如何規(guī)劃企業(yè)釣魚郵件演練？

發(fā)布時(shí)間：2024-04-12

8月7日消息 相信在甲方工作的信息安全工程師都知道，定期對(duì)公司員工進(jìn)行安全意識(shí)培訓(xùn)是我們的工作內(nèi)容之一，目的也很明確，通過安全意識(shí)培訓(xùn)來改變員工的不安全行為，降低人的風(fēng)險(xiǎn)。根據(jù)網(wǎng)絡(luò)安全問題起源數(shù)據(jù)分析，75%%u7684安全事件是由人引起的，很大一部分原因是意識(shí)薄弱，弱口令、釣魚中招等；只有25%%u662f跟技術(shù)相關(guān)，其中包括系統(tǒng)漏洞、配置缺陷以及業(yè)務(wù)邏輯缺陷等。
為了更好地認(rèn)識(shí)企業(yè)的安全意識(shí)成熟程度，釣魚郵件測(cè)試是最好的評(píng)估手段，是驗(yàn)證安全意識(shí)培訓(xùn)效果最有效的方法之一，尤其是對(duì)于剛擔(dān)任公司的信息安全工程師，開展一次網(wǎng)絡(luò)釣魚能更快地認(rèn)識(shí)公司人員的安全意識(shí)處于什么階段，從而有針對(duì)性的開展安全意識(shí)培訓(xùn)。不試不知道，一試嚇一跳。
網(wǎng)絡(luò)釣魚那些事
1. 網(wǎng)絡(luò)釣魚現(xiàn)狀
在如今的互聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡(luò)釣魚是個(gè)人、組織所面臨較大的安全威脅，員工被“釣魚”是不同規(guī)模組織的一大風(fēng)險(xiǎn)，因?yàn)閷?duì)手會(huì)用惡意郵件和網(wǎng)站對(duì)用戶實(shí)施攻擊。
根據(jù)縱橫隨心郵與360行業(yè)安全研究中心的聯(lián)合監(jiān)測(cè)評(píng)估，2019年全國(guó)企業(yè)郵箱用戶共收到各類釣魚郵件約344.3億封。全球每天大約有3000億封電子郵件被發(fā)送，其中90%%u662f垃圾郵件和病毒郵件
超過90%%u7684黑客攻擊和數(shù)據(jù)泄露源于網(wǎng)絡(luò)釣魚詐騙，已報(bào)告商業(yè)電子郵件欺詐(bec)損失了超過125億美元，但已報(bào)告的網(wǎng)絡(luò) 犯罪數(shù)量?jī)H占實(shí)際犯罪總數(shù)的10%%u81f312%%u3002
2. 常見網(wǎng)絡(luò)釣魚攻擊類型
ceo欺詐或商務(wù)郵件欺詐(bec)——假裝公司的ceo或其他高管，向級(jí)別較低的員工(通常是會(huì)計(jì)或財(cái)務(wù)部門的員工)發(fā)送電子郵件，這些電子郵件的目的是獲取商業(yè)機(jī)密信息或讓受害者將資金轉(zhuǎn)移到一個(gè)虛假賬戶。
克隆網(wǎng)絡(luò)釣魚——利用受害者已經(jīng)收到的合法信息，仿真創(chuàng)建一個(gè)惡意腳本，再以上一封電子郵件的鏈接有問題為由，要重新發(fā)送原始郵件，來誘導(dǎo)用戶點(diǎn)擊克隆的釣魚郵件。
域欺騙(pharming)——偽造一個(gè)新的電子郵件頭，使它看起來像是來自一家合法公司的電子郵件地址?；蛘邉?chuàng)建一個(gè)欺詐網(wǎng)站，讓它的域名看上去是合法的或與合法公司的域名相似。
魚叉式網(wǎng)絡(luò)釣魚(spear phishing )——使用社交工程策略定制個(gè)性化電子郵件，發(fā)送給組織內(nèi)的特定個(gè)人。攻擊者會(huì)使用電子郵件主題作為受害者感興趣的主題，以欺騙他們打開郵件并點(diǎn)擊鏈接或附件。
水坑攻擊(watering hole)——攻擊公司楊紅經(jīng)常訪問的網(wǎng)站，感染其中一個(gè)網(wǎng)站并植入惡意軟件。當(dāng)你或你的員工訪問該網(wǎng)站時(shí)，電腦會(huì)自動(dòng)裝載惡意軟件，這樣攻擊者就能訪問你的網(wǎng)絡(luò)、服務(wù)器和敏感信息。
鯨釣攻擊(whaling attack)——是魚叉式釣魚的一種，與ceo欺詐相反。攻擊者的目的是高層管理人員，如ceo、cfo等，其目的是誘導(dǎo)高管輸入敏感信息和公司數(shù)據(jù)。
3. 常見網(wǎng)絡(luò)釣魚攻擊主題
財(cái)務(wù)類主題
it通知類主題
司法機(jī)關(guān)類詐騙
商業(yè)電子詐騙
4. 網(wǎng)絡(luò)釣魚危害
針對(duì)個(gè)人的網(wǎng)絡(luò)釣魚(phishing)攻擊者利用欺騙性的電子郵件和偽造的web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人材料。欺詐者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線商城、快遞等可信品牌，騙取用戶的私人信息。
針對(duì)企業(yè)網(wǎng)絡(luò)釣魚(phshng)是在網(wǎng)絡(luò)上盜竊身份的一種形式，它使用誘騙性的電子郵件和欺騙性質(zhì)的網(wǎng)站來引誘人們泄露公司內(nèi)部系統(tǒng)的賬號(hào)和密碼，公司的賬戶和密碼，影響公司估值的ceo/cfo的個(gè)人信息，郵箱賬號(hào)、密碼等。盜取用戶資金、勒索公司，使公司蒙受經(jīng)濟(jì)損失，上市公司還是影響股價(jià)。
網(wǎng)絡(luò)釣魚演練目的
合規(guī)驅(qū)動(dòng)：
《網(wǎng)絡(luò)安全法》-第三十四條(二)規(guī)定，定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。
《等保2.0》-6/7/8/9.1.7.3：應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施。
《關(guān)基安全保護(hù)條例》-第二十七條：運(yùn)營(yíng)者應(yīng)當(dāng)組織從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn)，每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于1個(gè)工作日，關(guān)鍵崗位專業(yè)技術(shù)人員每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于3個(gè)工作日。
提升信息安全意識(shí)：
識(shí)別與排列人為風(fēng)險(xiǎn)優(yōu)先級(jí)，從而有針對(duì)性地對(duì)癥下藥
改變員工的不安全行為
降低人為風(fēng)險(xiǎn)
提升安全意識(shí)成熟度
開展網(wǎng)絡(luò)釣魚步驟
1. 網(wǎng)絡(luò)釣魚系統(tǒng)技術(shù)實(shí)現(xiàn)
釣魚郵件演練技術(shù)支持包括企業(yè)內(nèi)部人員和外部供應(yīng)商，以下對(duì)兩者的優(yōu)劣性做對(duì)比
公司內(nèi)部人員：
優(yōu)點(diǎn)：對(duì)公司的公司文化、信息安全成熟度更加了解，對(duì)不同的人員發(fā)送針對(duì)性的釣魚郵件主題。成本低，重復(fù)利用率高，在一定程度上能提升安全人員的技術(shù)能力。
缺點(diǎn)：需要有一定技術(shù)能力的技術(shù)人員，包括釣魚郵件系統(tǒng)環(huán)境部署、前端頁(yè)面開發(fā)、數(shù)據(jù)匯總等能力。周期較長(zhǎng)，內(nèi)容效果難以保證。
外部供應(yīng)商：
優(yōu)點(diǎn)：能實(shí)現(xiàn)一定程度的定制化，在技術(shù)能力、行業(yè)前瞻性具有相當(dāng)大的優(yōu)勢(shì)，提供有保證的技術(shù)支持。
缺點(diǎn)：成本高，缺乏對(duì)企業(yè)特定威脅、崗位特點(diǎn)的深入理解;釣魚郵件系統(tǒng)重復(fù)利用率低，更換供應(yīng)商后原來的舊系統(tǒng)可能不適用
綜上所述，可以基于過往演練效果、需求匹配度、交付與管理等方面綜合考慮，外部供應(yīng)商選擇比較多，這里不展開闡述。若公司內(nèi)部人員來實(shí)現(xiàn)，推薦一款釣魚郵件平臺(tái)采用開源系統(tǒng)gophish，前端頁(yè)面使用html css javascript等，效果非常不錯(cuò)，易上手，0元玩轉(zhuǎn)釣魚郵件，這是老板最想要的，免費(fèi)且好用。附上github地址：https://github.com/gophish/gophish
2. 設(shè)定郵件主題
冒充公司it或行政部門發(fā)送釣魚郵件，面對(duì)對(duì)象：全員。
偽裝供應(yīng)商、客戶發(fā)送釣魚郵件，面對(duì)對(duì)象：采購(gòu)、銷售、行政。
偽造面試候選人發(fā)送釣魚郵件，面對(duì)對(duì)象：財(cái)務(wù)、法務(wù)、hr。
無論選擇哪個(gè)作為測(cè)試對(duì)象，都需要得到高層的同意。
3. 設(shè)定難度
一級(jí)釣魚攻擊——有很多指標(biāo)可以很容易識(shí)別出是“釣魚郵件”
二級(jí)釣魚攻擊——基于公司信息或個(gè)人信息的郵件
三級(jí)釣魚攻擊——有指向性、針對(duì)性的釣魚攻擊
四級(jí)釣魚攻擊或魚叉式釣魚攻擊——具備個(gè)性化信息、商標(biāo)、無拼寫錯(cuò)誤等特征。
在企業(yè)開展演練時(shí)，需要注意以下幾點(diǎn)：
不能冒充公檢法相關(guān)監(jiān)管單位，包括logo、電話、工作人員真實(shí)信息等
內(nèi)容需要合規(guī)。郵件正文中不能發(fā)布、傳播反黨反社會(huì)輿論;不得侵犯商業(yè)秘密;不得非法獲取國(guó)家秘密;不得侵犯公民個(gè)人信息。
不能對(duì)公司現(xiàn)有系統(tǒng)造成損害，以此來竊取公司商業(yè)機(jī)密
4. 話術(shù)
發(fā)起釣魚郵件測(cè)試后，會(huì)收到員工的上報(bào)，我們需要統(tǒng)一話術(shù)，避免提前露餡，如：
“感謝您的反饋，我們先確認(rèn)下該郵件是否為釣魚郵件，確認(rèn)前請(qǐng)不要做任何操作，確認(rèn)后會(huì)第一時(shí)間通知您，謝謝。”
5. 追蹤與統(tǒng)計(jì)
點(diǎn)擊人數(shù)
報(bào)告釣魚郵件攻擊的人數(shù)
點(diǎn)擊卻未報(bào)告的人數(shù)
點(diǎn)擊并報(bào)告的人數(shù)
未點(diǎn)擊也未報(bào)告的人數(shù)
未點(diǎn)擊卻報(bào)告的人數(shù)
以上數(shù)據(jù)可以在gophish上獲取，重點(diǎn)關(guān)注點(diǎn)擊率和上報(bào)率
6. 開展培訓(xùn)
對(duì)本次釣魚郵件演練做復(fù)盤，展示上一步中的數(shù)據(jù)，對(duì)員工進(jìn)行信息安全意識(shí)培訓(xùn)
介紹常見的釣魚郵件類型以及該如何防范，收到釣魚郵件后上報(bào)的途徑
7. 重復(fù)
定期開展釣魚郵件測(cè)試，避免長(zhǎng)時(shí)間后員工放低警惕性，對(duì)于入職的新員工，可能缺乏相關(guān)的信息安全意識(shí)培訓(xùn)，通過真實(shí)的演練來提高信息安全意識(shí)
緊跟流行的釣魚郵件攻擊方式
在每次完成測(cè)試后與上一次測(cè)試做對(duì)比，檢驗(yàn)員工的不安全行為是否得到改善?？偨Y(jié)每次存在的不足以及需要改進(jìn)的地方，避免在下一次測(cè)試出現(xiàn)同樣的問題。
網(wǎng)絡(luò)釣魚常見問題以及改進(jìn)
1. 常見問題
過分注重員工的情緒及感受
高層領(lǐng)導(dǎo)是例外
內(nèi)容造成員工不適，被迫中止測(cè)試
認(rèn)為太多的訓(xùn)練使人厭煩
員工直接刪除釣魚郵件
員工可能無法分辨釣魚郵件和正常郵件
員工不知道上報(bào)的途徑(尤其是新員工)
郵件可能會(huì)被自動(dòng)識(shí)別成垃圾郵件，用戶不知道郵件的存在，會(huì)影響測(cè)試范圍。
2. 對(duì)應(yīng)措施
釣魚攻擊回歸現(xiàn)實(shí)，隨著時(shí)間推移來增加釣魚攻擊的“舉重砝碼”，但避免過于個(gè)人的主題。
根據(jù)當(dāng)前釣魚的流行手段來安排釣魚攻擊訓(xùn)練
提供一個(gè)可以報(bào)告可疑郵件的通道。
演練前需要與被測(cè)試部門或事業(yè)部負(fù)責(zé)人進(jìn)行溝通，取得高層的授權(quán)。
在安全意識(shí)課程中加入釣魚郵件現(xiàn)狀以及如何識(shí)別釣魚郵件，強(qiáng)化對(duì)釣魚郵件的認(rèn)知
總結(jié)
我們需要像攻擊者一樣進(jìn)行釣魚攻擊測(cè)試，并根據(jù)當(dāng)前流行的攻擊方式對(duì)員工進(jìn)行測(cè)試，讓員工在測(cè)試中學(xué)會(huì)識(shí)別釣魚攻擊，避免遇到真正的網(wǎng)絡(luò)釣魚時(shí)上當(dāng)受騙，并將釣魚攻擊和社會(huì)工程學(xué)納入安全意識(shí)培訓(xùn)中。在開展釣魚攻擊演練前需要為組織單位設(shè)定合理的目標(biāo)，該如何衡量這個(gè)目標(biāo)。
以上是我對(duì)企業(yè)釣魚郵件演練的一些看法，希望能幫助到正在看這篇文章的你。若你有更好的觀點(diǎn)，可