网络钓鱼模拟,或所谓的网络钓鱼渗透测试已成为各种规模组织的网络安全培训计划的一个流行功能。其方式大致如下:执行网络钓鱼测试的安全人员制作并向员工发送电子邮件,这些电子邮件看上去跟真正的恶意网络钓鱼电子邮件极为相似和“诱人”,其中通常包括一些让员工上当的“诱饵信息”,例如错过交货通知、发票付款请求和名人(包括管理层)八卦消息之类。
在安全团队的控制下,员工对这些“钓鱼”电子邮件的回复可以被监测、量化并用于确定(至少在一定程度上)组织内员工的安全意识水平。
员工打开了多少附件或点击了多少链接?有多少电子邮件被标记为可疑或完全被忽略?与其他主题相比,哪些主题的诱饵最有影响力?哪些部门或用户更有可能成为受害者?这些数据可以帮助安全部门更好地定制网络安全意识培训和教育计划,并确定需要解决的潜在人员和流程漏洞。
但是,值得注意的是,如果不能遵循必要的原则和最佳实践,网络钓鱼测试往往会引发道德问题,甚至企业员工的反感和抗议,导致安全意识计划受挫。
一个最典型的案例就是英格兰西米德兰兹郡的一家铁路公司West Midlands Trains(WMT) ,该公司最近在对其员工进行的网络钓鱼测试中,使用的主题(诱饵)引起了广泛争议。
该铁路公司的员工收到了一封看似来自财务和人力资源部门的电子邮件,被告知他们将收到奖金,以感谢他们在新冠病毒大流行期间所做的努力,并鼓励收件人点击“来自WMT董事总经理的个人消息”——一个Microsoft Office 365链接。实际上,该链接指向一个Sharepoint网站,其中包含由微软设置的模拟网络钓鱼练习,点击该链接的人会收到来自公司人力资源团队的安全提示电子邮件,建议他们留意那些要求提供账户密码的的电子邮件,当然,所谓的奖金也是子虚乌有。
显然,尽管用金钱奖励作为诱饵是网络犯罪分子的惯用欺诈手段,但是在网络钓鱼测试中使用这种策略容易引发道德问题的争议和员工的反感。
那么,网络安全团队应该采取哪些措施来确保网络钓鱼测试成为对各方有用、有效和有益的网络安全培训和教育活动,而不是弊大于利的风险?
Cygenta联合首席执行官兼联合创始人、社会技术负责人杰西卡·巴克(Jessica Barker)博士指出:“当涉及网络钓鱼测试场景时,组织应该在道德界限内运作,因为过度进行网络钓鱼模拟可能会造成伤害。使用高度情绪化的诱饵,例如奖金和医疗服务——尤其是在新冠疫情的背景下,会影响接受者的情绪健康,这反过来又会损害工作场所的心理安全、信任和文化。”
Barker补充说,这只会破坏整个网络安全团队的努力,疏远他们与企业员工的距离。企业应当慎重选择电子邮件模版,以免给某些情绪低落的员工造成心理问题。
DigitalXRAID首席执行官Rick Jones指出:“即使是像REvil这样的一些犯罪团伙也在推动某些标准,例如它现在禁止人们使用其SaaS勒索软件来攻击政府、公共、医疗或教育机构。进行网络钓鱼模拟的安全团队与真实的犯罪团伙具有相同的技能,但他们又必须遵守一定的标准和道德规范。”
以下是专家们强调的网络钓鱼测试最佳实践的5个注意事项:
1. 了解网络钓鱼测试的目标
Barker认为,筹备合乎道德又富有成效的网络钓鱼模拟的关键是了解网络钓鱼测试的目标。“网络钓鱼模拟的设计阶段的关键是考虑为什么要计划测试。如果您将网络钓鱼模拟视为‘陷阱’练习,我建议您退后一步并反思一下,因为这不是培训,这是一个技巧。如果您将测试视为训练,那么您想训练什么行为?”
组织必须明白,网络钓鱼测试场景的目的是建立对网络钓鱼电子邮件外观的基本了解,并让用户对他们发现钓鱼活动的能力充满信心。
Barker博士强调:
“更高效的网络钓鱼测试,其重点不应该是降低点击率,而是提高报告率,太多的网络钓鱼模拟仍然关注点击率。”巴克继续说道。“人们总是会点击链接,尤其是在精心设计的网络钓鱼中。对于更有效的网络钓鱼测试,重点不应放在降低点击率上,而应在提高报告率上。归根结底,正确进行网络钓鱼模拟完全是为了了解组织环境并尊重它。”
2. 通过沟通建立信任
Blythe认为,透明度是网络钓鱼测试的下一个关键要素。“组织需要对其员工持开放态度,确保他们在运行模拟网络钓鱼活动时通知他们,并明确强调它是一种教育工具。如果没有建立信任,员工很快就会变得怨恨,感觉好像他们受到监视或等待被‘抓获’。”
Jones也认可这种强调透明度的做法:“应该逐渐向用户介绍网络钓鱼的概念,教他们注意什么以及如何应对,”他认为。“在这个过程中建立沟通文化才是重点。”
3. 正面引导、积极强化
正面的,或者说积极强化不仅在网络钓鱼测试的短期和长期有效性方面发挥着至关重要的作用,还可以对组织的测试方法是否被认为符合道德产生重大影响。
例如,与其指责或惩罚未通过网络钓鱼测试的员工(这会产生消极、抵触情绪),而是将更多的注意力放在公开庆祝或鼓励员工的正确反应和操作。Barker指出:“这种积极的增强作用更具影响力。它借鉴了社会认同的原则,可以更有效地吸引人们参与安全意识培训活动。”
DarkTower的情报总监Gary Warner引用了他担任IT主管时的一个例子,推荐了一种类似的“只有胡萝卜没有大棒”的方法来模拟网络钓鱼。“我告诉我的老板,我可以花100美元改善可疑电子邮件的报告。我拿了我们收到的最新报告并对其进行了全面分析。然后我在全公司范围内发了一封电子邮件,内容如下:
服务中心的乔收到一封可疑的电子邮件,看起来像这样(插入截图)。乔知道该怎么做!他将电子邮件转发至phishing@myoldjob.com。如果乔点击了该链接,他的计算机就会感染XYZ病毒并开始从我们的网络中窃取数据并将其发送到俄罗斯!为了感谢乔对公司的照顾,我们请他吃了一顿牛排大餐。感谢您保护公司,乔!你见过可疑的电子邮件吗?请转发至phishing@myoldjob.com!您也能将公司从毁灭性的网络攻击中拯救出来,并为自己赢得奖品!
结果,上面这封邮件发出后,报告率迅猛飙升了大约1000%,而每月的奖品只花费了100美元。”
4. 将网络钓鱼测试失败转化为安全培训契机
一旦从测试过程中获得数据,后续行动与测试的计划和实施阶段一样重要。这时不仅应关注用户,还应关注更广泛的组织部门和人员从模拟结果中受益。
“这是陈词滥调,但数据确实是网络安全的王,”Jones指出:“从安全日志或设备的技术数据到用户的信息,一切都提供了重要的知识。员工是企业的第一道防线,因此决策者必须意识到他们所带来的风险,尤其是成功的网络钓鱼攻击可以让恶意软件绕过现有的所有其他安全工具。”但是,在与模拟测试中失败的员工接触时,需要以安全教育和鼓励为主而不是责备。
“当人们确实单击模拟的网络钓鱼电子邮件时,他们应该收到及时,有用的反馈。”Blythe解释说。这种反馈的内容应该简短且有吸引力,而不是为了获得最佳结果而进行冗长的强制性培训或惩罚。“总的来说,对人员网络风险的管理方法需要更多地利用同理心,”他补充道。“从长远来看,一种寻求帮助和授权员工改变行为的,更通情达理的方法比一味指责和贬低那些未能通过模拟测试的人员的方法更有可能取得成功。”
5. 在正确的时间使用正确的工具
组织必须考虑的最后一个重要因素是,使用网络钓鱼测试工具的最佳时机。“在某些情况下,运行网络钓鱼模拟根本没有帮助,例如当企业内部对网络安全产生恐惧文化时。”Barker建议道:“网络钓鱼模拟只是一种工具,与所有工具一样,需要在正确的时间以正确的方式使用它们。”
Jones说,安全团队有时需要考虑使用稍微“温柔”一些的网络钓鱼测试来提醒或者教育员工识别真正危险的网络犯罪攻击。“为了确保员工不会对真正的危险一无所知,可以就网络犯罪分子可能使用的策略进行建设性的讨论,而无需在模拟中让员工直接接触这些主题。”
Blythe表示,无论哪种方式,模拟网络钓鱼仍然只是培养员工良好安全行为的整体战略的一部分,明确这一点很重要。“还值得注意的是,网络钓鱼测试不是万能的,如果最终目标是减少成为网络钓鱼攻击受害者的员工数量,还有其他安全行为需要关注和解决。”
最终,如果网络钓鱼测试的目标仅仅是用各种手段诱使用户点击,然后发出警告教训,很可能适得其反,不仅无法教育用户面临网络钓鱼攻击的风险,还会让他们无所事事、士气低落,甚至情绪受到影响。相比之下,如果采用符合道德和同理心的方法,则测试工作能够与组织文化保持一致,并得到积极强化和建设性互动的支持,鼓励员工实践安全行为,随着时间的流逝,网络钓鱼测试才可能成为推动组织提高安全意识的有效工具。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】