日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何規(guī)劃企業(yè)釣魚郵件演練?

為什么要開展網(wǎng)絡釣魚演練

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供乳山網(wǎng)站建設、乳山做網(wǎng)站、乳山網(wǎng)站設計、乳山網(wǎng)站制作等企業(yè)網(wǎng)站建設、網(wǎng)頁設計與制作、乳山企業(yè)網(wǎng)站模板建站服務,10年乳山做網(wǎng)站經(jīng)驗,不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡服務。

相信在甲方工作的信息安全工程師都知道,定期對公司員工進行安全意識培訓是我們的工作內容之一,目的也很明確,通過安全意識培訓來改變員工的不安全行為,降低人的風險。根據(jù)網(wǎng)絡安全問題起源數(shù)據(jù)分析,75%的安全事件是由人引起的,很大一部分原因是意識薄弱,弱口令、釣魚中招等;只有25%是跟技術相關,其中包括系統(tǒng)漏洞、配置缺陷以及業(yè)務邏輯缺陷等。

??

為了更好地認識企業(yè)的安全意識成熟程度,釣魚郵件測試是最好的評估手段,是驗證安全意識培訓效果最有效的方法之一,尤其是對于剛擔任公司的信息安全工程師,開展一次網(wǎng)絡釣魚能更快地認識公司人員的安全意識處于什么階段,從而有針對性的開展安全意識培訓。不試不知道,一試嚇一跳。

網(wǎng)絡釣魚那些事

1. 網(wǎng)絡釣魚現(xiàn)狀

在如今的互聯(lián)網(wǎng)環(huán)境中,網(wǎng)絡釣魚是個人、組織所面臨較大的安全威脅,員工被“釣魚”是不同規(guī)模組織的一大風險,因為對手會用惡意郵件和網(wǎng)站對用戶實施攻擊。

  • 根據(jù)縱橫隨心郵與360行業(yè)安全研究中心的聯(lián)合監(jiān)測評估,2019年全國企業(yè)郵箱用戶共收到各類釣魚郵件約344.3億封。全球每天大約有3000億封電子郵件被發(fā)送,其中90%是垃圾郵件和病毒郵件
  • 超過90%的黑客攻擊和數(shù)據(jù)泄露源于網(wǎng)絡釣魚詐騙,已報告商業(yè)電子郵件欺詐(BEC)損失了超過125億美元,但已報告的網(wǎng)絡 犯罪數(shù)量僅占實際犯罪總數(shù)的10%至12%。

2. 常見網(wǎng)絡釣魚攻擊類型

  • CEO欺詐或商務郵件欺詐(BEC)——假裝公司的CEO或其他高管,向級別較低的員工(通常是會計或財務部門的員工)發(fā)送電子郵件,這些電子郵件的目的是獲取商業(yè)機密信息或讓受害者將資金轉移到一個虛假賬戶。
  • 克隆網(wǎng)絡釣魚——利用受害者已經(jīng)收到的合法信息,仿真創(chuàng)建一個惡意腳本,再以上一封電子郵件的鏈接有問題為由,要重新發(fā)送原始郵件,來誘導用戶點擊克隆的釣魚郵件。
  • 域欺騙(Pharming)——偽造一個新的電子郵件頭,使它看起來像是來自一家合法公司的電子郵件地址。或者創(chuàng)建一個欺詐網(wǎng)站,讓它的域名看上去是合法的或與合法公司的域名相似。
  • 魚叉式網(wǎng)絡釣魚(Spear phishing )——使用社交工程策略定制個性化電子郵件,發(fā)送給組織內的特定個人。攻擊者會使用電子郵件主題作為受害者感興趣的主題,以欺騙他們打開郵件并點擊鏈接或附件。
  • 水坑攻擊(Watering Hole)——攻擊公司楊紅經(jīng)常訪問的網(wǎng)站,感染其中一個網(wǎng)站并植入惡意軟件。當你或你的員工訪問該網(wǎng)站時,電腦會自動裝載惡意軟件,這樣攻擊者就能訪問你的網(wǎng)絡、服務器和敏感信息。
  • 鯨釣攻擊(Whaling Attack)——是魚叉式釣魚的一種,與CEO欺詐相反。攻擊者的目的是高層管理人員,如CEO、CFO等,其目的是誘導高管輸入敏感信息和公司數(shù)據(jù)。

3. 常見網(wǎng)絡釣魚攻擊主題

  • 財務類主題
  • IT通知類主題
  • 司法機關類詐騙
  • 商業(yè)電子詐騙

4. 網(wǎng)絡釣魚危害

針對個人的網(wǎng)絡釣魚(Phishing)攻擊者利用欺騙性的電子郵件和偽造的web站點來進行網(wǎng)絡詐騙活動,受騙者往往會泄露自己的私人材料。欺詐者通常會將自己偽裝成網(wǎng)絡銀行、在線商城、快遞等可信品牌,騙取用戶的私人信息。

針對企業(yè)網(wǎng)絡釣魚(phshng)是在網(wǎng)絡上盜竊身份的一種形式,它使用誘騙性的電子郵件和欺騙性質的網(wǎng)站來引誘人們泄露公司內部系統(tǒng)的賬號和密碼,公司的賬戶和密碼,影響公司估值的CEO/CFO的個人信息,郵箱賬號、密碼等。盜取用戶資金、勒索公司,使公司蒙受經(jīng)濟損失,上市公司還是影響股價。

網(wǎng)絡釣魚演練目的

合規(guī)驅動:

  • 《網(wǎng)絡安全法》-第三十四條(二)規(guī)定,定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核。
  • 《等保2.0》-6/7/8/9.1.7.3:應對各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施。
  • 《關基安全保護條例》-第二十七條:運營者應當組織從業(yè)人員網(wǎng)絡安全教育培訓,每人每年教育培訓時長不得少于1個工作日,關鍵崗位專業(yè)技術人員每人每年教育培訓時長不得少于3個工作日。

提升信息安全意識:

  • 識別與排列人為風險優(yōu)先級,從而有針對性地對癥下藥
  • 改變員工的不安全行為
  • 降低人為風險
  • 提升安全意識成熟度

開展網(wǎng)絡釣魚步驟

1. 網(wǎng)絡釣魚系統(tǒng)技術實現(xiàn)

釣魚郵件演練技術支持包括企業(yè)內部人員和外部供應商,以下對兩者的優(yōu)劣性做對比

公司內部人員:

  • 優(yōu)點:對公司的公司文化、信息安全成熟度更加了解,對不同的人員發(fā)送針對性的釣魚郵件主題。成本低,重復利用率高,在一定程度上能提升安全人員的技術能力。
  • 缺點:需要有一定技術能力的技術人員,包括釣魚郵件系統(tǒng)環(huán)境部署、前端頁面開發(fā)、數(shù)據(jù)匯總等能力。周期較長,內容效果難以保證。

外部供應商:

  • 優(yōu)點:能實現(xiàn)一定程度的定制化,在技術能力、行業(yè)前瞻性具有相當大的優(yōu)勢,提供有保證的技術支持。
  • 缺點:成本高,缺乏對企業(yè)特定威脅、崗位特點的深入理解;釣魚郵件系統(tǒng)重復利用率低,更換供應商后原來的舊系統(tǒng)可能不適用

綜上所述,可以基于過往演練效果、需求匹配度、交付與管理等方面綜合考慮,外部供應商選擇比較多,這里不展開闡述。若公司內部人員來實現(xiàn),推薦一款釣魚郵件平臺采用開源系統(tǒng)gophish,前端頁面使用HTML+CSS+JavaScript等,效果非常不錯,易上手,0元玩轉釣魚郵件,這是老板最想要的,免費且好用。附上GitHub地址:

??https://github.com/gophish/gophish??

??

2. 設定郵件主題

  • 冒充公司IT或行政部門發(fā)送釣魚郵件,面對對象:全員。
  • 偽裝供應商、客戶發(fā)送釣魚郵件,面對對象:采購、銷售、行政。
  • 偽造面試候選人發(fā)送釣魚郵件,面對對象:財務、法務、HR。

無論選擇哪個作為測試對象,都需要得到高層的同意。

3. 設定難度

  • 一級釣魚攻擊——有很多指標可以很容易識別出是“釣魚郵件”
  • 二級釣魚攻擊——基于公司信息或個人信息的郵件
  • 三級釣魚攻擊——有指向性、針對性的釣魚攻擊
  • 四級釣魚攻擊或魚叉式釣魚攻擊——具備個性化信息、商標、無拼寫錯誤等特征。

在企業(yè)開展演練時,需要注意以下幾點:

  • 不能冒充公檢法相關監(jiān)管單位,包括logo、電話、工作人員真實信息等
  • 內容需要合規(guī)。郵件正文中不能發(fā)布、傳播反黨反社會輿論;不得侵犯商業(yè)秘密;不得非法獲取國家秘密;不得侵犯公民個人信息。
  • 不能對公司現(xiàn)有系統(tǒng)造成損害,以此來竊取公司商業(yè)機密

4. 話術

發(fā)起釣魚郵件測試后,會收到員工的上報,我們需要統(tǒng)一話術,避免提前露餡,如:

“感謝您的反饋,我們先確認下該郵件是否為釣魚郵件,確認前請不要做任何操作,確認后會第一時間通知您,謝謝?!?/p>

5. 追蹤與統(tǒng)計

  • 點擊人數(shù)
  • 報告釣魚郵件攻擊的人數(shù)
  • 點擊卻未報告的人數(shù)
  • 點擊并報告的人數(shù)
  • 未點擊也未報告的人數(shù)
  • 未點擊卻報告的人數(shù)

以上數(shù)據(jù)可以在gophish上獲取,重點關注點擊率和上報率

6. 開展培訓

對本次釣魚郵件演練做復盤,展示上一步中的數(shù)據(jù),對員工進行信息安全意識培訓

介紹常見的釣魚郵件類型以及該如何防范,收到釣魚郵件后上報的途徑

7. 重復

定期開展釣魚郵件測試,避免長時間后員工放低警惕性,對于入職的新員工,可能缺乏相關的信息安全意識培訓,通過真實的演練來提高信息安全意識

緊跟流行的釣魚郵件攻擊方式

在每次完成測試后與上一次測試做對比,檢驗員工的不安全行為是否得到改善??偨Y每次存在的不足以及需要改進的地方,避免在下一次測試出現(xiàn)同樣的問題。

網(wǎng)絡釣魚常見問題以及改進

1. 常見問題

  • 過分注重員工的情緒及感受
  • 高層領導是例外
  • 內容造成員工不適,被迫中止測試
  • 認為太多的訓練使人厭煩
  • 員工直接刪除釣魚郵件
  • 員工可能無法分辨釣魚郵件和正常郵件
  • 員工不知道上報的途徑(尤其是新員工)
  • 郵件可能會被自動識別成垃圾郵件,用戶不知道郵件的存在,會影響測試范圍。

2. 對應措施

  • 釣魚攻擊回歸現(xiàn)實,隨著時間推移來增加釣魚攻擊的“舉重砝碼”,但避免過于個人的主題。
  • 根據(jù)當前釣魚的流行手段來安排釣魚攻擊訓練
  • 提供一個可以報告可疑郵件的通道。
  • 演練前需要與被測試部門或事業(yè)部負責人進行溝通,取得高層的授權。
  • 在安全意識課程中加入釣魚郵件現(xiàn)狀以及如何識別釣魚郵件,強化對釣魚郵件的認知

總結

我們需要像攻擊者一樣進行釣魚攻擊測試,并根據(jù)當前流行的攻擊方式對員工進行測試,讓員工在測試中學會識別釣魚攻擊,避免遇到真正的網(wǎng)絡釣魚時上當受騙,并將釣魚攻擊和社會工程學納入安全意識培訓中。在開展釣魚攻擊演練前需要為組織單位設定合理的目標,該如何衡量這個目標。

以上是我對企業(yè)釣魚郵件演練的一些看法,希望能幫助到正在看這篇文章的你。若你有更好的觀點,可以給我留言,不吝賜教。愿我們能幫助公司最大程度地減少人為帶來的安全風險,守衛(wèi)網(wǎng)絡安全這片凈土。


標題名稱:如何規(guī)劃企業(yè)釣魚郵件演練?
文章來源:http://www.5511xx.com/article/dhjgghe.html