網絡釣魚是網絡犯罪分子使用的最古老、最有效的手段之一，無人能對其免疫，就連互聯網安全專家也不例外，網絡安全專家特洛伊·亨特(Troy Hunt)最近就上當受騙，點擊了一封釣魚郵件。

在AI普及之前，釣魚郵件往往很容易被識破，這些郵件中語法錯誤和用詞不當的情況比比皆是，因此很容易被發現，但如今情況已不同，如今的網絡釣魚攻擊更具說服力，往往與真實信息無異。

因此，許多公司都在使用網絡釣魚模擬測試來培訓員工，以識別和防范此類攻擊。

人力資源團隊經常參與這些項目的推行，尤其是在員工培訓、合規和意識提升方面。雖然技術方面的工作通常由IT或安全團隊負責，但人力資源團隊在確保培訓成效方面發揮著關鍵作用。

這些模擬測試的實際效果如何?

研究人員對常見網絡釣魚培訓方法的實際效果展開了一項研究，他們發現，在各種培訓內容中，受過培訓和未受過培訓的用戶在失敗率上的絕對差異很小。

谷歌安全經理馬特·林頓(Matt Linton)表示，網絡釣魚測試已經過時，往往給員工帶來更多挫敗感，而非真正改善他們的安全習慣。

另一方面，采用適應性網絡釣魚模擬測試和基于行為的培訓(尤其是在入職培訓期間)的公司發現，新員工的網絡釣魚風險降低了30%。

盡管任何培訓都不可能盡善盡美，但教育員工識別網絡釣魚仍是良好安全策略的關鍵組成部分。

事實上，網絡釣魚手段不斷演變，幾個月前還看似貼切的模擬測試可能現在已經過時。如果培訓不能跟上新威脅的步伐，員工可能無法應對現實中的網絡釣魚攻擊。

因此，網絡釣魚模擬測試作為更大戰略的一部分時效果最佳，對于人力資源部門而言，這意味著要關注持續教育、溝通，并營造一種安全的工作文化，讓員工敢于報告可疑郵件。

網絡釣魚模擬測試的弊端

員工倦怠

網絡釣魚模擬測試的目的是訓練員工識別真實威脅，但如果員工對測試感到厭倦，他們可能也會忽視真正的網絡釣魚企圖，這與企業的初衷背道而馳。

對士氣的負面影響

當有人點擊了虛假釣魚郵件時，他們往往會感到尷尬或自責，有時員工會擔心管理層會懲罰他們，或者同事會評判他們，這種負面情緒會降低他們的自信心和學習意愿。

測試泛泛而談，未切中要害

并非所有網絡釣魚測試都能切中要害，一些公司使用的測試示例過于通用、陳舊，無法反映員工實際面臨的真實威脅，在這種情況下，人們往往會忽視這些測試。

讓網絡釣魚培訓在團隊中發揮作用的步驟

要讓任何培訓項目發揮作用，首先需要了解企業面臨的風險，哪些員工面臨的風險最大?他們對網絡釣魚已經了解多少?

接下來，與IT或安全團隊緊密合作，創建與當前威脅相匹配的網絡釣魚測試。

告知員工預期情況，解釋這些測試的重要性，以及它們如何有助于防范問題。

不要責備員工，如果有人在測試中失敗，應將其視為學習機會，而非懲罰依據，這樣做，員工就不太可能隱瞞錯誤或避免報告網絡釣魚郵件。

選擇供應商時，要注重內容和逼真的模擬測試，系統應易于使用，并提供有用的報告。

最后，征求員工的反饋意見，了解哪些有效、哪些無效，并利用所學知識不斷改進培訓。

IRONSCALES的CEO埃亞爾·貝尼斯蒂(Eyal Benishti)表示：“雖然傳統的安全意識培訓對于在整個企業中建立共同的知識基礎至關重要，但必須認識到，員工在具體知識和可靠性方面存在差異。作為第一步，企業應使用網絡釣魚模擬測試為每位員工建立績效基準，在此基礎上，企業可以根據每位員工的經驗、知識水平、部門、職位等，為其提供更具針對性的培訓模擬測試。”