首页 > 信息安全 > 正文

网络钓鱼测试:打造人类防火墙

2017-11-29 09:59:50  来源:51CTO

摘要:网络钓鱼已成全球企业的主要威胁,令人毛骨悚然的是,所有迹象都表明,网络钓鱼攻击越来越普遍了。Webroot表示,每个月都有近150万个新的网络钓鱼登录页面被创建。为什么网络钓鱼如此流行?
关键词: 防火墙
\

  网络钓鱼,是发送非法电子邮件引诱终端用户做出响应的一种操作——无论用户的响应是点击可致恶意软件感染的链接,还是拱手交出平时不太可能告诉别人的口令之类敏感信息。
 
  令人毛骨悚然的是,所有迹象都表明,网络钓鱼攻击越来越普遍了。Webroot表示,每个月都有近150万个新的网络钓鱼登录页面被创建。为什么网络钓鱼如此流行?原因有以下几点:
 
  首先,这种操作成本非常低。发送电子邮件基本上是免费的,只需要花点时间编写下内容即可。不仅如此,电子邮件账户简直无处不在。人们通常至少有2-3个电子邮件账户,比如私人电子邮件账户、公司电子邮件账户、社交媒体账户等。这些账户可以从多台设备访问,智能手机、平板电脑,还有其他个人和公司设备都可以。
 
  于是,想要展开网络钓鱼攻击的坏人,用一封邮件,就可以染指多台设备;而如果向同一个人的多个电子邮件账户发起网络钓鱼尝试,攻击者的战果甚至还能更丰富些。重大网络安全事件的根源,就是那小小不言的一次错误点击。
 
  网络钓鱼测试是什么?
 
  网络钓鱼测试或许是公司企业可采取的最有效网络防护措施之一了。
 
  网络钓鱼测试,就是创建一封虚假网络钓鱼邮件,然后发送给指定用户组。用户收到该邮件时,可以像平时对待普通邮件那样处理。但当他们点击了邮件中的链接,就会被重定向到某种形式的登录页面。
 
  取决于测试的目标,该页面可以是常见的“404错误”网页(如果你不希望用户知道自己在被测试的话),也可以是网络钓鱼和其他安全威胁的普及教育页面,帮助员工树立起更强的安全意识。有关该邮件的数据,比如谁收到了邮件、谁点击了里面的链接等等,也同时被收集起来用以后续分析。
 
  通常,公司管理层会与IT顾问一起审阅测试结果,讨论怎样提升安全意识,或者,有必要的话,打造更健壮的安全态势。
 
  为从网络钓鱼测试中收获更多价值,最好每年多进行几次测试,定期向用户发送不同类型的电子邮件。这些邮件的内容应多种多样,且因受众而异。
 
  比如说,医疗系统中工作的员工,就应该至少接受一次看起来与医疗行业问题相关的网络钓鱼测试。基本上,要夯实安全意识,就得让这些测试更具欺骗性。换句话说,如果你能教会用户识别没那么容易认出的虚假网络钓鱼邮件,他们就更有可能避免被真实攻击钓上。
 
  另外,建议区分用户,因材施教。对在识别网络钓鱼邮件上有困难的用户,增加额外的定制培训。某些用户在网络钓鱼测试中接受经验教训很快,初始测试过后就大幅降低了钓鱼链接点击率,但有些用户难免会困难些。
 
  这种有区别的处理方式,可以让防骗教育接受有困难的用户,在将来树立起更好的安全意识,降低他们的风险。
 
  我的公司也需要进行网络钓鱼测试?
 
  大多数情况下,是的——你的公司需要这么做。不仅仅是某些合规标准要求安全意识培训,有时候甚至特别指定了网络钓鱼测试;而且大多数员工并未准备好应对及识别网络钓鱼,也是个非常明显的外部威胁。
 
  网络钓鱼诈骗瞄准的是终端用户的疏忽大意,鉴于此攻击的广泛性,某人防范意识缺乏而掉坑造成严重影响的情况,真的仅仅是个概率问题。只要你指望自己的员工经常通过电子邮件来做业务,你就能感受到这一威胁给你的公司风险管理带来的巨大挑战。
 
  一次重大网络安全事件,比如勒索软件攻击,给公司带来的损失,远比受控网络钓鱼测试和网络安全意识培训项目的开销要大得多。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lixiaojiao

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。