網(wǎng)絡(luò)釣魚測試:打造人類防火墻
網(wǎng)絡(luò)釣魚已成全球企業(yè)的主要威脅。
網(wǎng)絡(luò)釣魚,是發(fā)送非法電子郵件引誘終端用戶做出響應(yīng)的一種操作——無論用戶的響應(yīng)是點(diǎn)擊可致惡意軟件感染的鏈接,還是拱手交出平時(shí)不太可能告訴別人的口令之類敏感信息。
令人毛骨悚然的是,所有跡象都表明,網(wǎng)絡(luò)釣魚攻擊越來越普遍了。Webroot表示,每個(gè)月都有近150萬個(gè)新的網(wǎng)絡(luò)釣魚登錄頁面被創(chuàng)建。為什么網(wǎng)絡(luò)釣魚如此流行?原因有以下幾點(diǎn):
首先,這種操作成本非常低。發(fā)送電子郵件基本上是免費(fèi)的,只需要花點(diǎn)時(shí)間編寫下內(nèi)容即可。不僅如此,電子郵件賬戶簡直無處不在。人們通常至少有2-3個(gè)電子郵件賬戶,比如私人電子郵件賬戶、公司電子郵件賬戶、社交媒體賬戶等。這些賬戶可以從多臺(tái)設(shè)備訪問,智能手機(jī)、平板電腦,還有其他個(gè)人和公司設(shè)備都可以。
于是,想要展開網(wǎng)絡(luò)釣魚攻擊的壞人,用一封郵件,就可以染指多臺(tái)設(shè)備;而如果向同一個(gè)人的多個(gè)電子郵件賬戶發(fā)起網(wǎng)絡(luò)釣魚嘗試,攻擊者的戰(zhàn)果甚至還能更豐富些。重大網(wǎng)絡(luò)安全事件的根源,就是那小小不言的一次錯(cuò)誤點(diǎn)擊。
網(wǎng)絡(luò)釣魚測試是什么?
網(wǎng)絡(luò)釣魚測試或許是公司企業(yè)可采取的最有效網(wǎng)絡(luò)防護(hù)措施之一了。
網(wǎng)絡(luò)釣魚測試,就是創(chuàng)建一封虛假網(wǎng)絡(luò)釣魚郵件,然后發(fā)送給指定用戶組。用戶收到該郵件時(shí),可以像平時(shí)對待普通郵件那樣處理。但當(dāng)他們點(diǎn)擊了郵件中的鏈接,就會(huì)被重定向到某種形式的登錄頁面。
取決于測試的目標(biāo),該頁面可以是常見的“404錯(cuò)誤”網(wǎng)頁(如果你不希望用戶知道自己在被測試的話),也可以是網(wǎng)絡(luò)釣魚和其他安全威脅的普及教育頁面,幫助員工樹立起更強(qiáng)的安全意識(shí)。有關(guān)該郵件的數(shù)據(jù),比如誰收到了郵件、誰點(diǎn)擊了里面的鏈接等等,也同時(shí)被收集起來用以后續(xù)分析。
通常,公司管理層會(huì)與IT顧問一起審閱測試結(jié)果,討論怎樣提升安全意識(shí),或者,有必要的話,打造更健壯的安全態(tài)勢。
為從網(wǎng)絡(luò)釣魚測試中收獲更多價(jià)值,最好每年多進(jìn)行幾次測試,定期向用戶發(fā)送不同類型的電子郵件。這些郵件的內(nèi)容應(yīng)多種多樣,且因受眾而異。
比如說,醫(yī)療系統(tǒng)中工作的員工,就應(yīng)該至少接受一次看起來與醫(yī)療行業(yè)問題相關(guān)的網(wǎng)絡(luò)釣魚測試。基本上,要夯實(shí)安全意識(shí),就得讓這些測試更具欺騙性。換句話說,如果你能教會(huì)用戶識(shí)別沒那么容易認(rèn)出的虛假網(wǎng)絡(luò)釣魚郵件,他們就更有可能避免被真實(shí)攻擊釣上。
另外,建議區(qū)分用戶,因材施教。對在識(shí)別網(wǎng)絡(luò)釣魚郵件上有困難的用戶,增加額外的定制培訓(xùn)。某些用戶在網(wǎng)絡(luò)釣魚測試中接受經(jīng)驗(yàn)教訓(xùn)很快,初始測試過后就大幅降低了釣魚鏈接點(diǎn)擊率,但有些用戶難免會(huì)困難些。
這種有區(qū)別的處理方式,可以讓防騙教育接受有困難的用戶,在將來樹立起更好的安全意識(shí),降低他們的風(fēng)險(xiǎn)。
我的公司也需要進(jìn)行網(wǎng)絡(luò)釣魚測試?
大多數(shù)情況下,是的——你的公司需要這么做。不僅僅是某些合規(guī)標(biāo)準(zhǔn)要求安全意識(shí)培訓(xùn),有時(shí)候甚至特別指定了網(wǎng)絡(luò)釣魚測試;而且大多數(shù)員工并未準(zhǔn)備好應(yīng)對及識(shí)別網(wǎng)絡(luò)釣魚,也是個(gè)非常明顯的外部威脅。
網(wǎng)絡(luò)釣魚詐騙瞄準(zhǔn)的是終端用戶的疏忽大意,鑒于此攻擊的廣泛性,某人防范意識(shí)缺乏而掉坑造成嚴(yán)重影響的情況,真的僅僅是個(gè)概率問題。只要你指望自己的員工經(jīng)常通過電子郵件來做業(yè)務(wù),你就能感受到這一威脅給你的公司風(fēng)險(xiǎn)管理帶來的巨大挑戰(zhàn)。
一次重大網(wǎng)絡(luò)安全事件,比如勒索軟件攻擊,給公司帶來的損失,遠(yuǎn)比受控網(wǎng)絡(luò)釣魚測試和網(wǎng)絡(luò)安全意識(shí)培訓(xùn)項(xiàng)目的開銷要大得多。
