網路釣魚,你要怎麼防範

易念科技發表於2020-08-14

網際網路高速發展的今天,企業及其系統與外部網路的聯絡逐漸增多,這不僅擴大了系統被攻擊的可能,對企業資訊保安來說也帶來更多的網路安全威脅,其中釣魚郵件是目前主流的攻擊手段,一個精心準備的釣魚郵件不僅可能帶來企業機密資訊洩露的風險,而且可能會攜帶惡意程式,惡意程式透過滲透對企業內部的網路發起跳板攻擊,這是目前網際網路最主要的外部風險。根據卡巴斯基釋出的2018年網路安全報告表明,垃圾或釣魚郵件佔全球總郵件流量的52.48%。釣魚郵件的風險主要來自於員工安全意識教育缺乏,有統計表明95%的網路攻擊事件是由於員工安全意識淡薄引起。因此提升企業員工對安全風險的識別能力、處置能力,讓每個員工自覺成為企業網路安全的守護者,實現對網路安全風險早預防、早處置,避免或減少企業損失,是企業提高網路安全防禦能力最有效的手段!


網路釣魚,你要怎麼防範


E-Phishing 是國內首個商用化的網路釣魚模擬與意識教育平臺,目的在於改變員工的風險行為,幫助員工提升對釣魚郵件感知和認識。透過收集真實釣魚郵件,創造模擬釣魚情景,讓員工定期親身體驗釣魚例項。員工能夠體驗的“活躍威脅”包括勒索軟體、商務郵件釣魚、魚叉式釣魚、惡意程式和惡意附件、路過式攻擊、高階會話釣魚攻擊等。企業在E-Phishing平臺上可自行註冊賬戶、管理員工,根據業務場景靈活配置釣魚郵件進行傳送測試,平臺會監測員工對釣魚郵件的操作,並根據不同操作行為提供針對性學習課程,追蹤資料分析、形成企業員工風險評估。
E-Phishing平臺彌補了目前國內市場上網路釣魚識別與防範的空白,具有重要的實際應用和市場開發價值(科技查新報告 2018IC0717296)。E-Phishing 提供公網、內網、專用裝置等多種服務方式,嚴格遵循流程制度並透過ISO27001認證。



功能模組


01

員工管理


平臺可批次匯入目標員工郵箱列表,可為員工打上集團、公司、部門、崗位、職級等等多個標識資訊進行分類,在後期統計報表中,可根據以上標識進行多維度分析,全面評估企業風險。


網路釣魚,你要怎麼防範


【圖】員工列表


02

快速演練


首次使用E-Phishing實施釣魚演練,需要按照平臺上“使用教程”配置郵件伺服器IP白名單,保障測試郵件能100%達到目標員工郵箱。


網路釣魚,你要怎麼防範

【圖】使用教程


配置完成,透過簡單的三步執行,即可快速開始一次釣魚演練。


Step1:根據型別、場景標籤選擇釣魚模板;

網路釣魚,你要怎麼防範

【圖】Step1:選擇模板


Step2:設定本次釣魚演練基本資訊,各項資訊結合企業業務自定義。並選擇本次要傳送的目標郵箱;


網路釣魚,你要怎麼防範



【圖】Step2:基本設定


Step3:本次釣魚演練設定資訊確認無誤,直接點選“確認”進行實施;


網路釣魚,你要怎麼防範

【圖】Step3:確認實施


03

儀表盤
單次演練儀表版:針對本次釣魚演練追蹤記錄,包含:整體—部門的閱讀、點選連結、輸入敏感資訊、掃描二維碼或開啟惡意附件等操作統計,操作時間分佈、使用瀏覽器、來源IP等使用習慣統計。

網路釣魚,你要怎麼防範


【圖】單次演練儀表板


全域性儀表板:針對歷次釣魚演練資料的全域性分析,包含:風險指標、風險操作統計、多次“中招”人員統計、多次演練“中招”趨勢、不同釣魚場景的“中招”統計、以及部門下鑽統計。


網路釣魚,你要怎麼防範

【圖】全域性儀表板


04

專題學習


基於M-Learning建立“郵件安全”專題學習,與E-Phishing釣魚模擬測試聯動,引導“中招”員工掃碼學習,提高識別釣魚郵件能力。

網路釣魚,你要怎麼防範

【圖】“中招”後提示及引導學習頁面


網路釣魚,你要怎麼防範

【圖】專題學習模組


05

分析報告


網路釣魚,你要怎麼防範

網路釣魚,你要怎麼防範

網路釣魚,你要怎麼防範

網路釣魚,你要怎麼防範

【圖】分析報告示例




PART 1/產品亮點


內建的可編輯化模板

超過 50 個熱點主題的釣魚郵件模板可供選用,且可對選擇的模板郵件內容進行自定義編輯。若現有模板庫仍滿足不了企業需求,還可提供定製化模板開發。

網路釣魚,你要怎麼防範

【圖】釣魚郵件模板庫


網路釣魚,你要怎麼防範

【圖】郵件內容編輯



PART 2/快速啟動釣魚演練


E-Phishing提供SaaS服務,透過簡單三步執行即可快速開始一次演練。為確保成功投遞釣魚郵件,只需將E-Phishing發件伺服器IP和演練中使用的發件地址加入企業白名單,然後透過Excel 檔案輕鬆匯入目標員工名單,即可發出第一個測試。


網路釣魚,你要怎麼防範


【圖】快速演練配置



PART 3/靈活的郵件傳送機制


平臺提供:隨機抽取傳送、按照組合抽取傳送、指定組合抽取傳送3中機制,可自定義抽取比例及選擇模板,全面滿足企業的傳送機制需求。


網路釣魚,你要怎麼防範

【圖】傳送機制配置



PART 4/配合主題的專題學習


可根據人員的“中招”情況及崗位、職級,推送針對性的學習內容,加強郵件安全方面的知識掌握。透過此種學習方式,推動企業強制性合規教育。



網路釣魚,你要怎麼防範

【圖】“郵件安全”主題知識庫



PART 5/多維度資料採集


不僅釣魚郵件模板自身被定義了相關威脅型別以及攻擊型別屬性,對於參與模擬演練的人員也被賦予了一定的屬性,E-Phishing對以下資料進行了採集來為企業提供有效全面的評估:

參與演練人員閱讀釣魚郵件的時間戳;

參與演練人員操作動態:閱讀、點選、輸入、下載、掃描等;

參與人員進行學習的時間長度;

參與人員的IP熱區;

參與人員所使用裝置/瀏覽器的種類;



PART 6/全方位的儀表板監測


透過儀表板結果瞭解企業的安全現狀。E-Phishing儀表板提供關於員工易受攻擊性的演練結果概覽,用實時資料衡量整個企業組織的整體風險等級,包括:

年度演練概覽:企業總體統計及部門下鑽統計;

參與演練人員分佈熱區;

演練型別統計及待執行的演練狀態;

測試人員風險行為統計分析;

反覆“中招”人員統計;

多次演練結果對比分析;


解決痛點


1、員工對釣魚郵件防範意識不足

頻發的APT攻擊事件告訴我們,員工是企業安全最薄弱的環節。大部分企業員工甚至不知道什麼是釣魚郵件,若不幸“中招”會導致企業陷入巨大風險之中。


2、傳統的內容學習方式效果有限

講師授課、張貼海報、學習考試等傳統教育方法,耗費企業大量人力組織,員工參與度卻不高、培訓效果也不明顯,企業投入產出比很低。


3、缺乏對員工角色的針對性教學

魚叉攻擊針對員工不同角色設計不同的社會工程技術,有效地將釣魚訊息和釣魚網站做得個性化,更易於騙取信任。即便是企業的高層管理人員也有可能被欺騙。


服務特色


E-Phishing提供3種服務方式:公網服務、內網部署、工控機租賃。


1、公網服務

E-Phishing提供公網SaaS雲服務,企業可自行註冊賬號開展模擬釣魚攻擊教育。開展方式便捷、實施週期短、成本低。


2、內網部署

由企業提供資源支援,把E-Phishing平臺部署至企業內部伺服器中。釣魚演練全程均在企業內部環境完成,所有資料不會曝露在公網,保障人員資訊的隱私性及資料安全性,符合管理要求。


3、工控機租賃

企業無需提供任何資源裝置,主要租賃一臺已部署好E-Phishing平臺的工控機,直接連線企業內部網路即可實施釣魚模擬攻擊培訓。


市場價值


競爭優勢


模擬駭客技術的釣魚郵件演練教學是目前資訊保安領域新興的服務模式,區別於傳統的學習、考試的教育模式,教育效果更加有效。
E-Phishing與競爭者產品相比,具有明顯優勢:

定製化服務:可結合企業行為習慣及業務定製化模板場景及教學內容,針對性強,內容合規,教育效果最佳。

本地化服務:系統可根據企業實際情況環境,部署至企業內網進行釣魚演練,所有資料都儲存在企業內部環境,保障資料隱私性,符合企業管理規範;

一體化服務:平臺提供先對企業郵箱進行穿透檢測,幫助企業完善郵箱加固。在針對性實施釣魚模擬測試,及對“中招”人員推送應對意識教育內容學習。


應用場景


1、企業郵件閘道器安全檢測

透過模擬上百種釣魚郵件傳送方式,測試企業郵件閘道器對釣魚郵件的識別能力,從而幫助企業提升郵件檢測能力、完善郵件過濾機制,首先降低釣魚郵件到達員工收件箱的機率。


2、企業模擬釣魚郵件測試

持續更新釣魚郵件模板,精心選擇釣魚目標,模擬多樣化的釣魚場景,發現企業存在的安全脆弱點,以及在員工安全意識及防範中存在的問題,直觀展示工業網際網路安全威脅。


3、員工郵件安全課程學習

提供釣魚郵件識別與防範技巧的系列課程,強化員工對釣魚郵件的識別能力,謹慎處理日常郵件。


4、基於模擬釣魚的應急演練

基於模擬釣魚攻擊,檢測企業普通員工及安全運維團隊在遇到突發APT攻擊事件時,是否能遵循企業突發事件應急響應規範及時採取措施。滿足企業合規,提升企業應對網路與資訊保安突發事件的管理能力。


服務案例


E-Phishing網路釣魚模擬與意識教育平臺投入市場推廣運營,目前已為能源、金融、銀行、電商、公用事業、工業製造等100+關鍵資訊基礎建設單位提供持續性模擬釣魚測試教育服務,累計受眾200多萬名員工。主要客戶型別如下:


(1)合規要求:在強監管要求下,機構重視員工安全教育工作,逐步建立企業安全合規文化。典型使用者包括:交易所、券商、商業銀行、保險公司、金融消費企業等。


(2)業務保障:面向全國範圍內的數萬員工開展風險驅動的個性化教育內容推送,及時針對員工的高風險行為進行教育,透過積分績效評價驅動員工安全行為。典型使用者包括:金融科技、汽車科技、先進製造、網際網路等行業單位。


(3)風險教育:大型企業集團為加強員工對安全風險的認識,提升社工欺詐識別能力,落實安全管控要求。典型使用者包括:運營商、能源、央企、公共服務等關鍵資訊基礎設施單位。


(4)資料保護:大資料企業針對使用與接觸關鍵資料的員工與合作伙伴進行必要的學習與測試,作為使用企業資料的前置要求。典型使用者包括:醫療健康、人工智慧、新能源、新零售等大資料應用領域。


案例說明:


1、某知名電商

該電商安全部為加強集團9萬多員工對社工欺詐識別能力,全年度持續開展基於釣魚模擬的員工安全意識培訓活動,採用E-Phishing平臺針對員工的部門傳送不同主題場景的釣魚郵件,嵌入應對主題的學習課件和測試題目,員工釣魚郵件識別率整體提升80%。


2、某高科技製造企業

在一個季度內對10631位員工開展了3次釣魚郵件測試服務,傳送第一次釣魚郵件“中招”率達59%。基於超高的“中招”率,當月內立即組織全員進行集中的影片學習。傳送第二次釣魚郵件依然有21%的員工“中招”,繼續對全員進行針對性的知識競答。傳送第三次釣魚郵件時被釣魚員工整體低於2%,收到較好的教育效果。企業的整體“中招”率從59%下降到2%。


3、某著名物流企業

起因為核心部門員工遭受到一次釣魚郵件攻擊,造成了一些損失,之後非常關注員工對網路攻擊的防範意識。即採用E-Phishing平臺先對內部郵箱閘道器進行安全檢測,協助加固閘道器的安全性。在針對核心部門500多名員工以季度形式開展針對性釣魚郵件測試及專題課程學習,員工釣魚郵件識別率整體提升50%。


相關文章