背景

近年來隨著網(wǎng)絡(luò)安全政策、技術(shù)的不斷發(fā)展，國內(nèi)企業(yè)對于安全的重視程度越來越高，安全建設(shè)投入力度越來越大，安全防御能力得到了明顯的提升。然而，企業(yè)面臨一個(gè)尷尬的問題就是，企業(yè)即使做了很多安全防御措施，但依然無法有效的避免信息安全事件，而這些安全事件中絕大多數(shù)與企業(yè)內(nèi)部員工安全意識(shí)不足有關(guān)。據(jù)相關(guān)機(jī)構(gòu)數(shù)據(jù)統(tǒng)計(jì)，在所有的安全事件中，只有20-30%是由于黑客入侵造成的，而70-80%則是由于內(nèi)部員工的疏忽或有意泄漏造成的。于此同時(shí)，2017年《中國網(wǎng)民網(wǎng)絡(luò)安全意識(shí)調(diào)研報(bào)告》統(tǒng)計(jì)顯示，近90%的網(wǎng)民認(rèn)為當(dāng)前的網(wǎng)絡(luò)環(huán)境是安全的，但是82.6%的網(wǎng)民沒有接受過任何形式的網(wǎng)絡(luò)安全培訓(xùn)。員工安全意識(shí)薄弱已經(jīng)成為企業(yè)面臨的最大風(fēng)險(xiǎn)。提高員工安全意識(shí)，做好安全教育工作刻不容緩。

面對該問題，國家相關(guān)部門也將員工安全意識(shí)教育寫入政策法規(guī)中：

• 《網(wǎng)絡(luò)安全法》‐第三十四條(二)規(guī)定，定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。
• 《等保2.0》‐6/7/8/9.1.7.3:應(yīng)對各類人員進(jìn)行 安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安 全責(zé)任和懲戒措施。
• 《關(guān)基安全保護(hù)條例》‐第二十七條:運(yùn)營者應(yīng) 當(dāng)組織從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn)，每人每年教 育培訓(xùn)時(shí)長不得少于1個(gè)工作日，關(guān)鍵崗位專業(yè)技 術(shù)人員每人每年教育培訓(xùn)時(shí)長不得少于3個(gè)工作日。

網(wǎng)絡(luò)釣魚Phishing

在提高員工安全意識(shí)的工作中，網(wǎng)絡(luò)釣魚演習(xí)無疑是一種行之有效的手段，也是近年來黑客針對員工進(jìn)行攻擊時(shí)慣用的手段。由于其攻擊成本低效果明顯飽受青睞，在整個(gè)網(wǎng)絡(luò)攻擊活動(dòng)中占比高到78%，因此，員工學(xué)會(huì)如何識(shí)別網(wǎng)絡(luò)釣魚，學(xué)會(huì)避開此類攻擊將會(huì)大大的減少安全事件。

網(wǎng)絡(luò)釣魚結(jié)合了社會(huì)工程學(xué)和欺詐技巧，通常利用人性的弱點(diǎn)：貪婪、恐懼、好奇、同情、對權(quán)威的敬畏、認(rèn)知的局限性及偏差來實(shí)現(xiàn)。網(wǎng)絡(luò)釣魚的形式可能是一個(gè)郵件附件，會(huì)加載惡意軟件到你的計(jì)算機(jī);也可能為一個(gè)非法網(wǎng)站的鏈接，誘騙用戶下載惡意軟件或泄露個(gè)人信息甚至是竊取重要的憑據(jù);或者是一個(gè)偽造的登錄頁面，來騙取用戶登錄憑據(jù)。

圖1 釣魚攻擊概覽圖

知名反網(wǎng)絡(luò)釣魚組織APWG (Anti-Phishing Working Group)2021年第三季度對目前的網(wǎng)絡(luò)釣魚事件態(tài)勢分析總結(jié)如下：

• 2021年7月共監(jiān)測到260,642次網(wǎng)絡(luò)釣魚攻擊，這是APWG報(bào)告歷史上最高的月度。
• 自2020年初以來，網(wǎng)絡(luò)釣魚攻擊的數(shù)量翻了一番。
• 軟件即服務(wù)和網(wǎng)絡(luò)郵件領(lǐng)域是第三季度最常受網(wǎng)絡(luò)釣魚攻擊的領(lǐng)域，占所有攻擊的29.1%。
• 針對金融機(jī)和支付服務(wù)提供商的攻擊持續(xù)不斷，占所有攻擊總數(shù)的 34.9%。
• 針對加密貨幣目標(biāo)(加密貨幣交易所和錢包提供商)的網(wǎng)絡(luò)釣魚占攻擊的 5.6%。
• 2021 年，受到攻擊的品牌數(shù)量有所增加，從每月 400 多個(gè)增加到 9 月的 700 多個(gè)。
• 巴西的網(wǎng)絡(luò)釣魚攻擊從第二季度的 4,275 次上升到第三季度的 7,741 次。

安全意識(shí)提升七大指標(biāo)

結(jié)合國內(nèi)外安全意識(shí)提升的資料來看，不難發(fā)現(xiàn)安全意識(shí)的提升主要從兩個(gè)方面進(jìn)行：安全培訓(xùn)和模擬演習(xí)。以下就如何做好安全培訓(xùn)和模擬演習(xí)需要關(guān)注的多項(xiàng)指標(biāo)進(jìn)行敘述。

1. 安全培訓(xùn)關(guān)鍵指標(biāo)

大多數(shù)的企業(yè)均在安全方面都做過或多或少的培訓(xùn)工作，來確保發(fā)生安全事件人員有足夠的能力和應(yīng)急措施去應(yīng)對。但是為什么在這么多工作的前提下，員工在遇到真實(shí)的釣魚攻擊還是會(huì)大片的淪陷?這是因?yàn)閱T工沒有養(yǎng)成防釣魚的潛意識(shí)以及不同場景下的思考決策能力。綜合學(xué)習(xí)整理國外兩大安全意識(shí)培訓(xùn)公司的方案，給出以下三大指標(biāo)：1.課程完成率，2.知識(shí)吸收轉(zhuǎn)換率，3.非測試期間活動(dòng)檢測率。

(1)課程完成率

圖2 課程完成率

無論是安全行業(yè)還是其他行業(yè)的，在入職培訓(xùn)期間，均會(huì)進(jìn)行安全意識(shí)培訓(xùn)。其中的課程五花八門，但有的員工學(xué)了，有的員工覺得無聊跳過了，而更甚者員工直接忽略接收。因此相應(yīng)的難題就回歸到了課程培訓(xùn)的組織者。

組織者必須知道，如何檢測學(xué)員的完成率，導(dǎo)致這種情況的問題因素在哪里，最后通過課程檢測可以輸出什么。

首先檢測手段，我們可以查看員工的學(xué)習(xí)軌跡(包含時(shí)長、時(shí)間段等)，然后依據(jù)結(jié)果制作出表格，分層級(jí)展示(個(gè)人<小組<部門<企業(yè))。其次我們應(yīng)該思考三個(gè)點(diǎn)：

• 怎么制作體系化的課程和階段化的課程；
• 員工有什么課程是一次性完成的，什么是暫停/跳過的，為什么？
• 隨機(jī)挑選的課程中，員工更愿意學(xué)習(xí)什么課程，不愿意看的課程又是什么原因呢？

課程完成率這個(gè)指標(biāo)，最能直觀的體現(xiàn)出員工的學(xué)習(xí)態(tài)度、進(jìn)度、以及課程的精度。這里介紹一個(gè)課程制定的原則：BEST。

• 簡潔(Brief)長時(shí)間的電腦課件培訓(xùn)會(huì)讓員工厭煩，也無法提高教學(xué)效率。只用1-4分鐘的時(shí)間來完成這一切才是最高效的。
• 有效(Effective)教會(huì)你的員工如何識(shí)別釣魚攻擊，發(fā)現(xiàn)釣魚攻擊后該做什么，以及到哪里去報(bào)告。
• 簡單(Simple) 如果訓(xùn)練中使用員工不熟悉的術(shù)語，或者發(fā)出的指令過于復(fù)雜， 那么員工就會(huì)感到沮喪。這種沮喪情緒會(huì)對訓(xùn)練產(chǎn)生負(fù)面影響。
• 體貼(Thoughtful) 你知道員工每天有多少事要做嗎?每天要承受多少壓力嗎？如果你知道，那么你就會(huì)在準(zhǔn)備培訓(xùn)課程時(shí)深思熟慮，這樣才不會(huì)給他們繁忙的生 活增添額外的壓力。與此同時(shí)，你還讓他們做好保護(hù)自己、家人和公司免受釣魚攻 擊侵害的準(zhǔn)備。你是多么體貼啊！

(2) 知識(shí)吸收轉(zhuǎn)換率

圖3 知識(shí)吸收轉(zhuǎn)化率

相信很多人在大肆抓課程學(xué)習(xí)的時(shí)候，出現(xiàn)了一個(gè)疑惑點(diǎn)，那就是員工學(xué)完了我的課程，就吸收了嗎?之所以會(huì)發(fā)出這樣的疑問，往往是因?yàn)槟愕恼n程沒有設(shè)置知識(shí)吸收轉(zhuǎn)換率的檢測點(diǎn)。那應(yīng)該怎么制作檢測點(diǎn)呢?最簡單粗暴的方式就是課程中加入檢測題。既起到了防刷的作用，又可以知識(shí)點(diǎn)逐一檢測加深記憶。

關(guān)于檢測題，一般分為三類：選擇、判斷、填空。

• 選擇題：給出答題者答案，搜尋薄弱的記憶點(diǎn)，檢測是否有學(xué)習(xí)或者記憶。
• 判斷題：給出答題者敏感易錯(cuò)的做法，檢測敏感易錯(cuò)點(diǎn)是否熟記。
• 填空題：給出答題者仿真的場景，檢測個(gè)人意識(shí)+思考的實(shí)踐度。

三種題目循序漸進(jìn)的考察及篩選了員工的知識(shí)轉(zhuǎn)化率。也可以作為卡點(diǎn)來加深學(xué)習(xí)記憶。此指標(biāo)使得培訓(xùn)課程的組織人員很容易就能檢測到員工的學(xué)習(xí)成果。

(3) 非測試期間活動(dòng)檢測率

圖4 非測試期間活動(dòng)檢測率

很多安全培訓(xùn)，僅存在理論性課程，這樣只能讓員工安全意識(shí)維持在課程中，而在真正出現(xiàn)釣魚事件時(shí)，安全意識(shí)瞬間將為零。

該指標(biāo)就是指在非培訓(xùn)期間，利用一些隱形的活動(dòng)來檢測員工的安全意識(shí)。既可以反映員工的安全意識(shí)沉淀，又可以加深員工的警惕心理。例如：發(fā)U盤活動(dòng)，注冊領(lǐng)福利等等?？梢噪S著時(shí)間提升難度縮短間隔。真正的讓安全意識(shí)熟記在心底，應(yīng)用于工作及生活中。

2. 網(wǎng)絡(luò)釣魚演練關(guān)鍵指標(biāo)

除去安全培訓(xùn)，最直接檢測員工安全意識(shí)的辦法就是進(jìn)行模擬釣魚演練。通過打開率、點(diǎn)擊率、上報(bào)率和彈性系數(shù)等四項(xiàng)指標(biāo)，他們從不同維度和場景體現(xiàn)出了實(shí)施者的技術(shù)、員工的安全意識(shí)、組織的安全建設(shè)完善程度。

(1) 打開率

圖5 打開率

打開率，直觀的展示出電子郵件是否具有吸引力，足以讓讀者打開它并了解更多的信息。而追蹤技術(shù)我們往往會(huì)采用像素追蹤技術(shù)。用于進(jìn)行網(wǎng)絡(luò)犯罪的像素追蹤技術(shù)，而決定打開率的關(guān)鍵因素往往會(huì)有很多，這就考驗(yàn)到了實(shí)施者的經(jīng)驗(yàn)以及技術(shù)。

例如：

• 主題是否吸引閱讀
• 發(fā)件人姓名是否關(guān)鍵
• 郵箱服務(wù)是否存在郵件預(yù)覽文本
• 郵箱是否具有內(nèi)外部郵件標(biāo)識(shí)的插件
• 郵件是否被放入垃圾箱
• 郵件是否被上報(bào)
• 郵件是否能繞過郵件網(wǎng)關(guān)

(2) 點(diǎn)擊率

圖6 點(diǎn)擊率

點(diǎn)擊率是指點(diǎn)擊釣魚郵件中鏈接的收件人百分比，該指標(biāo)是衡量員工安全意識(shí)的重要指標(biāo)。而釣魚攻擊的成敗點(diǎn)也在這里。點(diǎn)擊率的檢測我們可以依靠：鏈接、輸入憑據(jù)、附件等各種模式的后臺(tái)記錄來查看。

點(diǎn)擊率低的原因：

• 模板選擇有誤(強(qiáng)度較低)
• 錯(cuò)別字等關(guān)鍵識(shí)別因素較多(強(qiáng)度較低)
• 有人上報(bào)，it側(cè)已屏蔽
• 郵件在垃圾箱中，用戶無感知

常見增加點(diǎn)擊率的方法：

• 郵件回復(fù)【郵件中表明此郵件的優(yōu)先級(jí)，務(wù)必回復(fù)】
• 附件下載查看【郵件中增加附件查看的誘惑性】
• 電話回復(fù)【可以增加電話回復(fù)來提高可信度，但注意電話的防溯源】
• 短信回復(fù)【同理】

(3)上報(bào)率

圖7 上報(bào)率

此指標(biāo)既衡量員工的安全意識(shí)、也衡量安全口的培訓(xùn)深度以及流程的完善度(最重要的指標(biāo))。

為什么說是最重要的?例如，在報(bào)告率較低的組織中，第一位員工將電子郵件識(shí)別為惡意電子郵件，但立即將其刪除。雖然這對他們個(gè)人來說是有好處的，但這一行動(dòng)會(huì)使其他員工在當(dāng)天晚些時(shí)候面臨風(fēng)險(xiǎn);在報(bào)告率較高的組織中，第一位員工將電子郵件識(shí)別為惡意電子郵件，但將其告知 IT 團(tuán)隊(duì)。IT 團(tuán)隊(duì)現(xiàn)在有一個(gè)小時(shí)的時(shí)間可以在下一個(gè)員工處理電子郵件之前進(jìn)行干預(yù)(通過通信，或通過DNS 防火墻之類的東西阻止惡意鏈接的域)。這一行動(dòng)對個(gè)人和整個(gè)組織都有好處。而往往高上報(bào)率會(huì)使IT 和組織具有主動(dòng)性，而不是被動(dòng)反應(yīng)。這就是完善的網(wǎng)絡(luò)安全文化所代表的，這也是網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃的主要目標(biāo)。

提高上報(bào)率的關(guān)鍵因素：

• 上報(bào)渠道的完善度
• 上報(bào)的流程培訓(xùn)
• 上報(bào)的意識(shí)培訓(xùn)

而組織者怎么去提供追蹤上報(bào)的技術(shù)?在上報(bào)渠道讀記錄接入統(tǒng)計(jì)系統(tǒng)：

• 電話/企業(yè)微信/郵件等上報(bào)方式
• 郵件系統(tǒng)上報(bào)插件
• 辦公oa上報(bào)渠道

(4) 彈性系數(shù)

圖8 彈性系數(shù)

單一的點(diǎn)擊率、上報(bào)率往往會(huì)出現(xiàn)很多不確定的因素，導(dǎo)致結(jié)果出現(xiàn)偏差。所以需要定義一個(gè)平衡兩者的指標(biāo)：彈性系數(shù)。

【彈性系數(shù)=上報(bào)率/點(diǎn)擊率】

理想的彈性系數(shù)是14，而上報(bào)率和點(diǎn)擊率分別為70%和5%。該指標(biāo)能趨于穩(wěn)定的評測出組織內(nèi)的真實(shí)安全意識(shí)以及安全建設(shè)的成熟度。

了解了以上7個(gè)指標(biāo)，我們就能依據(jù)場景，制定不同的目標(biāo)和方案，為各自的企業(yè)做好安全意識(shí)的提升了。

網(wǎng)絡(luò)釣魚演練實(shí)施要點(diǎn)

從文章開頭提到的的回報(bào)率來說，把思維轉(zhuǎn)換到組織者的角度來想。我們應(yīng)該如何展示或者說是提高回報(bào)率呢?筆者通過查詢多篇國外專利安全意識(shí)培訓(xùn)公司的報(bào)告和方案，梳理形成以下三個(gè)目標(biāo)：

• 最大化的暴露風(fēng)險(xiǎn)點(diǎn)
• 最大化的體現(xiàn)損失度
• 最大化的體現(xiàn)安全意識(shí)的彈性系數(shù)變化

安全意識(shí)提升應(yīng)該從組織開始分層次的細(xì)化去提升，當(dāng)然大家可以選取自己的層次和角度去看待后面的內(nèi)容。

1. 要最大化暴露風(fēng)險(xiǎn)點(diǎn)

圖9 最大化暴露風(fēng)險(xiǎn)點(diǎn)

風(fēng)險(xiǎn)點(diǎn)由個(gè)人累計(jì)到部門組織風(fēng)險(xiǎn)，如果不最大化的排查相應(yīng)風(fēng)險(xiǎn)點(diǎn)，將存在很大的安全隱患。具體分析計(jì)劃需站在組織者的角度進(jìn)行。

以目標(biāo)為導(dǎo)向：首先需要對整個(gè)組織進(jìn)行一次模擬演習(xí)，建立組織的平均彈性系數(shù)。然后隨著計(jì)劃和實(shí)施需要將整體的彈性系數(shù)維持在一個(gè)穩(wěn)定的14倍。

(1) 組織層面的目標(biāo)及方案制定

首先需要了解一個(gè)組織的目標(biāo)是什么？

總體提高組織的安全意識(shí)成熟度(提高彈性系數(shù))。

過程怎么表現(xiàn)？

通過折線圖來展示隨著時(shí)間的變化，員工/部門/組織的彈性系數(shù)變化。

怎么去做？

按照層級(jí)，細(xì)化數(shù)據(jù)分析，注意減少各層級(jí)間的偏差，統(tǒng)一提高彈性系數(shù)。

決定因素？

組織一定要全力支持整個(gè)項(xiàng)目，幫助項(xiàng)目組最大化的挖掘風(fēng)險(xiǎn)點(diǎn)。

整體項(xiàng)目實(shí)施中，需要大量的數(shù)據(jù)進(jìn)行支撐，從而形成直觀的組織總體安全意識(shí)成熟度模型，以及安全投入回報(bào)率折線圖。

(2) 部門層面的目標(biāo)及方案制定

不同的部門，安全意識(shí)成熟度是參差不齊的，比方說：行政/人力等部門的點(diǎn)擊率可能高于銷售團(tuán)隊(duì)，而開發(fā)團(tuán)隊(duì)高于安全團(tuán)隊(duì);外包人員點(diǎn)擊率高于子公司，長沙子公司的又高于西安子公司的。可以將這些小組的指標(biāo)與組織的整體水平進(jìn)行比較，以了解哪些區(qū)域更值得進(jìn)行集中培訓(xùn)和測試，隨后細(xì)化到團(tuán)隊(duì)/小組。

目標(biāo)是什么？

縮小部門間的彈性系數(shù)差，提高組織總體的彈性系數(shù)。

過程怎么體現(xiàn)？

通過數(shù)據(jù)和圖表來展現(xiàn)，隨著時(shí)間的變化，部門間的偏差變化。

怎么去做？

從最初的模擬演練中對比篩選出，最好和最差的部門，隨后通過安全意識(shí)培訓(xùn)+測試去縮短二者之間的偏差。如此往復(fù)，縮短每個(gè)部門之間的偏差。隨后加強(qiáng)測試的強(qiáng)度，來鞏固安全意識(shí)提高彈性系數(shù)。

決定因素？

安全培訓(xùn)的三大指標(biāo)決定彈性系數(shù)，部門的配合程度決定投入的成本。

從組織的整體層面，到部門的中型層面，逐層細(xì)化，去循環(huán)往復(fù)的解決部門間的偏差。以部門為單位去展示曲線變化。

(3) 員工層面的目標(biāo)及方案制定

與部門層面類似，由于人員基礎(chǔ)素質(zhì)、教育背景、日常所處環(huán)境的不同，安全意識(shí)成熟度存在明顯差異。在員工層面，我們應(yīng)該分析哪些特定的員工相對于他們的部門或者是整個(gè)組織而言，風(fēng)險(xiǎn)更高。那就對他們進(jìn)行針對性培訓(xùn)。

目標(biāo)是什么？

減少員工間的彈性系數(shù)差，提高整個(gè)部門的彈性系數(shù)

過程怎么體現(xiàn)？

通過部門內(nèi)，以員工為單位的折現(xiàn)圖來展現(xiàn)，隨著時(shí)間的變化，員工間的偏差變化

怎么去做？

保留一次有效的安全培訓(xùn)測驗(yàn)結(jié)果或者是模擬演練的結(jié)果，篩選出一個(gè)名單，將這個(gè)員工放入到一個(gè)培訓(xùn)桶內(nèi)，隨后通過安全意識(shí)培訓(xùn)+測試去減少桶中的員工。

決定因素？

安全培訓(xùn)的三大指標(biāo)決定彈性系數(shù)，員工的配合程度決定投入的成本。

需要注意什么？

即使有這些指標(biāo)數(shù)據(jù)，但對相應(yīng)數(shù)據(jù)應(yīng)該謹(jǐn)慎處置，避免造成不必要的摩擦糾紛及負(fù)面影響。

整體方案就是：從組織層面開始，先進(jìn)行一次模擬演練然后分析數(shù)據(jù)，整理出以下數(shù)據(jù)：

• 組織初始的彈性系數(shù)
• 各部門初始的彈性系數(shù)
• 部門間的偏差
• 員工間的偏差

隨后，針對于低于組織初始彈性系數(shù)的部門進(jìn)行安全意識(shí)提升。首先整理出這些部門在模擬演練中的4大指標(biāo)，然后抽取處于部門內(nèi)的中下員工，這時(shí)我們就從數(shù)據(jù)中得到了組織內(nèi)的風(fēng)險(xiǎn)點(diǎn)。哪些部門、哪些員工的安全意識(shí)薄弱。

我們對這些培訓(xùn)桶中的員工進(jìn)行安全意識(shí)培訓(xùn)，當(dāng)其三大指標(biāo)合格時(shí)，針對性的發(fā)起部門模擬演練。得到員工的安全意識(shí)指標(biāo)以及部門的培訓(xùn)后的彈性系數(shù)。如果此系數(shù)大于組織的平均值，則該部門從培訓(xùn)桶中剔除。

循環(huán)往復(fù)的進(jìn)行該步驟(注意投入的正向回報(bào))，就可以逐漸的剔除每一個(gè)部門。這時(shí)我們需要留下一組數(shù)據(jù)，那就是多次模擬演練中頻繁打開和點(diǎn)擊的員工，對他們進(jìn)行定制化的安全意識(shí)培訓(xùn)。直到他們的安全意識(shí)達(dá)標(biāo)。

需要注意，組織上下需明確安全意識(shí)培訓(xùn)目的，培訓(xùn)的投入和員工/部門的態(tài)度形成正比。

2. 要最大化體現(xiàn)損失度

通過最大化的體現(xiàn)安全事件造成的損失，引起組織層面的重視和注意，達(dá)到提升安全意識(shí)的目的。具體損失情況如下例子所示：

eg1：某HR在招聘網(wǎng)站登記的郵箱被攻擊者拿到、攻擊者偽裝成求職者，將帶有遠(yuǎn)控的郵件發(fā)給HR，HR點(diǎn)擊辦公電腦被入侵，隨后打破網(wǎng)絡(luò)隔離，攻擊者入侵內(nèi)網(wǎng)，將內(nèi)網(wǎng)服務(wù)器植入勒索病毒，并打包拷貝走所有的員工信息+重要業(yè)務(wù)數(shù)據(jù)。

eg2：攻擊者發(fā)現(xiàn)某銀行的vpn客戶端可以外網(wǎng)下載，這時(shí)他們偽裝成銀行的客戶。去周邊的每個(gè)銀行咨詢業(yè)務(wù)并記錄銀行員工的工號(hào)、姓名、電話、郵箱等信息，而銀行員工因?yàn)闃I(yè)務(wù)的指標(biāo)就熱心的提供了所有的信息，包含微信等聯(lián)系方式。隨后攻擊者利用得到的員工通訊錄，發(fā)起釣魚攻擊，高精度的DIY定制郵件內(nèi)容：xxvpn需要升級(jí)，請大家隨后重新設(shè)置密碼。銀行部分員工點(diǎn)擊并輸入原始的賬號(hào)密碼，隨后員工發(fā)現(xiàn)密碼規(guī)律【初始密碼是大寫英文首字母+銀行成立年份】，隨后批量爆破出vpn的憑據(jù)【爆破未中招的員工】，隨后進(jìn)入內(nèi)網(wǎng)入侵系統(tǒng)，【該銀行內(nèi)部網(wǎng)絡(luò)隔離監(jiān)測系統(tǒng)都不完善，內(nèi)網(wǎng)吹彈可破】拿到大客戶的存款信息。

我們國內(nèi)的仿真練習(xí)，都是點(diǎn)到為止，沒有完成的利用鏈和對應(yīng)的模擬損失。致使部分員工/部門/組織無法意識(shí)到安全意識(shí)的重要性。所以需要針對組織的行業(yè)性質(zhì)制作一套對應(yīng)的模擬損失。

eg1中：

• 員工信息=灰黑產(chǎn)中的價(jià)格
• 重要業(yè)務(wù)數(shù)據(jù)=代碼重構(gòu)投入的研發(fā)經(jīng)費(fèi)
• 勒索病毒=贖金的總和

eg2中：

• 大客戶的存款信息=灰黑產(chǎn)的價(jià)格+存款的利息(大客戶可能會(huì)流失)
• 內(nèi)網(wǎng)入侵=內(nèi)網(wǎng)重要系統(tǒng)重構(gòu)研發(fā)經(jīng)費(fèi)+安全排查
• 事件曝光=輿論造成的股票下跌+大客戶流失

所以在項(xiàng)目中，模擬演練中要制定模擬損失，體現(xiàn)在數(shù)據(jù)和圖表中，一方面隨著時(shí)間的變化能體現(xiàn)回報(bào)率，另一方面也可以直觀的體現(xiàn)安全意識(shí)的重要性。制定好組織的模擬損失后，需要不同層面的配合和支持。在組織層面：采取不遮掩、不回避、不阻斷的態(tài)度最大程度支持項(xiàng)目實(shí)施，在部門層面也是依據(jù)部門性質(zhì)核算制定模擬損失，配合演練實(shí)施方進(jìn)行演練，并及時(shí)的核算攻擊鏈造成的損失。而對于個(gè)人，應(yīng)該真實(shí)上報(bào)并詳細(xì)的記錄自己的處置過程。

在上述工作完成的基礎(chǔ)上，就要考慮如何展示回報(bào)率了：最大化的體現(xiàn)彈性系數(shù)隨時(shí)間的變化。

3. 要最大化體現(xiàn)彈性系數(shù)隨時(shí)間的變化

所有的展示都依靠數(shù)據(jù)，總共分為三部分：安全培訓(xùn)+模擬演習(xí)前的彈性系數(shù)，安全培訓(xùn)+演習(xí)后的彈性系數(shù)，延長時(shí)間線后的彈性系數(shù)。

三個(gè)部門的數(shù)據(jù)匯總輸出隨著時(shí)間變化，組織/部門/員工的安全意識(shí)提升。每一次的節(jié)點(diǎn)都需要標(biāo)注模擬損失和投入的資源。三個(gè)層次的變化圖表可以展示給不同的驗(yàn)收者。

最后補(bǔ)充一下項(xiàng)目的后續(xù)說明，當(dāng)員工達(dá)標(biāo)后，開始針對部門提升不同的演習(xí)難度，最后強(qiáng)化部門的彈性系數(shù)維持在14左右。由員工到部門，部門到組織，自下而上的收斂風(fēng)險(xiǎn)點(diǎn)提升組織總體的安全意識(shí)成熟度。當(dāng)組織總體的彈性系數(shù)達(dá)到14倍左右，這個(gè)項(xiàng)目就進(jìn)入了收尾驗(yàn)收的地步。

眼動(dòng)儀與網(wǎng)絡(luò)釣魚分級(jí)

不止是攻擊者需要衡量釣魚郵件的欺騙度，企業(yè)培訓(xùn)中也可以利用眼動(dòng)儀追蹤技術(shù)來鑒定釣魚郵件的欺騙度以及員工的安全意識(shí)。眼動(dòng)儀可以幫助我們記錄快速變化的眼睛運(yùn)動(dòng)數(shù)據(jù)，同時(shí)可以繪制眼動(dòng)軌跡圖、熱力圖等，直觀而全面地反映眼動(dòng)的時(shí)空特征。眼動(dòng)分析的核心數(shù)據(jù)指標(biāo)包括停留時(shí)間、視線軌跡圖、熱力圖、鼠標(biāo)點(diǎn)擊量、區(qū)塊曝光率等，通過將定量指標(biāo)與圖表相結(jié)合，可以有效分析用戶眼球運(yùn)動(dòng)的規(guī)律，尤其適用于評估設(shè)計(jì)效果。我們可以參考英國普爾伯恩茅斯大學(xué)科技學(xué)院心理學(xué)系做的實(shí)驗(yàn)“通過眼動(dòng)追蹤了解網(wǎng)絡(luò)釣魚電子郵件處理和感知可信度”來為企業(yè)檢測員工的安全意識(shí)以及衡量不同的釣魚郵件具有的欺騙度。

根據(jù)網(wǎng)絡(luò)釣魚郵件、頁面欺騙度不同，我們通常把釣魚攻擊分為4個(gè)級(jí)別，分別是：

1. 一級(jí)釣魚攻擊

一級(jí)釣魚攻擊是最容易識(shí)別的，通常有很多指標(biāo)可以識(shí)別出它是“釣魚攻擊”，大多數(shù)普通用戶都應(yīng)該覺得能很容易找出這類郵件不對勁兒的地方?？梢杂孟铝兄笜?biāo)來劃分一級(jí)釣魚攻擊：

• 非指向性問候和結(jié)束語；
• 拼寫錯(cuò)誤和糟糕的語法；
• 簡易的信息/不太可能成立的理由；
• 引起貪婪、恐懼或者好奇的心理；
• 奇怪的郵件地址/未知的發(fā)件人。

2. 二級(jí)釣魚攻擊

二級(jí)釣魚攻擊更復(fù)雜，盡管也有與一級(jí)釣魚攻擊類似的指標(biāo)，但它的主題更為巧妙和隱蔽。可以用下列指標(biāo)來劃分二級(jí)釣魚攻擊：

• 非指向性問候和結(jié)束語；
• 拼寫正確但有一些語法問題；
• 信息更復(fù)雜但仍然很基本；
• 引起貪婪、恐懼或者好奇的心理；
• 文本中出現(xiàn)惡意鏈接；
• 奇怪的郵件地址/未知的發(fā)件人。

3. 三級(jí)釣魚攻擊

三級(jí)釣魚攻擊接近于真實(shí)生活中的魚叉式釣魚攻擊以外的針對性釣魚攻擊。三級(jí)釣魚攻擊郵件復(fù)雜且難以識(shí)別?？梢杂孟铝兄笜?biāo)來劃分三級(jí)釣魚攻擊:

• 指向性問候和結(jié)束語；
• 正確的拼寫；
• 正確的語法；
• 復(fù)雜的信息；
• 會(huì)引起恐懼或好奇的心理；
• 文本中出現(xiàn)惡意鏈接；
• 有時(shí)候會(huì)出現(xiàn)奇怪的郵件地址，但是發(fā)件人看起來是合法的；
• 很多時(shí)候出現(xiàn)商標(biāo)。

4. 四級(jí)釣魚攻擊(魚叉攻擊)

這一級(jí)別的釣魚攻擊非常高級(jí)、非常個(gè)性化，而且很多時(shí)候非常成功。這一級(jí)別釣魚攻擊的有趣之處在于，它可能具備個(gè)人化信息、商標(biāo)、無拼寫錯(cuò)誤等特征，但它也有可能是地球上最簡單的郵件，這種手法就是魚叉攻擊。

魚叉式釣魚攻擊與其他類型的釣魚式攻擊的不同之處在于，魚叉式釣魚針對的是特定人員或特定公司的員工。魚叉式釣魚這種有針對性的攻擊更加危險(xiǎn)。網(wǎng)絡(luò)犯罪分子會(huì)精心收集目標(biāo)對象的信息，使”誘餌”更具誘惑力。精心制作的魚叉式釣魚電子郵件可能很難與合法的電子郵件區(qū)分開來。因而魚叉式釣魚攻擊更容易使目標(biāo)上鉤。

結(jié)語

在眾多的安全防御手段中，通過網(wǎng)絡(luò)釣魚演習(xí)提高員工安全意識(shí)和釣魚郵件識(shí)別能力，是在當(dāng)前防御愈演愈烈的網(wǎng)絡(luò)安全形勢下，最經(jīng)濟(jì)的一種防御手段。因此未來企業(yè)安全建設(shè)工作中，要做到有效提升員工安全意識(shí)，就需要做到網(wǎng)絡(luò)釣魚演習(xí)標(biāo)準(zhǔn)化、指標(biāo)化，員工安全意識(shí)可度量。