企業如何做好員工安全意識提升

雲鼎實驗室發表於2021-12-03

背景:

近年來隨著網路安全政策、技術的不斷髮展,國內企業對於安全的重視程度越來越高,安全建設投入力度越來越大,安全防禦能力得到了明顯的提升。然而,企業面臨一個尷尬的問題就是,企業即使做了很多安全防禦措施,但依然無法有效的避免資訊保安事件,而這些安全事件中絕大多數與企業內部員工安全意識不足有關。據相關機構資料統計,在所有的安全事件中,只有20-30%是由於駭客入侵造成的,而70-80%則是由於內部員工的疏忽或有意洩漏造成的。於此同時,2017年《中國網民網路安全意識調研報告》統計顯示,近90%的網民認為當前的網路環境是安全的,但是82.6%的網民沒有接受過任何形式的網路安全培訓。員工安全意識薄弱已經成為企業面臨的最大風險。提高員工安全意識,做好安全教育工作刻不容緩。


面對該問題,國家相關部門也將員工安全意識教育寫入政策法規中:

1.《網路安全法》‐第三十四條(二)規定,定期對從業人員進行網路安全教育、技術培訓和技能考核。

2.《等保2.0》‐6/7/8/9.1.7.3:應對各類人員進行 安全意識教育和崗位技能培訓,並告知相關的安 全責任和懲戒措施。

3.《關基安全保護條例》‐第二十七條:運營者應 當組織從業人員網路安全教育培訓,每人每年教 育培訓時長不得少於1個工作日,關鍵崗位專業技 術人員每人每年教育培訓時長不得少於3個工作日。


網路釣魚Phishing


在提高員工安全意識的工作中,網路釣魚演習無疑是一種行之有效的手段,也是近年來駭客針對員工進行攻擊時慣用的手段。由於其攻擊成本低效果明顯飽受青睞,在整個網路攻擊活動中佔比高到78%,因此,員工學會如何識別網路釣魚,學會避開此類攻擊將會大大的減少安全事件。

網路釣魚結合了社會工程學和欺詐技巧,通常利用人性的弱點:貪婪、恐懼、好奇、同情、對權威的敬畏、認知的侷限性及偏差來實現。網路釣魚的形式可能是一個郵件附件,會載入惡意軟體到你的計算機;也可能為一個非法網站的連結,誘騙使用者下載惡意軟體或洩露個人資訊甚至是竊取重要的憑據;或者是一個偽造的登入頁面,來騙取使用者登入憑據。

企業如何做好員工安全意識提升圖1 釣魚攻擊概覽圖

知名反網路釣魚組織APWG (Anti-Phishing Working Group)2021年第三季度對目前的網路釣魚事件態勢分析總結如下:

  • 2021年7月共監測到260,642次網路釣魚攻擊,這是APWG報告歷史上最高的月度。

  • 自2020年初以來,網路釣魚攻擊的數量翻了一番。

  • 軟體即服務和網路郵件領域是第三季度最常受網路釣魚攻擊的領域,佔所有攻擊的29.1%。

  • 針對金融機和支付服務提供商的攻擊持續不斷,佔所有攻擊總數的 34.9%。

  • 針對加密貨幣目標(加密貨幣交易所和錢包提供商)的網路釣魚佔攻擊的 5.6%。

  • 2021 年,受到攻擊的品牌數量有所增加,從每月 400 多個增加到 9 月的 700 多個。

  • 巴西的網路釣魚攻擊從第二季度的 4,275 次上升到第三季度的 7,741 次。


安全意識提升七大指標


結合國內外安全意識提升的資料來看,不難發現安全意識的提升主要從兩個方面進行:安全培訓和模擬演習。以下就如何做好安全培訓和模擬演習需要關注的多項指標進行敘述。

1、安全培訓關鍵指標

大多數的企業均在安全方面都做過或多或少的培訓工作,來確保發生安全事件人員有足夠的能力和應急措施去應對。但是為什麼在這麼多工作的前提下,員工在遇到真實的釣魚攻擊還是會大片的淪陷?這是因為員工沒有養成防釣魚的潛意識以及不同場景下的思考決策能力。綜合學習整理國外兩大安全意識培訓公司的方案,給出以下三大指標:1.課程完成率,2.知識吸收轉換率,3.非測試期間活動檢測率。

(1)課程完成率

企業如何做好員工安全意識提升圖2 課程完成率

無論是安全行業還是其他行業的,在入職培訓期間,均會進行安全意識培訓。其中的課程五花八門,但有的員工學了,有的員工覺得無聊跳過了,而更甚者員工直接忽略接收。因此相應的難題就回歸到了課程培訓的組織者。

組織者必須知道,如何檢測學員的完成率,導致這種情況的問題因素在哪裡,最後透過課程檢測可以輸出什麼。

首先檢測手段,我們可以檢視員工的學習軌跡(包含時長、時間段等),然後依據結果製作出表格,分層級展示(個人<小組<部門<企業)。其次我們應該思考三個點:

1、怎麼製作體系化的課程和階段化的課程;

2、員工有什麼課程是一次性完成的,什麼是暫停/跳過的,為什麼?

3、隨機挑選的課程中,員工更願意學習什麼課程,不願意看的課程又是什麼原因呢?


課程完成率這個指標,最能直觀的體現出員工的學習態度、進度、以及課程的精度。這裡介紹一個課程制定的原則:BEST

  • 簡潔(Brief) 長時間的電腦課件培訓會讓員工厭煩,也無法提高教學效率。只用1-4分鐘的時間來完成這一切才是最高效的。

  • 有效(Effective)教會你的員工如何識別釣魚攻擊,發現釣魚攻擊後該做什麼,以及到哪裡去報告。

  • 簡單(Simple) 如果訓練中使用員工不熟悉的術語,或者發出的指令過於複雜, 那麼員工就會感到沮喪。這種沮喪情緒會對訓練產生負面影響。

  • 體貼(Thoughtful) 你知道員工每天有多少事要做嗎?每天要承受多少壓力嗎? 如果你知道,那麼你就會在準備培訓課程時深思熟慮,這樣才不會給他們繁忙的生 活增添額外的壓力。與此同時,你還讓他們做好保護自己、家人和公司免受釣魚攻 擊侵害的準備。你是多麼體貼啊!

(2)知識吸收轉換率

企業如何做好員工安全意識提升圖3 知識吸收轉化率

相信很多人在大肆抓課程學習的時候,出現了一個疑惑點,那就是員工學完了我的課程,就吸收了嗎?之所以會發出這樣的疑問,往往是因為你的課程沒有設定知識吸收轉換率的檢測點。那應該怎麼製作檢測點呢?最簡單粗暴的方式就是課程中加入檢測題。既起到了防刷的作用,又可以知識點逐一檢測加深記憶。

關於檢測題,一般分為三類:選擇、判斷、填空。

  • 選擇題:給出答題者答案,搜尋薄弱的記憶點,檢測是否有學習或者記憶。

  • 判斷題:給出答題者敏感易錯的做法,檢測敏感易錯點是否熟記。

  • 填空題:給出答題者模擬的場景,檢測個人意識+思考的實踐度。

三種題目循序漸進的考察及篩選了員工的知識轉化率。也可以作為卡點來加深學習記憶。此指標使得培訓課程的組織人員很容易就能檢測到員工的學習成果。

(3)非測試期間活動檢測率

企業如何做好員工安全意識提升

圖4 非測試期間活動檢測率

很多安全培訓,僅存在理論性課程,這樣只能讓員工安全意識維持在課程中,而在真正出現釣魚事件時,安全意識瞬間將為零。

該指標就是指在非培訓期間,利用一些隱形的活動來檢測員工的安全意識。既可以反映員工的安全意識沉澱,又可以加深員工的警惕心理。例如:發隨身碟活動,註冊領福利等等。可以隨著時間提升難度縮短間隔。真正的讓安全意識熟記在心底,應用於工作及生活中。

2、網路釣魚演練關鍵指標

除去安全培訓,最直接檢測員工安全意識的辦法就是進行模擬釣魚演練。透過開啟率、點選率、上報率和彈性係數等四項指標,他們從不同維度和場景體現出了實施者的技術、員工的安全意識、組織的安全建設完善程度。

(1)開啟率

企業如何做好員工安全意識提升

圖5 開啟率

開啟率,直觀的展示出電子郵件是否具有吸引力,足以讓讀者開啟它並瞭解更多的資訊。而追蹤技術我們往往會採用畫素追蹤技術。用於進行網路犯罪的畫素追蹤技術【https://www.kaspersky.com.cn/blog/tracking-pixel-bec/11964/】,而決定開啟率的關鍵因素往往會有很多,這就考驗到了實施者的經驗以及技術。

例如:

  • 主題是否吸引閱讀

  • 發件人姓名是否關鍵

  • 郵箱服務是否存在郵件預覽文字

  • 郵箱是否具有內外部郵件標識的外掛

  • 郵件是否被放入垃圾箱

  • 郵件是否被上報

  • 郵件是否能繞過郵件閘道器

(2)點選率

企業如何做好員工安全意識提升

圖6 點選率

點選率是指點選釣魚郵件中連結的收件人百分比,該指標是衡量員工安全意識的重要指標。而釣魚攻擊的成敗點也在這裡。點選率的檢測我們可以依靠:連結、輸入憑據、附件等各種模式的後臺記錄來檢視。

點選率低的原因:

  • 模板選擇有誤(強度較低)

  • 錯別字等關鍵識別因素較多(強度較低)

  • 有人上報,it側已遮蔽

  • 郵件在垃圾箱中,使用者無感知

常見增加點選率的方法:

  • 郵件回覆【郵件中表明此郵件的優先順序,務必回覆】

  • 附件下載檢視【郵件中增加附件檢視的誘惑性】

  • 電話回覆【可以增加電話回覆來提高可信度,但注意電話的防溯源】

  • 簡訊回覆【同理】

(3)上報率

企業如何做好員工安全意識提升

圖7 上報率

此指標既衡量員工的安全意識、也衡量安全口的培訓深度以及流程的完善度(最重要的指標)。

為什麼說是最重要的?例如,在報告率較低的組織中,第一位員工將電子郵件識別為惡意電子郵件,但立即將其刪除。雖然這對他們個人來說是有好處的,但這一行動會使其他員工在當天晚些時候面臨風險;在報告率較高的組織中,第一位員工將電子郵件識別為惡意電子郵件,但將其告知 IT 團隊。IT 團隊現在有一個小時的時間可以在下一個員工處理電子郵件之前進行干預(透過通訊,或透過DNS 防火牆之類的東西阻止惡意連結的域)。這一行動對個人和整個組織都有好處。而往往高上報率會使IT 和組織具有主動性,而不是被動反應。這就是完善的網路安全文化所代表的,這也是網路安全意識培訓計劃的主要目標。

提高上報率的關鍵因素:

  • 上報渠道的完善度

  • 上報的流程培訓

  • 上報的意識培訓

而組織者怎麼去提供追蹤上報的技術?在上報渠道讀記錄接入統計系統:

  • 電話/企業微信/郵件等上報方式

  • 郵件系統上報外掛

  • 辦公oa上報渠道

(4)彈性係數

企業如何做好員工安全意識提升

圖8 彈性係數

單一的點選率、上報率往往會出現很多不確定的因素,導致結果出現偏差。所以需要定義一個平衡兩者的指標:彈性係數。

【彈性係數=上報率/點選率】

理想的彈性係數是14,而上報率和點選率分別為70%和5%。該指標能趨於穩定的評測出組織內的真實安全意識以及安全建設的成熟度。

瞭解了以上7個指標,我們就能依據場景,制定不同的目標和方案,為各自的企業做好安全意識的提升了。



網路釣魚演練實施要點


從文章開頭提到的的回報率來說,把思維轉換到組織者的角度來想。我們應該如何展示或者說是提高回報率呢?筆者透過查詢多篇國外專利安全意識培訓公司的報告和方案,梳理形成以下三個目標:

  • 最大化的暴露風險點

  • 最大化的體現損失度

  • 最大化的體現安全意識的彈性係數變化

安全意識提升應該從組織開始分層次的細化去提升,當然大家可以選取自己的層次和角度去看待後面的內容。

1、要最大化暴露風險點

企業如何做好員工安全意識提升

圖9 最大化暴露風險點

風險點由個人累計到部門組織風險,如果不最大化的排查相應風險點,將存在很大的安全隱患。具體分析計劃需站在組織者的角度進行。

以目標為導向:首先需要對整個組織進行一次模擬演習,建立組織的平均彈性係數。然後隨著計劃和實施需要將整體的彈性係數維持在一個穩定的14倍。

(1)組織層面的目標及方案制定

  • 首先需要了解一個組織的目標是什麼?

總體提高組織的安全意識成熟度(提高彈性係數)。

  • 過程怎麼表現?

透過折線圖來展示隨著時間的變化,員工/部門/組織的彈性係數變化。

  • 怎麼去做?

按照層級,細化資料分析,注意減少各層級間的偏差,統一提高彈性係數。

  • 決定因素?

組織一定要全力支援整個專案,幫助專案組最大化的挖掘風險點。

整體專案實施中,需要大量的資料進行支撐,從而形成直觀的組織總體安全意識成熟度模型,以及安全投入回報率折線圖。


(2)部門層面的目標及方案制定

不同的部門,安全意識成熟度是參差不齊的,比方說:行政/人力等部門的點選率可能高於銷售團隊,而開發團隊高於安全團隊;外包人員點選率高於子公司,長沙子公司的又高於西安子公司的。可以將這些小組的指標與組織的整體水平進行比較,以瞭解哪些區域更值得進行集中培訓和測試,隨後細化到團隊/小組。

  • 目標是什麼?

縮小部門間的彈性係數差,提高組織總體的彈性係數。

  • 過程怎麼體現?

透過資料和圖表來展現,隨著時間的變化,部門間的偏差變化。

  • 怎麼去做?

從最初的模擬演練中對比篩選出,最好和最差的部門,隨後透過安全意識培訓+測試去縮短二者之間的偏差。如此往復,縮短每個部門之間的偏差。隨後加強測試的強度,來鞏固安全意識提高彈性係數。

  • 決定因素?

安全培訓的三大指標決定彈性係數,部門的配合程度決定投入的成本。

從組織的整體層面,到部門的中型層面,逐層細化,去迴圈往復的解決部門間的偏差。以部門為單位去展示曲線變化。


(3)員工層面的目標及方案制定

與部門層面類似,由於人員基礎素質、教育背景、日常所處環境的不同,安全意識成熟度存在明顯差異。在員工層面,我們應該分析哪些特定的員工相對於他們的部門或者是整個組織而言,風險更高。那就對他們進行針對性培訓。

  • 目標是什麼?

減少員工間的彈性係數差,提高整個部門的彈性係數

  • 過程怎麼體現?

透過部門內,以員工為單位的折現圖來展現,隨著時間的變化,員工間的偏差變化

  • 怎麼去做?

保留一次有效的安全培訓測驗結果或者是模擬演練的結果,篩選出一個名單,將這個員工放入到一個培訓桶內,隨後透過安全意識培訓+測試去減少桶中的員工。

  • 決定因素?

安全培訓的三大指標決定彈性係數,員工的配合程度決定投入的成本。

  • 需要注意什麼?

即使有這些指標資料,但對相應資料應該謹慎處置,避免造成不必要的摩擦糾紛及負面影響。

整體方案就是:從組織層面開始,先進行一次模擬演練然後分析資料,整理出以下資料:

  • 組織初始的彈性係數

  • 各部門初始的彈性係數

  • 部門間的偏差

  • 員工間的偏差

隨後,針對於低於組織初始彈性係數的部門進行安全意識提升。首先整理出這些部門在模擬演練中的4大指標,然後抽取處於部門內的中下員工,這時我們就從資料中得到了組織內的風險點。哪些部門、哪些員工的安全意識薄弱。

我們對這些培訓桶中的員工進行安全意識培訓,當其三大指標合格時,針對性的發起部門模擬演練。得到員工的安全意識指標以及部門的培訓後的彈性係數。如果此係數大於組織的平均值,則該部門從培訓桶中剔除。

迴圈往復的進行該步驟(注意投入的正向回報),就可以逐漸的剔除每一個部門。這時我們需要留下一組資料,那就是多次模擬演練中頻繁開啟和點選的員工,對他們進行定製化的安全意識培訓。直到他們的安全意識達標。

需要注意,組織上下需明確安全意識培訓目的,培訓的投入和員工/部門的態度形成正比。

2、要最大化體現損失度

透過最大化的體現安全事件造成的損失,引起組織層面的重視和注意,達到提升安全意識的目的。具體損失情況如下例子所示:

eg1:某HR在招聘網站登記的郵箱被攻擊者拿到、攻擊者偽裝成求職者,將帶有遠控的郵件發給HR,HR點選辦公電腦被入侵,隨後打破網路隔離,攻擊者入侵內網,將內網伺服器植入勒索病毒,並打包複製走所有的員工資訊+重要業務資料。

eg2:攻擊者發現某銀行的vpn客戶端可以外網下載,這時他們偽裝成銀行的客戶。去周邊的每個銀行諮詢業務並記錄銀行員工的工號、姓名、電話、郵箱等資訊,而銀行員工因為業務的指標就熱心的提供了所有的資訊,包含微信等聯絡方式。隨後攻擊者利用得到的員工通訊錄,發起釣魚攻擊,高精度的DIY定製郵件內容:xxvpn需要升級,請大家隨後重新設定密碼。銀行部分員工點選並輸入原始的賬號密碼,隨後員工發現密碼規律【初始密碼是大寫英文首字母+銀行成立年份】,隨後批次爆破出vpn的憑據【爆破未中招的員工】,隨後進入內網入侵系統,【該銀行內部網路隔離監測系統都不完善,內網吹彈可破】拿到大客戶的存款資訊。

我們國內的模擬練習,都是點到為止,沒有完成的利用鏈和對應的模擬損失。致使部分員工/部門/組織無法意識到安全意識的重要性。所以需要針對組織的行業性質製作一套對應的模擬損失。

eg1中

  • 員工資訊=灰黑產中的價格

  • 重要業務資料=程式碼重構投入的研發經費

  • 勒索病毒=贖金的總和

eg2中

  • 大客戶的存款資訊=灰黑產的價格+存款的利息(大客戶可能會流失)

  • 內網入侵=內網重要系統重構研發經費+安全排查

  • 事件曝光=輿論造成的股票下跌+大客戶流失

所以在專案中,模擬演練中要制定模擬損失,體現在資料和圖表中,一方面隨著時間的變化能體現回報率,另一方面也可以直觀的體現安全意識的重要性。制定好組織的模擬損失後,需要不同層面的配合和支援。在組織層面:採取不遮掩、不迴避、不阻斷的態度最大程度支援專案實施,在部門層面也是依據部門性質核算制定模擬損失,配合演練實施方進行演練,並及時的核算攻擊鏈造成的損失。而對於個人,應該真實上報並詳細的記錄自己的處置過程。

在上述工作完成的基礎上,就要考慮如何展示回報率了:最大化的體現彈性係數隨時間的變化。


3、要最大化體現彈性係數隨時間的變化

所有的展示都依靠資料,總共分為三部分:安全培訓+模擬演習前的彈性係數,安全培訓+演習後的彈性係數,延長時間線後的彈性係數。

三個部門的資料彙總輸出隨著時間變化,組織/部門/員工的安全意識提升。每一次的節點都需要標註模擬損失和投入的資源。三個層次的變化圖表可以展示給不同的驗收者。

最後補充一下專案的後續說明,當員工達標後,開始針對部門提升不同的演習難度,最後強化部門的彈性係數維持在14左右。由員工到部門,部門到組織,自下而上的收斂風險點提升組織總體的安全意識成熟度。當組織總體的彈性係數達到14倍左右,這個專案就進入了收尾驗收的地步。



眼動儀與網路釣魚分級


不止是攻擊者需要衡量釣魚郵件的欺騙度,企業培訓中也可以利用眼動儀追蹤技術來鑑定釣魚郵件的欺騙度以及員工的安全意識。眼動儀可以幫助我們記錄快速變化的眼睛運動資料,同時可以繪製眼動軌跡圖、熱力圖等,直觀而全面地反映眼動的時空特徵。眼動分析的核心資料指標包括停留時間、視線軌跡圖、熱力圖、滑鼠點選量、區塊曝光率等,透過將定量指標與圖表相結合,可以有效分析使用者眼球運動的規律,尤其適用於評估設計效果。我們可以參考英國普爾伯恩茅斯大學科技學院心理學系做的實驗“透過眼動追蹤瞭解網路釣魚電子郵件處理和感知可信度”來為企業檢測員工的安全意識以及衡量不同的釣魚郵件具有的欺騙度。

根據網路釣魚郵件、頁面欺騙度不同,我們通常把釣魚攻擊分為4個級別,分別是:

1、一級釣魚攻擊

一級釣魚攻擊是最容易識別的,通常有很多指標可以識別出它是“釣魚攻擊”,大多數普通使用者都應該覺得能很容易找出這類郵件不對勁兒的地方。可以用下列指標來劃分一級釣魚攻擊:

  • 非指向性問候和結束語;

  • 拼寫錯誤和糟糕的語法;

  • 簡易的資訊/不太可能成立的理由;

  • 引起貪婪、恐懼或者好奇的心理;

  • 奇怪的郵件地址/未知的發件人。

2、二級釣魚攻擊

二級釣魚攻擊更復雜,儘管也有與一級釣魚攻擊類似的指標,但它的主題更為巧妙和隱蔽。可以用下列指標來劃分二級釣魚攻擊

  • 非指向性問候和結束語;

  • 拼寫正確但有一些語法問題;

  • 資訊更復雜但仍然很基本;

  • 引起貪婪、恐懼或者好奇的心理;

  • 文字中出現惡意連結;

  • 奇怪的郵件地址/未知的發件人。

3、三級釣魚攻擊

三級釣魚攻擊接近於真實生活中的魚叉式釣魚攻擊以外的針對性釣魚攻擊。三級釣魚攻擊郵件複雜且難以識別。可以用下列指標來劃分三級釣魚攻擊:

  • 指向性問候和結束語;

  • 正確的拼寫;

  • 正確的語法;

  • 複雜的資訊;

  • 會引起恐懼或好奇的心理;

  • 文字中出現惡意連結;

  • 有時候會出現奇怪的郵件地址,但是發件人看起來是合法的;

  • 很多時候出現商標。

4、四級釣魚攻擊(魚叉攻擊)

這一級別的釣魚攻擊非常高階、非常個性化,而且很多時候非常成功。這一級別釣魚攻擊的有趣之處在於,它可能具備個人化資訊、商標、無拼寫錯誤等特徵,但它也有可能是地球上最簡單的郵件,這種手法就是魚叉攻擊。

魚叉式釣魚攻擊與其他型別的釣魚式攻擊的不同之處在於,魚叉式釣魚針對的是特定人員或特定公司的員工。魚叉式釣魚這種有針對性的攻擊更加危險。網路犯罪分子會精心收集目標物件的資訊,使”誘餌”更具誘惑力。精心製作的魚叉式釣魚電子郵件可能很難與合法的電子郵件區分開來。因而魚叉式釣魚攻擊更容易使目標上鉤。



結語


在眾多的安全防禦手段中,透過網路釣魚演習提高員工安全意識和釣魚郵件識別能力,是在當前防禦愈演愈烈的網路安全形勢下,最經濟的一種防禦手段。因此未來企業安全建設工作中,要做到有效提升員工安全意識,就需要做到網路釣魚演習標準化、指標化,員工安全意識可度量。


參考連結:

https://apwg.org/trendsreports/

https://www.cira.ca/blog/cybersecurity/phishing-test-metrics-measurement

https://www.livingsecurity.com/blog/metrics-to-track-in-your-cybersecurity-awareness-training-campaign

https://www.proofpoint.com/us/blog/email-and-cloud-threats/reporting-phishing-simulations-essential-metric-measure-phishing?utm_source=social_organic&utm_social_network=twitter&utm_campaign=21_Nov_Blog&utm_post_id=5c931e63-24cb-4cd8-9cd3-e13798b82bd7

https://www.microsoft.com/security/blog/2021/08/18/trend-spotting-email-techniques-how-modern-phishing-emails-hide-in-plain-sight/

https://www.buaq.net/go-58701.html

https://www.fireeye.com/content/dam/fireeye-www/regional/zh-CN/products/pdfs/wp-spear-phishing-attacks.pdf

http://www.infocomm-journal.com/cjnis/article/2017/2096-109x/2096-109x-3-7-00007.shtml

https://www.hackbase.net/article-254958-1.html

相關文章