10家能夠幫助您應對網路釣魚的公司

根據最新的《Verizon資料洩露報告》顯示，網路釣魚電子郵件通常是網路攻擊的第一階段。這是因為其攻擊效果良好，30%的網路釣魚郵件都會被開啟，但只有3%的受害者上報給管理人員。

但是，當企業員工接受了相關的如何發現網路釣魚郵件的培訓、然後進行了模擬網路釣魚郵件的測試之後，每一輪的強化訓練都會使得網路釣魚郵件的受害者的百分比大幅下降。

當然，想要使得這些網路釣魚電子郵件獲得零回應率是不可能的。因為現如今的網路罪犯們在他們所傳送的電郵資訊方面變得越來越狡猾了。慶幸的是，這不是必要的。如果一家企業有足夠多的員工都在向其安全管理人員轉發報告網路釣魚郵件時，那麼該公司就會開始意識到，他們已經成為了網路攻擊活動的目標，需要準備採取相應措施來處理這些網路釣魚郵件了。

反網路釣魚工作組

這家反網路釣魚工作組(Anti-Phishing Working Group)為企業客戶提供了各種資源，包括釣魚教育培訓登陸頁面，企業客戶可以在他們自己的反網路釣魚活動上結合該頁面使用。下文中所介紹的其他一些供應商，包括PhishMeInc.公司和KnowBe4，也提供相關的免費資源。

另一款免費的工具是來自 MicroSolved公司所提供的MSI Simple Phish，其允許企業使用者的安全團隊在企業內部來執行自己的網路釣魚測試。

BetterCloud公司為企業使用者提供了基於雲的辦公應用程式的安全和監控服務。當與該公司屬於同一幢寫字樓的另一家公司因為網路釣魚而損失了200萬美元，而且他們所購買的網路安全保險根本不足以彌補其損失之後，BetterCloud公司開始擔心網路釣魚的問題了。

“他們的業務真的遭受到了重創。”BetterCloud公司的高階安全工程師奧斯丁·惠普爾表示說。“而想要從此次重創中恢復是很難的。”

為此，BetterCloud公司在全公司範圍內實施了員工培訓，然後自行建立了一個似乎是由該公司的人 力資源系統傳送的網路釣魚電子郵件的活動，但其實是來自公司外部的電子郵件地址。此次活動還伴隨著更多的後續教育隨訪。

“相比於其他企業組織，或者Verizon公司的報告，我們幹得相當不錯。”他說。 “但仍有一些可以改進的地方。”

他補充說，當過一段時間之後，他們公司還會進行另一次網路釣魚測試。而該公司的員工們會向他本人轉發可疑的電子郵件，很明顯，該公司已經成為某些網路不法份子的攻擊目標了，因為一些真正的網路釣魚郵件包括了他們企業內部的某些資訊，將需要進行一些研究了，他補充道。

據惠普爾介紹說，建立一個反網路釣魚訓練方案計劃並不太難。

“任何一名技術人員都可以完成這件事，”他說。 “這並不需要大量的設定工作。您企業只需要教育和培訓您的員工，進行測試，然後對員工進行再教育，並做後續測試就行了。”

PhishMe

PhishMe公司的釣魚模擬、訓練和報告平臺目前在全球範圍內擁有超過800家企業客戶，包括其中有近一半的客戶是財富100強的企業，這些企業客戶採用他們的工具和服務來積極的讓數千名員工在模擬條件下檢測和報告網路釣魚攻擊的威脅。

PhishMe公司還提供了一款網路釣魚事件響應平臺，能夠針對網路釣魚郵件更快的響應，進行自動並優先的報告傳送;而他們的另一項威脅情報服務，則能夠幫助安全威脅分析人員通過診斷他們所看到的網路釣魚活動以驗證外部威脅。

通過將網路安全保護意識培訓、簡單方便的報告和適當的安全響應對策結合起來，企業組織的員工們可以從一家公司的安全防護最薄弱的一環轉變成為企業安全保障的第一線。

“員工是抵禦魚叉式網路釣魚最強大的層，而企業組織需要利用其員工可以提供的每一個安全優勢，以保持對於這項頂級網路安全攻擊的防範。”PhishMe公司的執行長Rohyt Belani表示說。

PhishMe公司還提供了十幾款免費的培訓模版，以互動式的PDF檔案格式或符合SCORM相容的檔案格式，可以通過一家企業客戶的學習管理系統執行。

PhishLabs

PhishLabs的客戶包括了排名美國前五大金融機構的其中四家、全球排名前25的金融機構的其中七家、領先的社交媒體和求職網站、以及頂級的醫療保健企業、零售商、保險和科技公司。

“讓模擬場景儘可能的真實。” PhishLabs公司的創始人兼執行長約翰·拉科建議說。 “如果您希望您企業的員工們能夠及時發現並報告真實世界的網路安全攻擊，那麼，您的模擬測試絕對需要能夠反映他們最有可能在真實世界的所看到的網路攻擊。”

此外，一旦你企業組織的員工報告了相關的網路安全攻擊，那麼，您的企業一定需要有一套到位的流程，使他們可以在早期對這些有針對性的攻擊做出響應，因為正是在網路攻擊的早期，他們才以最低的成本減輕其所帶來的損失。

“但是，如果這些報告只是被排隊堆積在服務檯的話，這是不能發生的。”他補充說。

IronScales

IronScales公司為企業客戶提供網路釣魚模擬和遊戲化的企業員工安全意識培訓。

遊戲化使得培訓的過程變得更有樂趣和互動性，IronScales公司的執行長Eyal Benishti表示說。 “人們已經厭倦了子彈和無聊的視訊。”

當涉及到行為改變時，持續的評估能夠使影響最大化，他補充說。他建議企業客戶可以至少每兩個月進行一次測試。

根據從約60多家企業所收集到的資料顯示，其結果是，網路釣魚郵件的點選率將明顯降低，而員工向安全管理人員轉發網路釣魚郵件的比例比之前增長了200%。

MediaPro

Mediapro公司為企業客戶提供培訓和鞏固方案，以及自適應的網路釣魚模擬器。該公司的客戶包括微軟、T-Mobile、Expedia、思科、甲骨文、波音公司、萬豪酒店、Costco和其他財富500強企業。

不要對企業員工就同一型別的網路釣魚郵件進行一遍又一遍的測試是非常重要的，MediaPro Holdings, LLC公司的董事總經理史蒂夫·康拉德表示。

“並非所有的網路釣魚活動都是一樣的，而且也不應該是一樣的。”他說。 “您企業將需要使用不同的模式，來測試傳送複雜程度完全不同的網路釣魚郵件，而那些不同的模式會產生不同的效果。而如果一而再，再而三的傳送相同或類似的網路釣魚郵件，您郵件的終端使用者所顯示的網路釣魚報告將是：郵件的點選率固然會大幅下降，但這並不會幫助您實現您最初的測試目標。”

KnowBe4

世界頭號黑客大神凱文·米特尼克是KnowBe4公司的首席黑客官，該公司聲稱擁有最流行的整合平臺，能夠為上千家企業客戶提供安全意識培訓和模擬網路釣魚測試。

根據該公司的執行長Stu Sjouwerman介紹說，網路釣魚郵件通常會涉及到各種不同的網路攻擊，包括勒索軟體(ransomware)和商務電郵攻擊(business email compromise , BEC)。

“今年，由商務電郵攻擊和勒索軟體的犯罪活動所造成的損失已高達10億美元。”他說。

KnowBe4公司也提供了一款免費的釣魚安全測試。該公司還提供一次性的免費電子郵件曝光檢查，以幫助確定企業僱員的電子郵件地址是否被暴露於公眾。

Wombat

Wombat公司聲稱擁有1000多家企業客戶，並提供自動化的網路釣魚測試和培訓模組服務。該公司是在這個領域最早的供應商之一，於2008年由卡內基·梅隆大學的一個研究專案發展而來。

此後，該公司繼續專注於研究，並定期推出有關網路釣魚的趨勢和培訓效果的研究報告。例如， Wombat公司與安全研究中心Ponemon Institute進行合作，以確定平均執行程式導致了37倍投資的回報。

據Wombat Security Technologies公司的執行長喬·費拉拉介紹說，網路釣魚平均每年會耗費一家擁有10000名僱員的企業大約300萬美元的成本，而藉助一項成功的員工安全培訓計劃則可以使得遭受網路釣魚攻擊的員工數量減少90%。

他說，一個成功的員工安全培訓方案的關鍵在於，當他們在一個網路釣魚測試考驗失敗後，自動為這些僱員傳送一個網路釣魚訓練模版。

此時，他們最有動力加強這方面的改善，他說。

Inspired eLearning

該公司為其客戶提供了反網路釣魚訓練，模擬網路釣魚攻擊，月度通訊，海報，數字標牌和其他工作指導，持續提供相關最佳方案的貼士，以幫助企業客戶的員工時刻將保持網路安全放在首位。該公司的客戶包括富蘭克林鄧普頓投資公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集團(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美國農業部(the USDA)和ABB。

該公司表示，他們在全球擁有五百多萬的企業使用者，其所提供的方案幫助共計減少了超過92%的網路釣魚攻擊。

其PhishProof產品可作為一款完全託管的服務，而該公司的專家設計團隊則提供部署評估和培訓，或作為軟體即服務模型，可通過線上軟體的形式在幾分鐘內用於建立和部署評估。

Blackfin

Blackfin Security公司是賽門鐵克的下屬子公司，該公司提供網路釣魚模擬和培訓服務。網路安全意識培訓可以被整合整合到線上的網路釣魚模擬評估即時培訓，或者企業使用者也可以根據他們的日程來安排適合他們的後續培訓。

此外，該公司還提供了針對社會工程、惡意軟體、物理安全、和使用公共WiFi網路的培訓模組，以及其他一般的安全議題。

這不同於賽門鐵克自己的訓練計劃，後者的計劃則致力於幫助企業使用者的安全專業人員安裝和維護不同的賽門鐵克產品。

PhishLine

比反釣魚測試更進一步，PhishLine將目標瞄準了更廣泛的社會工程攻擊，包括簡訊、電話、甚至是“不小心丟失”的U盤。

今年早些時候，PhishLine公司為基於第三方的計算機市場推出了培訓材料，包括數以百計的釣魚模板，自定義的登陸頁面，風險評估調查和多語種的安全培訓內容。

除了訓練和模擬服務，該公司還提供測量工具，使得企業使用者可以跟蹤他們的計劃是否成功。例如，其中的一款測量工具可用於遊戲化，是基於風險的評分工具。企業使用者可以在這裡設定訓練成績，進而可以對員工個人，部門或其他團體的評分進行比較，或對企業內部或外部的評分基準進行定製。

InfoSec Institute

這家公司最出名的是他們的企業安全培訓、新兵訓練營和認證計劃。

但他們也提供了互動式的安全意識線上培訓模組。他們的SecurityIQ產品結合了基於計算機的安全意識培訓和一款基於雲的網路釣魚模擬器服務。企業使用者可以設定自動的專案，隨著時間的推移為其僱員傳送網路釣魚測試，或提醒僱員報名參加他們的網路安全意識培訓。

儘管企業使用者在企業內部建立反網路釣魚訓練和測試程式也是可能的，但包括諸如InfoSec Institute在內的、以及上文中所提到的供應商則能夠為企業客戶帶來一些顯著的優勢。

“通常情況下，企業組織在其內部並不具備提供良好的網路安全意識教育培訓的條件。” NSS Labs.的安全測試和諮詢副總裁Mike Spanbauer表示說。

而那些專注於網路釣魚的供應商們則能夠時刻把握當前網路釣魚郵件的新趨勢，並可以將其迅速整合到他們的安全訓練計劃和反網路釣魚模擬模板中。
本文轉自d1net（轉載）