網(wǎng)絡釣魚模擬，或所謂的網(wǎng)絡釣魚滲透測試已成為各種規(guī)模組織的網(wǎng)絡安全培訓計劃的一個流行功能。其方式大致如下：執(zhí)行網(wǎng)絡釣魚測試的安全人員制作并向員工發(fā)送電子郵件，這些電子郵件看上去跟真正的惡意網(wǎng)絡釣魚電子郵件極為相似和“誘人”，其中通常包括一些讓員工上當?shù)?ldquo;誘餌信息”，例如錯過交貨通知、發(fā)票付款請求和名人(包括管理層)八卦消息之類。

在安全團隊的控制下，員工對這些“釣魚”電子郵件的回復可以被監(jiān)測、量化并用于確定(至少在一定程度上)組織內(nèi)員工的安全意識水平。

[[402585]]

員工打開了多少附件或點擊了多少鏈接?有多少電子郵件被標記為可疑或完全被忽略?與其他主題相比，哪些主題的誘餌最有影響力?哪些部門或用戶更有可能成為受害者?這些數(shù)據(jù)可以幫助安全部門更好地定制網(wǎng)絡安全意識培訓和教育計劃，并確定需要解決的潛在人員和流程漏洞。

但是，值得注意的是，如果不能遵循必要的原則和最佳實踐，網(wǎng)絡釣魚測試往往會引發(fā)道德問題，甚至企業(yè)員工的反感和抗議，導致安全意識計劃受挫。

一個最典型的案例就是英格蘭西米德蘭茲郡的一家鐵路公司W(wǎng)est Midlands Trains(WMT) ，該公司最近在對其員工進行的網(wǎng)絡釣魚測試中，使用的主題(誘餌)引起了廣泛爭議。

該鐵路公司的員工收到了一封看似來自財務和人力資源部門的電子郵件，被告知他們將收到獎金，以感謝他們在新冠病毒大流行期間所做的努力，并鼓勵收件人點擊“來自WMT董事總經(jīng)理的個人消息”——一個Microsoft Office 365鏈接。實際上，該鏈接指向一個Sharepoint網(wǎng)站，其中包含由微軟設置的模擬網(wǎng)絡釣魚練習，點擊該鏈接的人會收到來自公司人力資源團隊的安全提示電子郵件，建議他們留意那些要求提供賬戶密碼的的電子郵件，當然，所謂的獎金也是子虛烏有。

顯然，盡管用金錢獎勵作為誘餌是網(wǎng)絡犯罪分子的慣用欺詐手段，但是在網(wǎng)絡釣魚測試中使用這種策略容易引發(fā)道德問題的爭議和員工的反感。

那么，網(wǎng)絡安全團隊應該采取哪些措施來確保網(wǎng)絡釣魚測試成為對各方有用、有效和有益的網(wǎng)絡安全培訓和教育活動，而不是弊大于利的風險?

Cygenta聯(lián)合首席執(zhí)行官兼聯(lián)合創(chuàng)始人、社會技術負責人杰西卡·巴克(Jessica Barker)博士指出：“當涉及網(wǎng)絡釣魚測試場景時，組織應該在道德界限內(nèi)運作，因為過度進行網(wǎng)絡釣魚模擬可能會造成傷害。使用高度情緒化的誘餌，例如獎金和醫(yī)療服務——尤其是在新冠疫情的背景下，會影響接受者的情緒健康，這反過來又會損害工作場所的心理安全、信任和文化。”

Barker補充說，這只會破壞整個網(wǎng)絡安全團隊的努力，疏遠他們與企業(yè)員工的距離。企業(yè)應當慎重選擇電子郵件模版，以免給某些情緒低落的員工造成心理問題。

DigitalXRAID首席執(zhí)行官Rick Jones指出：“即使是像REvil這樣的一些犯罪團伙也在推動某些標準，例如它現(xiàn)在禁止人們使用其SaaS勒索軟件來攻擊政府、公共、醫(yī)療或教育機構。進行網(wǎng)絡釣魚模擬的安全團隊與真實的犯罪團伙具有相同的技能，但他們又必須遵守一定的標準和道德規(guī)范。”

以下是專家們強調(diào)的網(wǎng)絡釣魚測試最佳實踐的5個注意事項：

1. 了解網(wǎng)絡釣魚測試的目標

Barker認為，籌備合乎道德又富有成效的網(wǎng)絡釣魚模擬的關鍵是了解網(wǎng)絡釣魚測試的目標。“網(wǎng)絡釣魚模擬的設計階段的關鍵是考慮為什么要計劃測試。如果您將網(wǎng)絡釣魚模擬視為‘陷阱’練習，我建議您退后一步并反思一下，因為這不是培訓，這是一個技巧。如果您將測試視為訓練，那么您想訓練什么行為?”

組織必須明白，網(wǎng)絡釣魚測試場景的目的是建立對網(wǎng)絡釣魚電子郵件外觀的基本了解，并讓用戶對他們發(fā)現(xiàn)釣魚活動的能力充滿信心。

Barker博士強調(diào)：

“更高效的網(wǎng)絡釣魚測試，其重點不應該是降低點擊率，而是提高報告率，太多的網(wǎng)絡釣魚模擬仍然關注點擊率。”巴克繼續(xù)說道。“人們總是會點擊鏈接，尤其是在精心設計的網(wǎng)絡釣魚中。對于更有效的網(wǎng)絡釣魚測試，重點不應放在降低點擊率上，而應在提高報告率上。歸根結底，正確進行網(wǎng)絡釣魚模擬完全是為了了解組織環(huán)境并尊重它。”

2. 通過溝通建立信任

Blythe認為，透明度是網(wǎng)絡釣魚測試的下一個關鍵要素。“組織需要對其員工持開放態(tài)度，確保他們在運行模擬網(wǎng)絡釣魚活動時通知他們，并明確強調(diào)它是一種教育工具。如果沒有建立信任，員工很快就會變得怨恨，感覺好像他們受到監(jiān)視或等待被‘抓獲’。”

Jones也認可這種強調(diào)透明度的做法：“應該逐漸向用戶介紹網(wǎng)絡釣魚的概念，教他們注意什么以及如何應對，”他認為。“在這個過程中建立溝通文化才是重點。”

3. 正面引導、積極強化

正面的，或者說積極強化不僅在網(wǎng)絡釣魚測試的短期和長期有效性方面發(fā)揮著至關重要的作用，還可以對組織的測試方法是否被認為符合道德產(chǎn)生重大影響。

例如，與其指責或懲罰未通過網(wǎng)絡釣魚測試的員工(這會產(chǎn)生消極、抵觸情緒)，而是將更多的注意力放在公開慶?；蚬膭顔T工的正確反應和操作。Barker指出：“這種積極的增強作用更具影響力。它借鑒了社會認同的原則，可以更有效地吸引人們參與安全意識培訓活動。”

DarkTower的情報總監(jiān)Gary Warner引用了他擔任IT主管時的一個例子，推薦了一種類似的“只有胡蘿卜沒有大棒”的方法來模擬網(wǎng)絡釣魚。“我告訴我的老板，我可以花100美元改善可疑電子郵件的報告。我拿了我們收到的最新報告并對其進行了全面分析。然后我在全公司范圍內(nèi)發(fā)了一封電子郵件，內(nèi)容如下：

服務中心的喬收到一封可疑的電子郵件，看起來像這樣(插入截圖)。喬知道該怎么做!他將電子郵件轉發(fā)至phishing@myoldjob.com。如果喬點擊了該鏈接，他的計算機就會感染XYZ病毒并開始從我們的網(wǎng)絡中竊取數(shù)據(jù)并將其發(fā)送到俄羅斯!為了感謝喬對公司的照顧，我們請他吃了一頓牛排大餐。感謝您保護公司，喬!你見過可疑的電子郵件嗎?請轉發(fā)至phishing@myoldjob.com!您也能將公司從毀滅性的網(wǎng)絡攻擊中拯救出來，并為自己贏得獎品!

結果，上面這封郵件發(fā)出后，報告率迅猛飆升了大約1000%，而每月的獎品只花費了100美元。”

4. 將網(wǎng)絡釣魚測試失敗轉化為安全培訓契機

一旦從測試過程中獲得數(shù)據(jù)，后續(xù)行動與測試的計劃和實施階段一樣重要。這時不僅應關注用戶，還應關注更廣泛的組織部門和人員從模擬結果中受益。

“這是陳詞濫調(diào)，但數(shù)據(jù)確實是網(wǎng)絡安全的王，”Jones指出：“從安全日志或設備的技術數(shù)據(jù)到用戶的信息，一切都提供了重要的知識。員工是企業(yè)的第一道防線，因此決策者必須意識到他們所帶來的風險，尤其是成功的網(wǎng)絡釣魚攻擊可以讓惡意軟件繞過現(xiàn)有的所有其他安全工具。”但是，在與模擬測試中失敗的員工接觸時，需要以安全教育和鼓勵為主而不是責備。

“當人們確實單擊模擬的網(wǎng)絡釣魚電子郵件時，他們應該收到及時，有用的反饋。”Blythe解釋說。這種反饋的內(nèi)容應該簡短且有吸引力，而不是為了獲得最佳結果而進行冗長的強制性培訓或懲罰。“總的來說，對人員網(wǎng)絡風險的管理方法需要更多地利用同理心，”他補充道。“從長遠來看，一種尋求幫助和授權員工改變行為的，更通情達理的方法比一味指責和貶低那些未能通過模擬測試的人員的方法更有可能取得成功。”

5. 在正確的時間使用正確的工具

組織必須考慮的最后一個重要因素是，使用網(wǎng)絡釣魚測試工具的最佳時機。“在某些情況下，運行網(wǎng)絡釣魚模擬根本沒有幫助，例如當企業(yè)內(nèi)部對網(wǎng)絡安全產(chǎn)生恐懼文化時。”Barker建議道：“網(wǎng)絡釣魚模擬只是一種工具，與所有工具一樣，需要在正確的時間以正確的方式使用它們。”

Jones說，安全團隊有時需要考慮使用稍微“溫柔”一些的網(wǎng)絡釣魚測試來提醒或者教育員工識別真正危險的網(wǎng)絡犯罪攻擊。“為了確保員工不會對真正的危險一無所知，可以就網(wǎng)絡犯罪分子可能使用的策略進行建設性的討論，而無需在模擬中讓員工直接接觸這些主題。”

Blythe表示，無論哪種方式，模擬網(wǎng)絡釣魚仍然只是培養(yǎng)員工良好安全行為的整體戰(zhàn)略的一部分，明確這一點很重要。“還值得注意的是，網(wǎng)絡釣魚測試不是萬能的，如果最終目標是減少成為網(wǎng)絡釣魚攻擊受害者的員工數(shù)量，還有其他安全行為需要關注和解決。”

最終，如果網(wǎng)絡釣魚測試的目標僅僅是用各種手段誘使用戶點擊，然后發(fā)出警告教訓，很可能適得其反，不僅無法教育用戶面臨網(wǎng)絡釣魚攻擊的風險，還會讓他們無所事事、士氣低落，甚至情緒受到影響。相比之下，如果采用符合道德和同理心的方法，則測試工作能夠與組織文化保持一致，并得到積極強化和建設性互動的支持，鼓勵員工實踐安全行為，隨著時間的流逝，網(wǎng)絡釣魚測試才可能成為推動組織提高安全意識的有效工具。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文