8

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),南城企業(yè)網(wǎng)站建設(shè),南城品牌網(wǎng)站建設(shè),網(wǎng)站定制,南城網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,南城網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。月7日消息 相信在甲方工作的信息安全工程師都知道，定期對公司員工進(jìn)行安全意識培訓(xùn)是我們的工作內(nèi)容之一，目的也很明確，通過安全意識培訓(xùn)來改變員工的不安全行為，降低人的風(fēng)險。根據(jù)網(wǎng)絡(luò)安全問題起源數(shù)據(jù)分析，75%的安全事件是由人引起的，很大一部分原因是意識薄弱，弱口令、釣魚中招等；只有25%是跟技術(shù)相關(guān)，其中包括系統(tǒng)漏洞、配置缺陷以及業(yè)務(wù)邏輯缺陷等。

為了更好地認(rèn)識企業(yè)的安全意識成熟程度，釣魚郵件測試是最好的評估手段，是驗證安全意識培訓(xùn)效果最有效的方法之一，尤其是對于剛擔(dān)任公司的信息安全工程師，開展一次網(wǎng)絡(luò)釣魚能更快地認(rèn)識公司人員的安全意識處于什么階段，從而有針對性的開展安全意識培訓(xùn)。不試不知道，一試嚇一跳。

網(wǎng)絡(luò)釣魚那些事

1. 網(wǎng)絡(luò)釣魚現(xiàn)狀

在如今的互聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡(luò)釣魚是個人、組織所面臨較大的安全威脅，員工被“釣魚”是不同規(guī)模組織的一大風(fēng)險，因為對手會用惡意郵件和網(wǎng)站對用戶實施攻擊。

根據(jù)縱橫隨心郵與360行業(yè)安全研究中心的聯(lián)合監(jiān)測評估，2019年全國企業(yè)郵箱用戶共收到各類釣魚郵件約344.3億封。全球每天大約有3000億封電子郵件被發(fā)送，其中90%是垃圾郵件和病毒郵件 超過90%的黑客攻擊和數(shù)據(jù)泄露源于網(wǎng)絡(luò)釣魚詐騙，已報告商業(yè)電子郵件欺詐(BEC)損失了超過125億美元，但已報告的網(wǎng)絡(luò) 犯罪數(shù)量僅占實際犯罪總數(shù)的10%至12%。

2. 常見網(wǎng)絡(luò)釣魚攻擊類型

CEO欺詐或商務(wù)郵件欺詐(BEC)——假裝公司的CEO或其他高管，向級別較低的員工(通常是會計或財務(wù)部門的員工)發(fā)送電子郵件，這些電子郵件的目的是獲取商業(yè)機(jī)密信息或讓受害者將資金轉(zhuǎn)移到一個虛假賬戶。 克隆網(wǎng)絡(luò)釣魚——利用受害者已經(jīng)收到的合法信息，仿真創(chuàng)建一個惡意腳本，再以上一封電子郵件的鏈接有問題為由，要重新發(fā)送原始郵件，來誘導(dǎo)用戶點擊克隆的釣魚郵件。 域欺騙(Pharming)——偽造一個新的電子郵件頭，使它看起來像是來自一家合法公司的電子郵件地址?；蛘邉?chuàng)建一個欺詐網(wǎng)站，讓它的域名看上去是合法的或與合法公司的域名相似。 魚叉式網(wǎng)絡(luò)釣魚(Spear phishing )——使用社交工程策略定制個性化電子郵件，發(fā)送給組織內(nèi)的特定個人。攻擊者會使用電子郵件主題作為受害者感興趣的主題，以欺騙他們打開郵件并點擊鏈接或附件。 水坑攻擊(Watering Hole)——攻擊公司楊紅經(jīng)常訪問的網(wǎng)站，感染其中一個網(wǎng)站并植入惡意軟件。當(dāng)你或你的員工訪問該網(wǎng)站時，電腦會自動裝載惡意軟件，這樣攻擊者就能訪問你的網(wǎng)絡(luò)、服務(wù)器和敏感信息。 鯨釣攻擊(Whaling Attack)——是魚叉式釣魚的一種，與CEO欺詐相反。攻擊者的目的是高層管理人員，如CEO、CFO等，其目的是誘導(dǎo)高管輸入敏感信息和公司數(shù)據(jù)。

3. 常見網(wǎng)絡(luò)釣魚攻擊主題

財務(wù)類主題 IT通知類主題 司法機(jī)關(guān)類詐騙 商業(yè)電子詐騙

4. 網(wǎng)絡(luò)釣魚危害

針對個人的網(wǎng)絡(luò)釣魚(Phishing)攻擊者利用欺騙性的電子郵件和偽造的web站點來進(jìn)行網(wǎng)絡(luò)詐騙活動，受騙者往往會泄露自己的私人材料。欺詐者通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線商城、快遞等可信品牌，騙取用戶的私人信息。

針對企業(yè)網(wǎng)絡(luò)釣魚(phshng)是在網(wǎng)絡(luò)上盜竊身份的一種形式，它使用誘騙性的電子郵件和欺騙性質(zhì)的網(wǎng)站來引誘人們泄露公司內(nèi)部系統(tǒng)的賬號和密碼，公司的賬戶和密碼，影響公司估值的CEO/CFO的個人信息，郵箱賬號、密碼等。盜取用戶資金、勒索公司，使公司蒙受經(jīng)濟(jì)損失，上市公司還是影響股價。

網(wǎng)絡(luò)釣魚演練目的

合規(guī)驅(qū)動：

《網(wǎng)絡(luò)安全法》-第三十四條(二)規(guī)定，定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。 《等保2.0》-6/7/8/9.1.7.3：應(yīng)對各類人員進(jìn)行安全意識教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施。 《關(guān)基安全保護(hù)條例》-第二十七條：運營者應(yīng)當(dāng)組織從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn)，每人每年教育培訓(xùn)時長不得少于1個工作日，關(guān)鍵崗位專業(yè)技術(shù)人員每人每年教育培訓(xùn)時長不得少于3個工作日。 提升信息安全意識：

識別與排列人為風(fēng)險優(yōu)先級，從而有針對性地對癥下藥 改變員工的不安全行為 降低人為風(fēng)險 提升安全意識成熟度

開展網(wǎng)絡(luò)釣魚步驟

1. 網(wǎng)絡(luò)釣魚系統(tǒng)技術(shù)實現(xiàn)

釣魚郵件演練技術(shù)支持包括企業(yè)內(nèi)部人員和外部供應(yīng)商，以下對兩者的優(yōu)劣性做對比

公司內(nèi)部人員：

優(yōu)點：對公司的公司文化、信息安全成熟度更加了解，對不同的人員發(fā)送針對性的釣魚郵件主題。成本低，重復(fù)利用率高，在一定程度上能提升安全人員的技術(shù)能力。 缺點：需要有一定技術(shù)能力的技術(shù)人員，包括釣魚郵件系統(tǒng)環(huán)境部署、前端頁面開發(fā)、數(shù)據(jù)匯總等能力。周期較長，內(nèi)容效果難以保證。

外部供應(yīng)商：

優(yōu)點：能實現(xiàn)一定程度的定制化，在技術(shù)能力、行業(yè)前瞻性具有相當(dāng)大的優(yōu)勢，提供有保證的技術(shù)支持。 缺點：成本高，缺乏對企業(yè)特定威脅、崗位特點的深入理解;釣魚郵件系統(tǒng)重復(fù)利用率低，更換供應(yīng)商后原來的舊系統(tǒng)可能不適用 綜上所述，可以基于過往演練效果、需求匹配度、交付與管理等方面綜合考慮，外部供應(yīng)商選擇比較多，這里不展開闡述。若公司內(nèi)部人員來實現(xiàn)，推薦一款釣魚郵件平臺采用開源系統(tǒng)gophish，前端頁面使用HTML+CSS+JavaScript等，效果非常不錯，易上手，0元玩轉(zhuǎn)釣魚郵件，這是老板最想要的，免費且好用。附上GitHub地址：https://github.com/gophish/gophish

2. 設(shè)定郵件主題

冒充公司IT或行政部門發(fā)送釣魚郵件，面對對象：全員。 偽裝供應(yīng)商、客戶發(fā)送釣魚郵件，面對對象：采購、銷售、行政。 偽造面試候選人發(fā)送釣魚郵件，面對對象：財務(wù)、法務(wù)、HR。 無論選擇哪個作為測試對象，都需要得到高層的同意。

3. 設(shè)定難度

一級釣魚攻擊——有很多指標(biāo)可以很容易識別出是“釣魚郵件” 二級釣魚攻擊——基于公司信息或個人信息的郵件 三級釣魚攻擊——有指向性、針對性的釣魚攻擊 四級釣魚攻擊或魚叉式釣魚攻擊——具備個性化信息、商標(biāo)、無拼寫錯誤等特征。 在企業(yè)開展演練時，需要注意以下幾點：

不能冒充公檢法相關(guān)監(jiān)管單位，包括logo、電話、工作人員真實信息等 內(nèi)容需要合規(guī)。郵件正文中不能發(fā)布、傳播反黨反社會輿論;不得侵犯商業(yè)秘密;不得非法獲取國家秘密;不得侵犯公民個人信息。 不能對公司現(xiàn)有系統(tǒng)造成損害，以此來竊取公司商業(yè)機(jī)密

4. 話術(shù)

發(fā)起釣魚郵件測試后，會收到員工的上報，我們需要統(tǒng)一話術(shù)，避免提前露餡，如：

“感謝您的反饋，我們先確認(rèn)下該郵件是否為釣魚郵件，確認(rèn)前請不要做任何操作，確認(rèn)后會第一時間通知您，謝謝。”

5. 追蹤與統(tǒng)計

點擊人數(shù) 報告釣魚郵件攻擊的人數(shù) 點擊卻未報告的人數(shù) 點擊并報告的人數(shù) 未點擊也未報告的人數(shù) 未點擊卻報告的人數(shù) 以上數(shù)據(jù)可以在gophish上獲取，重點關(guān)注點擊率和上報率

6. 開展培訓(xùn)

對本次釣魚郵件演練做復(fù)盤，展示上一步中的數(shù)據(jù)，對員工進(jìn)行信息安全意識培訓(xùn)

介紹常見的釣魚郵件類型以及該如何防范，收到釣魚郵件后上報的途徑

7. 重復(fù)

定期開展釣魚郵件測試，避免長時間后員工放低警惕性，對于入職的新員工，可能缺乏相關(guān)的信息安全意識培訓(xùn)，通過真實的演練來提高信息安全意識

緊跟流行的釣魚郵件攻擊方式

在每次完成測試后與上一次測試做對比，檢驗員工的不安全行為是否得到改善。總結(jié)每次存在的不足以及需要改進(jìn)的地方，避免在下一次測試出現(xiàn)同樣的問題。

網(wǎng)絡(luò)釣魚常見問題以及改進(jìn)

1. 常見問題

過分注重員工的情緒及感受 高層領(lǐng)導(dǎo)是例外 內(nèi)容造成員工不適，被迫中止測試 認(rèn)為太多的訓(xùn)練使人厭煩 員工直接刪除釣魚郵件 員工可能無法分辨釣魚郵件和正常郵件 員工不知道上報的途徑(尤其是新員工) 郵件可能會被自動識別成垃圾郵件，用戶不知道郵件的存在，會影響測試范圍。

2. 對應(yīng)措施

釣魚攻擊回歸現(xiàn)實，隨著時間推移來增加釣魚攻擊的“舉重砝碼”，但避免過于個人的主題。 根據(jù)當(dāng)前釣魚的流行手段來安排釣魚攻擊訓(xùn)練 提供一個可以報告可疑郵件的通道。 演練前需要與被測試部門或事業(yè)部負(fù)責(zé)人進(jìn)行溝通，取得高層的授權(quán)。 在安全意識課程中加入釣魚郵件現(xiàn)狀以及如何識別釣魚郵件，強(qiáng)化對釣魚郵件的認(rèn)知

總結(jié)

我們需要像攻擊者一樣進(jìn)行釣魚攻擊測試，并根據(jù)當(dāng)前流行的攻擊方式對員工進(jìn)行測試，讓員工在測試中學(xué)會識別釣魚攻擊，避免遇到真正的網(wǎng)絡(luò)釣魚時上當(dāng)受騙，并將釣魚攻擊和社會工程學(xué)納入安全意識培訓(xùn)中。在開展釣魚攻擊演練前需要為組織單位設(shè)定合理的目標(biāo)，該如何衡量這個目標(biāo)。

以上是我對企業(yè)釣魚郵件演練的一些看法，希望能幫助到正在看這篇文章的你。若你有更好的觀點，可以給我留言，不吝賜教。愿我們能幫助公司程度地減少人為帶來的安全風(fēng)險，守衛(wèi)網(wǎng)絡(luò)安全這片凈土。

文章題目：如何規(guī)劃企業(yè)釣魚郵件演練？
文章路徑：http://weahome.cn/article/cjgccg.html