加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 服务器 > 安全 > 正文

网络钓鱼渗透测试的最佳实践

发布时间:2022-06-30 16:39:54 所属栏目:安全 来源:互联网
导读:网络钓鱼模拟,或所谓的网络钓鱼渗透测试已成为各种规模组织的网络安全培训计划的一个流行功能。其方式大致如下:执行网络钓鱼测试的安全人员制作并向员工发送电子邮件,这些电子邮件看上去跟真正的恶意网络钓鱼电子邮件极为相似和诱人,其中通常包括一些让
  网络钓鱼模拟,或所谓的网络钓鱼渗透测试已成为各种规模组织的网络安全培训计划的一个流行功能。其方式大致如下:执行网络钓鱼测试的安全人员制作并向员工发送电子邮件,这些电子邮件看上去跟真正的恶意网络钓鱼电子邮件极为相似和“诱人”,其中通常包括一些让员工上当的“诱饵信息”,例如错过交货通知、发票付款请求和名人(包括管理层)八卦消息之类。
 
  该铁路公司的员工收到了一封看似来自财务和人力资源部门的电子邮件,被告知他们将收到奖金,以感谢他们在新冠病毒大流行期间所做的努力,并鼓励收件人点击“来自WMT董事总经理的个人消息”——一个Microsoft Office 365链接。实际上,该链接指向一个Sharepoint网站,其中包含由微软设置的模拟网络钓鱼练习,点击该链接的人会收到来自公司人力资源团队的安全提示电子邮件,建议他们留意那些要求提供账户密码的的电子邮件,当然,所谓的奖金也是子虚乌有。
 
 
  DigitalXRAID首席执行官Rick Jones指出:“即使是像REvil这样的一些犯罪团伙也在推动某些标准,例如它现在禁止人们使用其SaaS勒索软件来攻击政府、公共、医疗或教育机构。进行网络钓鱼模拟的安全团队与真实的犯罪团伙具有相同的技能,但他们又必须遵守一定的标准和道德规范。”
 
  以下是专家们强调的网络钓鱼测试最佳实践的5个注意事项:
 
  1. 了解网络钓鱼测试的目标
  Barker认为,筹备合乎道德又富有成效的网络钓鱼模拟的关键是了解网络钓鱼测试的目标。“网络钓鱼模拟的设计阶段的关键是考虑为什么要计划测试。如果您将网络钓鱼模拟视为‘陷阱’练习,我建议您退后一步并反思一下,因为这不是培训,这是一个技巧。如果您将测试视为训练,那么您想训练什么行为?”
 
  组织必须明白,网络钓鱼测试场景的目的是建立对网络钓鱼电子邮件外观的基本了解,并让用户对他们发现钓鱼活动的能力充满信心。
 
  2. 通过沟通建立信任
  Blythe认为,透明度是网络钓鱼测试的下一个关键要素。“组织需要对其员工持开放态度,确保他们在运行模拟网络钓鱼活动时通知他们,并明确强调它是一种教育工具。如果没有建立信任,员工很快就会变得怨恨,感觉好像他们受到监视或等待被‘抓获’。”
 
  Jones也认可这种强调透明度的做法:“应该逐渐向用户介绍网络钓鱼的概念,教他们注意什么以及如何应对,”他认为。“在这个过程中建立沟通文化才是重点。”
 
  3. 正面引导、积极强化
  正面的,或者说积极强化不仅在网络钓鱼测试的短期和长期有效性方面发挥着至关重要的作用,还可以对组织的测试方法是否被认为符合道德产生重大影响。
 
  例如,与其指责或惩罚未通过网络钓鱼测试的员工(这会产生消极、抵触情绪),而是将更多的注意力放在公开庆祝或鼓励员工的正确反应和操作。Barker指出:“这种积极的增强作用更具影响力。它借鉴了社会认同的原则,可以更有效地吸引人们参与安全意识培训活动。”
 
  DarkTower的情报总监Gary Warner引用了他担任IT主管时的一个例子,推荐了一种类似的“只有胡萝卜没有大棒”的方法来模拟网络钓鱼。“我告诉我的老板,我可以花100美元改善可疑电子邮件的报告。我拿了我们收到的最新报告并对其进行了全面分析。然后我在全公司范围内发了一封电子邮件,内容如下:
 
  4. 将网络钓鱼测试失败转化为安全培训契机
  一旦从测试过程中获得数据,后续行动与测试的计划和实施阶段一样重要。这时不仅应关注用户,还应关注更广泛的组织部门和人员从模拟结果中受益。
 
  “这是陈词滥调,但数据确实是网络安全的王,”Jones指出:“从安全日志或设备的技术数据到用户的信息,一切都提供了重要的知识。员工是企业的第一道防线,因此决策者必须意识到他们所带来的风险,尤其是成功的网络钓鱼攻击可以让恶意软件绕过现有的所有其他安全工具。”但是,在与模拟测试中失败的员工接触时,需要以安全教育和鼓励为主而不是责备。
 
  “当人们确实单击模拟的网络钓鱼电子邮件时,他们应该收到及时,有用的反馈。”Blythe解释说。这种反馈的内容应该简短且有吸引力,而不是为了获得最佳结果而进行冗长的强制性培训或惩罚。“总的来说,对人员网络风险的管理方法需要更多地利用同理心,”他补充道。“从长远来看,一种寻求帮助和授权员工改变行为的,更通情达理的方法比一味指责和贬低那些未能通过模拟测试的人员的方法更有可能取得成功。”

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0888zz.com/ All Rights Reserved. 应用网_丽江站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330468号