据Salesforce 2023年发布的第三版《IT现状报告(State of IT Report)》显示:“恶意软件与网络钓鱼”是最大的安全顾虑。除了系统漏洞和技术性攻击外,内部威胁、特权滥用(无监视的权限/无节制的特权)、撞库等IT人员最担心的安全威胁,其背后都与人为因素(员工的安全意识与安全行为不到位)有着密切关联。
另据Cloudflare发布的《2023网络钓鱼威胁报告》显示:电子邮件身份验证并不能完全阻止钓鱼威胁,大多数(89%)有害邮件能够“成功通过”SPF、DKIM或DMARC检查,90%的受访安全决策者认同网络钓鱼威胁的类型和范围正在扩大,对于钓鱼威胁深表担忧。
“最有效”的方法往往都是“最简单”的方法。网络钓鱼,这种“古老”的攻击方式,从20世纪90年代中期至今仍“经久不衰”。伴随新兴技术的涌现与迭代升级,钓鱼攻击手法也在与时俱进地“进化”着,如:“AI增强的网络钓鱼”正在上演,给不少企业和个人造成了不可挽回的经济损失。
为了应对不断演变的钓鱼攻击和HW大考,许多不同行业的政企单位都已经不同程度地开展了钓鱼模拟演练。通过“培训(基线性)—>钓鱼(摸底性)—>再培训(针对性强化)—>再钓鱼(难度升级)”的持续循环,不断提升员工的反钓鱼意识、精准识别与响应钓鱼邮件的能力。
钓鱼演练的时间策略
看似简单的钓鱼模拟演练,其实也是一门学问。如果演练策略使用不当,沦为“为了钓鱼而钓鱼”的形式主义,不仅会让员工感到沮丧,产生抵触心理 (感觉被“捉弄”,中招后“没面子”),使得员工与安全团队的关系紧张,甚至破坏员工与组织的信任关系,演练效果适得其反。演练带来的一系列“反噬效应”,足以让一些企业望而却步:钓也不是,不钓也不是;钓得太难不是,钓得太简单也不是;钓一两次太少,钓多了又惹人烦。最后弄得所有人都不愉快,结果是“劳民伤财”!
钓鱼演练的目标应该为员工赋能,增强员工的自我效能感,提升员工应对安全威胁的责任感、自信心。通过钓鱼演练,员工不仅保留了知识,应用了所学,而且还培养了在网络安全威胁出现时主动识别和响应的良好习惯。从而更好地发挥每一名员工作为一道安全防线的积极作用,与安全团队形成“联防联控、群防群治”!
就钓鱼演练而言,时间策略是一个至关重要的考虑因素,钓鱼演练应该是随时、随机、随热点事件开展,还是限定在某一个时间段内进行(如HW前、安全周期间)?是提前通知员工开展演练,还是“秘而不宣”地悄悄开展演练?是每月、每两月、每季度,还是每半年、每年一次?以什么样的频率和时间间隔开展比较好。本文抛砖引玉,欢迎大家进一步探索最佳实践。
相信,绝大部分企业安全团队都会支持常态化、持续性地开展钓鱼模拟演练。通过常态化演练,有助于使员工始终保持适度的警惕性,培养识别钓鱼邮件的敏锐性,避免在“虚假的安全感”中被温水煮了青蛙。随着时间推移,员工精准识别、及时响应钓鱼威胁的能力得以提升,在应对真实钓鱼攻击时能够驾轻就熟,避免踩雷。
另外,网络犯罪分子对于新兴技术的嗅觉、探索和应用,往往比企业普遍员工要敏锐、要早得多。长期以来,“我在明、敌在暗”,网络攻防是一场与时间赛跑的不对等、不平衡的较量。生成式AI+钓鱼模板编写、AI+海量发送/投递、AI+精准的个性化欺诈、AI+网络钓鱼即服务、甚至兴起了“Hacking Humans with AI as a Service”。网络攻击这一商业模式的专业化、分工化与智能化程度越来越高,门槛也被拉得越来越低,而成功率从趋势上似乎越来越高。据业内相关研究报告:生成式人工智能工具编写网络钓鱼邮件的速度至少快40%,78%的人打开了人工智能辅助编写的钓鱼邮件。开展定期且及时的培训+演练,确保员工熟悉传统的和新兴的钓鱼手段,可以为迎接新一波AI钓鱼攻击浪潮提前做好准备。
关于针对新员工的培训+钓鱼
越来越多的企业将安全意识培训纳入新员工入职培训,将新员工纳入钓鱼演练范围,值得注意的是,时机也是一个关键考量。如果钓鱼模拟仅仅是一年开展一、两次,而新人培训又是一个月内或90天内完成,甚至半年或一年才统一组织一次,那么很多新人会错过重要的学习机会和参演机会。这一空窗期,关键岗位员工的知识与技能缺口,使得员工在应对模拟或真实的钓鱼攻击时,不知所措,毫无招架之力。如果新人尚未来得及参加任何安全意识培训,或者是“走马观花式”的培训不充分,新员工很快忘记了所学的内容,却正好赶上新一轮演练,这时得出的整体钓鱼演练中招率可能会虚高,拉低了公司整体防御水平。
另外,新员工(尤其是毕业生)是一张白纸,养成良好的“网络卫生习惯”也需要把握时机。及时纠正不良风险行为,持续鼓励积极上报可疑邮件,有助于激励员工保持安全行为习惯,发挥其个体能动性。
间歇性重复,是对抗“遗忘曲线”的最佳方式。如果不通过复习或强化来加强记忆,所学的反钓鱼知识会以指数速度被遗忘,定期的钓鱼模拟演练可以帮助组织对抗遗忘曲线,有效地保留和应用他们对网络钓鱼威胁的知识。安全团队也可以通过钓鱼模拟“大练兵”,识别安全事件应急响应中的薄弱环节,进行必要的持续改进,提升平均响应时间和检测时间。随着时间的推移,员工与安全团队形成统一战线、联防联控的文化会转变成为抵御网络钓鱼攻击的强大防御力量,因为每一名员工都在积极地为组织的整体安全做出贡献。
钓鱼模拟演练的间隔多少合适?
钓鱼模拟演练的间隔取决于政企单位的行业、规模、网络安全成熟度、现阶段的意识水平和不断发展的钓鱼威胁趋势。如何平衡每一次钓鱼演练模板的难度(贴近真实又不能让员工抓狂)、培训的效果、正向激励与负向激励的结合、对员工关系的微妙影响等等,也是安全团队面临的挑战。
值得注意的是:过于令人信服或过于频繁的钓鱼演练,可能会导致心理压力和影响业务运营,而过于温和或次数过少的模拟演练,又可能会使员工对真实的钓鱼威胁准备不足(风险感知和敏感性不足,钓鱼不过如此,产生侥幸心理或盲目自信)。
另外,克服来自其它利益相关方的阻力和不理解,也是一件极具挑战的事情,本人在某大型集团负责相关工作时深有体会。集团人力资源、集团办公室、集团品宣、集团财务等有话语权,但对安全的认知和理解不足的部门领导,可能是反对钓鱼演练的最强声音,认为钓鱼演练是“破坏性的”或“完全没有必要的”,会破坏来之不易的信任关系,破坏员工关系和满意度、对现有企业文化带来负面影响、不利于团结友爱的和谐局面等等。
据Coremail联合HumanRisk于2023年发布的《企业邮件钓鱼模拟演练分析报告》显示:80%的受访企业开展过或正在开展钓鱼演练,其中43%的受访企业每年至少开展2次钓鱼演练,而57%的企业每年仅开展一次演练。据Knowbe4等国外知名安全意识厂商或邮件安全厂商的建议,最佳演练频率及后续培训通常是每月一次,发送钓鱼模拟邮件过于频繁,会导致实际参演率和钓鱼有效性下降,得出的钓鱼中招率和上报率等关键指标数据失真。而过于频繁的安全培训会使员工焦虑,产生“培训疲劳”。
从钓鱼演练中获得最大收益的其它思考
从国外的最佳实践来看,与我们直觉相反的是,提前宣布演练(保持员工的知情权,公开透明地告知演练周期,可以不指明具体日期)和做好充分沟通(演练前、演练中和演练后),而不是“搞突然袭击”,是一个更佳的钓鱼演练策略。如果仿冒企业内部其它部门身份(如总裁办、人力资源中心、财务部、信息安全委员会等),一定要提前沟通,获得相关部门的同意。
提前宣布钓鱼模拟对于提升钓鱼演练和后续学习的体验和效果意义重大。当公司上下理解安全团队的初心是真得为公司和员工好,而不是“捉弄员工”,不是利用安全与合规的旗号进行“权利变现(展示权利欲和优越感)”。更深刻地理解钓鱼演练带来的一时阵痛是为了更长远的安全稳健发展,更理解每一位员工在保护组织免受钓鱼攻击中的重要作用,员工才可能可能积极投入和参与演练。从非故意的犯错中学习和反思,而不是在责难与通报中逃避、反抗,推卸责任。员工在主动识别和积极上报风险中获得鼓励,从而树立应对威胁的自信心。与企业建立起学习型组织的理念一致,员工在组织成长的惯性中变得更加优秀,有助于打造一道更强大的“人力防火墙”。
如果遇到组织内部利益相关方强势不让步(通常从组织架构来看,国内企业安全的地位通常并不高,较少配置首席信息安全官一职,较少有安全负责人直接向CEO汇报),建议采用“游戏化”钓鱼模拟方式,可以在游戏环境中模拟高度逼真的钓鱼模板,鼓励员工识别风险点,获取积分,在游戏挑战中形成思维定势和肌肉记忆。通过游戏化方式,也可以大大提升钓鱼邮件上报率,最大限度地减少对现有企业文化或员工关系的冲突。
在两次相邻的钓鱼演练之间,并不是无所事事的停顿。在这个时间窗口,安全团队可以开展演练数据评估分析、针对性教育赋能、公开表扬与认可、最新钓鱼手法洞察及宣贯、鼓励员工通过公司群/内部论坛等讨论钓鱼防范经验等等,最大限度地发挥钓鱼演练与安全意识培训的价值。
结束语
是时候改变传统的钓鱼演练时机/频率策略了!安全团队不提前在组织内部做好双向及多向沟通,“单向奔赴”的钓鱼演练往往拿不到想要的结果。确保员工对于钓鱼演练的知情权和获得掌控感,员工以最舒服的方式和最愉悦的状态迎接钓鱼演练,有助于提升演练实际参与率和有效性,得到更真实的演练指标数据。
对于新员工,及时开展安全意识培训,先易后难,及时纠正行为,鼓励学以致用,适时纳入钓鱼演练。对于全员,演练模板难度应与公司当前意识水平相匹配,过难或过易、过于频繁或次数过少,只有责难和通报而没有激励和认可的演练,效果会大打折扣。对于强势的利益相关方,采取迂回策略赢得理解和支持,或以游戏化方式,同样可以有效地提升全体员工抵御钓鱼攻击的能力。
人是社会性动物,当人们越看到周围的人在做正确的事且得到回报,自己也就越有动力和动机去做某事。每个人都觉得自己在为结果的改变做贡献,任何员工都可以成为良性循环的一部分时,员工就越有可能发挥个体能动性,越有信心识别和应对钓鱼威胁,从而个体能动性促进集体能动性,在正向增强回路下形成“复利效应”的势能。在鼓励开放、透明的“早发现、早上报”机制下,员工与安全团队进行全天候、全文位合作,在网络攻防“时间差”较量中取得优势地位,整个组织将变得更加强大、更具网络弹性!
注:以上所有图片均来源网络,版权归原作者所有。
关于作者:
HardyXie:一名终身网络安全意识与文化“布道者”|“实践者”|“讲师”
超安全文化研究院创始人,人为因素安全风险管理专家,世界500强前30企业原集团安全意识与文化负责人
关于网络安全意识培训、企业网络安全文化建设、网络安全宣传日/周/月策划与ROI、钓鱼模拟演练策略、网络安全教育游戏化、网络安全中“人的漏洞”修补、人为因素风险量化与度量技术、网络安全心理学、网络安全文化大使计划、人为因素风险管理等相关话题和业务,欢迎咨询探讨!同时,也欢迎转载及转发,让企业网络安全意识教育与网络安全文化建设少走弯路!
原文始发于微信公众号(超安全):网络钓鱼模拟演练的频率一年多少次合适?