,網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試作為更大戰(zhàn)略的一部分時(shí)效果最佳,對(duì)于人力資源部門(mén)而言,這意味著要關(guān)注持續(xù)教育、溝通,并營(yíng)造一種安全的工作文化,讓員工敢于報(bào)告可疑郵件。
網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試的弊端
員工倦怠
網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試的目的是訓(xùn)練員工識(shí)別真實(shí)威脅,但如果員工對(duì)測(cè)試感到厭倦,他們可能也會(huì)忽視真正的網(wǎng)絡(luò)釣魚(yú)企圖,這與企業(yè)的初衷背道而馳。
對(duì)士氣的負(fù)面影響
當(dāng)有人點(diǎn)擊了虛假釣魚(yú)郵件時(shí),他們往往會(huì)感到尷尬或自責(zé),有時(shí)員工會(huì)擔(dān)心管理層會(huì)懲罰他們,或者同事會(huì)評(píng)判他們,這種負(fù)面情緒會(huì)降低他們的自信心和學(xué)習(xí)意愿。
測(cè)試泛泛而談,未切中要害
并非所有網(wǎng)絡(luò)釣魚(yú)測(cè)試都能切中要害,一些公司使用的測(cè)試示例過(guò)于通用、陳舊,無(wú)法反映員工實(shí)際面臨的真實(shí)威脅,在這種情況下,人們往往會(huì)忽視這些測(cè)試。
讓網(wǎng)絡(luò)釣魚(yú)培訓(xùn)在團(tuán)隊(duì)中發(fā)揮作用的步驟
要讓任何培訓(xùn)項(xiàng)目發(fā)揮作用,首先需要了解企業(yè)面臨的風(fēng)險(xiǎn),哪些員工面臨的風(fēng)險(xiǎn)最大?他們對(duì)網(wǎng)絡(luò)釣魚(yú)已經(jīng)了解多少?
接下來(lái),與IT或安全團(tuán)隊(duì)緊密合作,創(chuàng)建與當(dāng)前威脅相匹配的網(wǎng)絡(luò)釣魚(yú)測(cè)試。
告知員工預(yù)期情況,解釋這些測(cè)試的重要性,以及它們?nèi)绾斡兄诜婪秵?wèn)題。
不要責(zé)備員工,如果有人在測(cè)試中失敗,應(yīng)將其視為學(xué)習(xí)機(jī)會(huì),而非懲罰依據(jù),這樣做,員工就不太可能隱瞞錯(cuò)誤或避免報(bào)告網(wǎng)絡(luò)釣魚(yú)郵件。
選擇供應(yīng)商時(shí),要注重內(nèi)容和逼真的模擬測(cè)試,系統(tǒng)應(yīng)易于使用,并提供有用的報(bào)告。
最后,征求員工的反饋意見(jiàn),了解哪些有效、哪些無(wú)效,并利用所學(xué)知識(shí)不斷改進(jìn)培訓(xùn)。
IRONSCALES的CEO埃亞爾·貝尼斯蒂(Eyal Benishti)表示:“雖然傳統(tǒng)的安全意識(shí)培訓(xùn)對(duì)于在整個(gè)企業(yè)中建立共同的知識(shí)基礎(chǔ)至關(guān)重要,但必須認(rèn)識(shí)到,員工在具體知識(shí)和可靠性方面存在差異。作為第一步,企業(yè)應(yīng)使用網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試為每位員工建立績(jī)效基準(zhǔn),在此基礎(chǔ)上,企業(yè)可以根據(jù)每位員工的經(jīng)驗(yàn)、知識(shí)水平、部門(mén)、職位等,為其提供更具針對(duì)性的培訓(xùn)模擬測(cè)試?!?
信息來(lái)源:51cto https://www.51cto.com/netsecurity/p1