基於釣魚郵件測試的安全意識教育方法

網路安全問題產生的原因有三種：技術漏洞、流程漏洞以及人的漏洞，人是網路安全防線中最脆弱的一環！微軟總裁布拉德·史密斯（BradSmith）曾在美國舊金山舉行的資訊保安大會上發表了主旨演講，分析了當今世界網路安全的問題。他強調指出，每家公司都至少有一個員工會拿著滑鼠到處點，很不幸，這就是為什麼90%的網路攻擊都從一封釣魚郵件開始的原因。據卡巴斯基實驗室：《2018年Q2 全球垃圾郵件和釣魚郵件情況》，第二季度，共檢測到107,785,069次網路釣魚，嘗試將使用者連線到惡意網站。遭受網路釣魚攻擊的使用者比例最高的國家是巴西，佔15.51%；其次是中國，佔14.77%。

根據“Gartner網路安全意識教育魔力象限”指出，基於計算機模式的安全意識教育市場複合增長率超過50%，主要趨勢是SaaS服務、郵件釣魚、遊戲化運營，其中郵件釣魚測試已經成為歐美國家企業開展員工安全教育工作的標準手段，相對應的發展中國家企業對開展釣魚郵件測試工作的認識存在嚴重不足，只有少數金融與網際網路企業定期開展面向員工的釣魚郵件測試。企業基於釣魚郵件方式開展員工安全意識教育可以有效的提升員工風險認知水平、建立企業員工行為規範，相比講師授課、張貼海報等傳統教育方法，基於郵件釣魚的安全意識培訓是目前國際主流的員工網路安全教育方式，不受員工所處地理位置、工作時間的限制，隨時隨地可以接受培訓，培訓效果可精確度量，是投入產出比最高的網路安全意識培訓方式。國內常見釣魚郵件形式對於國內企業使用者來說，OA釣魚郵件是最具危險性的釣魚郵件，攻擊者冒充系統管理員傳送郵件，以郵箱升級、郵箱停用等理由誘騙企業使用者登入釣魚網站，並進而騙取企業員工的帳號、密碼、姓名、職務等資訊。此外常見的釣魚方式還包括電商促銷、社保升級等國內常見的應用場景，還有一些高階攻擊者會使用電子郵箱進行商業欺詐，主要針對企業的財務人員或合作伙伴。如何構建釣魚測試郵件
第一、一個合理迫切的藉口!藉口是攻擊者用來誘導目標員工，以偽裝的合法請求或任務欺騙員工接收釣魚郵件的故事或詭計。第二、有效的payload，執行惡意活動的重要組成部分。第三、一個令人信服的釣魚網站、釣魚郵件可能會要求目標點選連結，該連結會跳轉到攻擊者製作的假網站上，通常這些網站都是一些可信站點的副本，主要用來竊取目標的使用者名稱和密碼。第四、成功傳送釣魚郵件。如果電子郵件被髮送到了目標的“垃圾郵件”或“垃圾”資料夾中，那麼郵件將很可能不會被開啟甚至是被忽略。因此想要成功執行釣魚攻擊，將郵件準確的傳送到目標收件箱是非常重要的。企業開展基於釣魚的安全意識教育方法1、進行基礎測試，統計在測試活動中點選模擬釣魚郵件連結或開啟受感染附件的員工人數，反映出未開展相應的安全意識教育的情況下，企業實際的風險狀況。
2、透過互動式培訓來教育員工識別與防範釣魚郵件，可以透過競賽答題、影片教學、互動體驗等多種方式開展。針對釣魚郵件的特徵，結合本單位關注主要風險，構建教育素材內容。
3、定期開展釣魚測試，每月（至少每季度）進行一次模擬測試，加強培訓效果。

國際組織研究分析了一組包括來自1.1萬個組織的600多萬使用者和幾十萬個模擬釣魚安全測試資料。透過以上資料呈現，在使用安全意識訓練和模擬網路釣魚的12個月後，組織機構防範網路釣魚的成功率提高了94%，有了顯著的提升。筆者所在的企業，透過國內某網際網路企業各個部門，在過去3個月內進行三次釣魚郵件測試對比情況：

傳送第一次釣魚郵件，實發10631位員工，被釣魚成功6258，“中招”率達59%。基於超高的“中招率”，當月內就組織全員進行集中的影片學習。第二個月傳送第二次釣魚郵件，依然有21%的員工繼續被釣魚成功，繼續對全員進行針對性的知識競答。第三個月，傳送第三次釣魚郵件，被釣魚員工整體低於2%，收到較好的教育效果。企業的整體“中招”率從59%下降到2%，這證明了持續性的對員工進行安全意識培訓，可以在加強資訊科技安全態勢方面獲得有意義的回報，即使是在頭三個月。企業開展釣魚郵件測試的建議
企業主動開展針對員工的釣魚模擬測試，對提升企業以及員工的安全意識有很大的幫助，這對企業和員工來說都是一場很好的安全檢驗，企業也更能從一個攻擊者的視角看到自身安全的不足之處。對於企業而言，如何實施有效地安全意識培訓：像營銷人員一樣計劃，像攻擊者一樣測試使用真實世界的攻擊方法。模擬釣魚演練必須模擬真實的攻擊和方法。否則，企業的“培訓”只會給組織一種虛假的安全感。不要單獨做這件事。參與其他團隊和主管，包括人力資源、IT甚至市場營銷。創造一種積極地、全公司範圍的安全文化。讓它與員工有關。人們只關心對他們有意義的事情，確保企業的模擬攻擊與員工日常活動相關。關注員工的行為改變。安全培訓不是僅僅告訴員工希望他們知道什麼。而是要給他們必要的關鍵資訊，但要集中精力調整他們的安全反應，這樣員工才能成為企業有效的最後一道防線。