出品 | 51CTO技術(shù)棧（微信號(hào)：blog51cto）

你是否收到過網(wǎng)絡(luò)釣魚郵件？你有沒有想過這可能是你的公司故意發(fā)送的？

因?yàn)楣椭饔袝r(shí)會(huì)模擬網(wǎng)絡(luò)釣魚信息，來培訓(xùn)員工警惕這種網(wǎng)絡(luò)威脅。但最近，谷歌的一位大佬公開發(fā)聲，反對(duì)這種廣泛采用的網(wǎng)絡(luò)釣魚測試方法。

Matt Linton，作為谷歌安全響應(yīng)及事件管理部的領(lǐng)頭人，呼吁對(duì)這種做法進(jìn)行全面改革。在他看來，現(xiàn)有的網(wǎng)絡(luò)釣魚測試方式不僅未能有效減少實(shí)際網(wǎng)絡(luò)釣魚攻擊的案例，還導(dǎo)致員工對(duì)IT安全團(tuán)隊(duì)產(chǎn)生不必要的反感和疏遠(yuǎn)。

一、適得其反的釣魚測試

Linton在X和谷歌安全博客上分享觀點(diǎn)時(shí)強(qiáng)調(diào)，頻繁的“欺騙性”測試非但沒有增強(qiáng)員工抵御網(wǎng)絡(luò)釣魚的能力，反而可能引起逆反心理，降低了整體安全文化的建設(shè)效果。

據(jù)悉，根據(jù)要求，公司必須向員工發(fā)送虛假的網(wǎng)絡(luò)釣魚郵件，以滿足美國政府的安全合規(guī)要求。在這些測試中，谷歌會(huì)給員工發(fā)送一封網(wǎng)絡(luò)釣魚郵件。如果員工點(diǎn)擊了郵件中的鏈接，就會(huì)被告知測試失敗，并通常需要參加某種形式的培訓(xùn)課程。

然而，Linton認(rèn)為，模擬網(wǎng)絡(luò)釣魚測試可能導(dǎo)致有害的副作用，還可能會(huì)削弱公司的安全。

“沒有證據(jù)表明這些測試能減少網(wǎng)絡(luò)釣魚攻擊事件，”Linton說道，并指出盡管進(jìn)行了這樣的培訓(xùn)，網(wǎng)絡(luò)釣魚攻擊仍在幫助黑客在網(wǎng)絡(luò)內(nèi)部獲得立足點(diǎn)。他還引用了2021年的一項(xiàng)研究，該研究持續(xù)了15個(gè)月，結(jié)論是這些網(wǎng)絡(luò)釣魚測試并不能“讓員工對(duì)網(wǎng)絡(luò)釣魚更加免疫”。

二、火災(zāi)演練的啟示

Linton主張采用類似火災(zāi)逃生演練的模式來提升網(wǎng)絡(luò)安全意識(shí)和響應(yīng)能力。

現(xiàn)在的網(wǎng)絡(luò)釣魚測試更像早期的火災(zāi)演習(xí)，那時(shí)候的演習(xí)更像是突然降臨在建筑物居民身上的火災(zāi)疏散演練——毫無預(yù)警地進(jìn)行，之后個(gè)人因應(yīng)對(duì)失敗而受到指責(zé)。但是隨著時(shí)間的推移，火災(zāi)演練逐漸發(fā)生了諸多改變。

隨著建筑的安全標(biāo)準(zhǔn)不斷提升，建筑物配備了更多的安全設(shè)施。更寬的逃生門、推桿式緊急出口和自動(dòng)噴水滅火系統(tǒng)等創(chuàng)新應(yīng)用不斷提高建筑物的防火安全性。

顯而易見的是，這些改進(jìn)都不是為了提升個(gè)人在演習(xí)中的反應(yīng)能力，但它們共同作用，增加了生存率。“火災(zāi)逃生”從一種針對(duì)個(gè)人應(yīng)急反應(yīng)的懲罰性測試轉(zhuǎn)變?yōu)榱艘粓鲇薪M織、有預(yù)告的集體演練活動(dòng)，從而顯著提高了人員的安全疏散效率。

Linton認(rèn)為，網(wǎng)絡(luò)安全培訓(xùn)也應(yīng)當(dāng)借鑒這一轉(zhuǎn)變，從關(guān)注個(gè)體“失敗”的懲罰轉(zhuǎn)向構(gòu)建更加堅(jiān)固和智能的防御體系，同時(shí)提高全體員工對(duì)安全威脅的整體認(rèn)識(shí)和協(xié)同應(yīng)對(duì)能力。

三、只要人類是會(huì)犯錯(cuò)的社交生物，人性的弱點(diǎn)就會(huì)被利用

盡管防網(wǎng)絡(luò)釣魚控制措施已被內(nèi)置到安全產(chǎn)品和電子郵件客戶端中，但研究表明網(wǎng)絡(luò)釣魚攻擊仍在增加。Zscaler最新的年度網(wǎng)絡(luò)釣魚報(bào)告發(fā)現(xiàn)，過去12個(gè)月網(wǎng)絡(luò)釣魚攻擊增加了58%，而網(wǎng)絡(luò)犯罪分子更廣泛地采用人工智能推動(dòng)了這一增長。

聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃（FedRAMP）是推廣網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的美國機(jī)構(gòu)之一。谷歌保持與FedRAMP的合規(guī)性，部分是通過遵循其指導(dǎo)進(jìn)行網(wǎng)絡(luò)釣魚測試來實(shí)現(xiàn)，該指導(dǎo)仍然聲稱用戶“是最后一道防線，應(yīng)該接受測試”。

Linton認(rèn)為，為員工提供網(wǎng)絡(luò)釣魚培訓(xùn)是有價(jià)值的，但實(shí)現(xiàn)100%的成功率“可能是一個(gè)不可能完成的任務(wù)”。

他在博客中寫道：“網(wǎng)絡(luò)釣魚和社會(huì)工程作為攻擊手段不會(huì)消失。只要人類是可犯錯(cuò)的社交生物，攻擊者就會(huì)有辦法操縱人性因素?！?/p>

“對(duì)于這兩種風(fēng)險(xiǎn)，更有效的應(yīng)對(duì)方法是在長期內(nèi)專注于構(gòu)建默認(rèn)安全系統(tǒng)，以及投資于工程防御，如不可釣魚憑證（如通行密鑰）和在生產(chǎn)系統(tǒng)的敏感安全上下文中實(shí)施多方審批。正是由于對(duì)架構(gòu)防御等領(lǐng)域的投資，我們被告知，谷歌近十年來不必嚴(yán)重?fù)?dān)心密碼網(wǎng)絡(luò)釣魚問題。”

四、現(xiàn)有測試的問題

Linton指出，反對(duì)當(dāng)前網(wǎng)絡(luò)釣魚測試的主要論點(diǎn)是“沒有證據(jù)表明這些測試能減少成功網(wǎng)絡(luò)釣魚活動(dòng)的發(fā)生次數(shù)”。

一些如FedRAMP規(guī)定的測試要求組織減少或消除現(xiàn)有控制措施，以最大化測試失敗的感知影響。這引發(fā)了一系列問題，比如給測試對(duì)象對(duì)真實(shí)風(fēng)險(xiǎn)的錯(cuò)誤感知，以及演習(xí)期間實(shí)施的允許列表在之后未被移除，從而使它們暴露于攻擊者的濫用之下。

Linton還提到，這給事件響應(yīng)人員和負(fù)責(zé)篩選發(fā)送給威脅檢測團(tuán)隊(duì)報(bào)告的人員帶來了更大的負(fù)擔(dān)，同時(shí)員工感覺受到了不必要的欺騙。

當(dāng)然，還有其他人支持Linton的觀點(diǎn)。英國國家網(wǎng)絡(luò)安全中心（NCSC）的指導(dǎo)與這位谷歌高管提出的許多觀點(diǎn)一致，認(rèn)為這些測試侵蝕了員工與安全團(tuán)隊(duì)之間的信任，并指出用戶在網(wǎng)絡(luò)釣魚測試中點(diǎn)擊鏈接有許多原因。

某些特定個(gè)體的性格特征可能會(huì)促使他們點(diǎn)擊鏈接，而情境變量，包括在測試發(fā)出時(shí)正管理的特別繁重的工作負(fù)荷，可能不利地扭曲測試結(jié)果。

英國國家網(wǎng)絡(luò)安全中心表示：“員工應(yīng)轉(zhuǎn)而創(chuàng)造積極的網(wǎng)絡(luò)安全文化，讓員工在報(bào)告網(wǎng)絡(luò)釣魚事件時(shí)感到舒適，從這個(gè)意義上說，他們可以成為寶貴的早期預(yù)警系統(tǒng)?！?/p>

五、可能的替代方案

Linton關(guān)于如何改進(jìn)這些測試的想法回歸到了火災(zāi)演練演變至今的理念。

這些測試不應(yīng)用欺騙的方式進(jìn)行，而應(yīng)明確告知其為測試，就像公寓和辦公樓在測試前幾周于每個(gè)角落張貼海報(bào)一樣顯眼。它們應(yīng)指向測試，并告知接收者這樣做的好處。

與辦公室工作人員多年來習(xí)慣的測試相比，Linton提出的可能的替代方案大相徑庭。但谷歌的這一聲音的確反映了對(duì)傳統(tǒng)網(wǎng)絡(luò)安全教育手段的深刻反思，倡導(dǎo)一個(gè)更注重環(huán)境優(yōu)化、文化建設(shè)和正面激勵(lì)的新型安全培訓(xùn)模式。

此外，英國國家網(wǎng)絡(luò)安全中心表示，應(yīng)采取多層次的方法來緩解工作場所的網(wǎng)絡(luò)釣魚攻擊：

1. 加大攻擊者接觸用戶的難度：通過技術(shù)手段過濾掉大部分明顯的垃圾郵件和網(wǎng)絡(luò)釣魚郵件。

2.幫助用戶識(shí)別并報(bào)告疑似網(wǎng)絡(luò)釣魚郵件：提供清晰的指南和簡單的報(bào)告流程，鼓勵(lì)員工有所懷疑時(shí)及時(shí)報(bào)告。

3. 保護(hù)組織免受“成功”網(wǎng)絡(luò)釣魚郵件的影響：即使郵件被點(diǎn)擊，也要確保多因素認(rèn)證、權(quán)限最小化等策略能限制損害。

4. 快速響應(yīng)事件：一旦發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊，立即啟動(dòng)應(yīng)急響應(yīng)程序，隔離受影響系統(tǒng)，防止進(jìn)一步傳播。

Linton補(bǔ)充說，教導(dǎo)員工遇到網(wǎng)絡(luò)攻擊時(shí)，及時(shí)通知安全團(tuán)隊(duì)，對(duì)全面安全至關(guān)重要。無需營造對(duì)立氛圍，通過揭示員工“失敗”并無助益。應(yīng)摒棄無效的傳統(tǒng)防護(hù)，借鑒消防等行業(yè)經(jīng)驗(yàn)，看看它們面對(duì)相似挑戰(zhàn)，如何找到均衡對(duì)策。

參考鏈接：https://www.theregister.com/2024/05/23/google_phishing_tests/