降低網路釣魚攻擊的風險

如今，網路釣魚已演變成黑客用來滲透組織的最有效的工程攻擊手段。網路釣魚的目標是讓人們不知不覺地下載惡意軟體或洩露他們的訪問憑據。最好的防禦是作好個人警惕和防護工作。

在剛剛結束的“網路安全意識月”提醒人們，個人和集體行為是包含網路安全事件風險的行為。

以下是大多陣列織能夠以適度的成本實施的措施，並大大提高個人的警惕措施，從而降低網路釣魚成功攻擊的風險。

安全意識培訓

安全意識培訓是減少網路釣魚攻擊的最簡單的措施。在許多組織中，每個人都需要參加基本的安全意識培訓。通常培訓大綱包括：

1.適當的組織和個人的網際網路使用。

2.釣魚和其他型別攻擊的定義。

3.黑客動機概述。

4.網路釣魚攻擊和其他惡意入侵的不良後果。

5.遵守密碼策略以及如何保護個人訪問憑據。

6.如何發現可疑的傳入電子郵件。

7.組織的電子監視防禦的限制。

8.審查機密資訊管理政策，包括：

·妥善處理機密資訊。

·告誡不要點選來源不明電子郵件中的連結或附件。

·提醒不要在沒有適當授權的情況下發出組織資訊。

·鼓勵向網路安全團隊報告可疑的電子郵件。

9.報告網路釣魚和其他安全事件。

10.網路安全小組如何調查網路釣魚和其他事件。

11.物理安全和進入建築物。

背景篩選

有時，一些黑客加入組織作為僱員或承包商只是收集內部資訊。背景篩選是基於收集的資訊預先處理未來網路釣魚攻擊的重要政策。而篩選不應僅限於員工，而應包括供應商員工和合同工，因為幾乎每個人都能獲得某種形式進入一些機構網路和設施的機會。

不篩查或隨意篩選會讓黑客收集內幕資訊用於未來的攻擊。

網路釣魚意識培訓幾乎徒勞無功，因為那些已經經過訓練，並警告和威脅工作人員不要點選可疑的電子郵件附件，但他們仍然這樣做。員工似乎對此還不太重視。

每個組織都應該操作訪問控制系統，以確保只有明確授權的人才可以訪問系統和設施。每個人都需要學會堅定地挑戰他們不認識的人和事。

頻繁的物理安全監督包括：

1.在訪問控制系統離開組織後，不會嚴格刪除他們。

2.為個人擔任的角色提供太多的機會。

模擬社會工程演習

有時，網路安全團隊應將網路釣魚訊息作為一種演練傳送給員工，以評估組織中安全意識培訓的有效性。

排除演練價值的事件包括：

1.不舉行演習。

2.舉辦過多的演練，可能讓大量的員工煩惱。

3.制裁懲罰失誤的員工，而不是使用這種相關事件來加強培訓。

資訊分類政策

組織應該發展，員工應該閱讀和簽署資訊分類和管理政策。分類為組織資料的類別分配了一定的價值和敏感性。每個資訊分類包括用於檢視，編輯和共享資料的不同規則。

網路安全團隊應該不斷監控與網路上浮動的組織相關的資訊。發現機密資訊應觸發調查。這些過程應保護機密資訊，並使被動資訊收集對攻擊者更加困難。

破壞政策和這些過程的因素包括：

1.每個資訊類別的模糊或複雜和冗長的定義。

2.未能調查潛在事件。

3.未能懲罰員工違規行為。

本文轉自d1net（轉載）