什么是网络钓鱼模拟?
标签
Security
2023 年 8 月 9 日
阅读时长 5 分钟

网络钓鱼模拟是一种网络安全演习,用于测试组织识别和应对网络钓鱼攻击的能力。

网络钓鱼攻击是一种欺诈性电子邮件、文本或语音消息,旨在诱骗人们下载恶意软件(例如勒索软件)、泄露敏感信息(例如用户名、密码或信用卡详细信息)或向不法分子汇款。

在模拟网络钓鱼过程中,员工会收到模仿真实世界网络钓鱼尝试的模拟网络钓鱼电子邮件(或短信或电话)。这些信息采用相同的社会工程学策略(例如,冒充收件人认识或信任的人,制造紧迫感)来赢得收件人的信任,并操纵他们采取不明智的行动。唯一的区别是,上当受骗的收件人(例如,点击恶意链接、下载恶意附件、在欺诈性登陆页面输入信息或处理虚假发票)根本无法通过测试,不会对组织造成不利影响。

在某些情况下,点击模拟恶意链接的员工会被带到一个登录页面,这表明他们已成为模拟网络钓鱼攻击的受害者,其中包含有关如何在未来更好地发现网络钓鱼诈骗和其他网络攻击的信息。模拟之后,组织还会收到有关员工点击率的指标,并且通常会进行额外的网络钓鱼意识培训。

为什么模拟网络钓鱼很重要

最近的统计数据显示,网络钓鱼威胁持续上升。自 2019 年以来,网络钓鱼攻击的数量每年增长 150%,反网络钓鱼工作组 (APWG) 报告称,2022 年的网络钓鱼数量创下历史新高,记录了超过 470 万个网络钓鱼网站。据 Proofpoint 称,2022 年 84% 的组织至少经历过一次成功的网络钓鱼攻击

由于即使是最好的电子邮件网关和安全工具也无法保护组织免受所有网络钓鱼活动的侵害,因此组织越来越多地转向网络钓鱼模拟。精心设计的网络钓鱼模拟以两种重要方式帮助减轻网络钓鱼攻击的影响。模拟为信息安全团队提供了教育员工更好地识别和避免现实生活中的网络钓鱼攻击所需的信息。它们还可以帮助安全团队查明漏洞、改善整体事件响应并降低成功的网络钓鱼尝试造成的数据泄露和财务损失的风险。

网络钓鱼模拟如何运作?

网络钓鱼测试通常是由 IT 部门或安全团队负责的较广泛的安全意识培训的一部分。

该过程通常包括五个步骤:

  1. 规划:企业首先要确定目标和范围,决定使用哪种类型的网络钓鱼电子邮件以及模拟的频率。他们还确定目标受众,包括对特定群体或部门进行细分,通常还包括高管。
  2. 起草:在制定计划后,安全团队通常会仿照暗网上的网络钓鱼模板和网络钓鱼工具包,创建与真实网络钓鱼威胁非常相似的真实模拟网络钓鱼电子邮件。他们密切关注主题行、发件人地址和内容等细节,以制作逼真的网络钓鱼模拟。它们还包括社会工程策略,甚至冒充(或“欺骗”)高管或同事作为发件人,以增加员工点击电子邮件的可能性。
  3. 发送:在最终确定内容后,IT团队或外部供应商会通过安全方式将模拟网络钓鱼电子邮件发送给目标受众,同时考虑到隐私。
  4. 监控:发送模拟恶意电子邮件后,领导者要密切跟踪并记录员工与模拟电子邮件的互动情况,监控他们是否点击链接、下载附件或提供敏感信息。
  5. 分析:网络钓鱼测试结束后,IT 领导者会分析模拟测试的数据,以确定点击率和安全漏洞等趋势。之后,他们通过即时反馈跟进模拟失败的员工,解释他们如何正确识别网络钓鱼企图以及如何避免将来的真正攻击。

完成这些步骤后,许多组织会编制一份综合报告,总结模拟网络钓鱼的结果,分享给相关利益方。一些组织还利用这些洞察分析来改进安全意识培训,然后定期重复该过程,以提高网络安全意识,并提前采取行动来防范不断变化的网络威胁。

网络钓鱼模拟的注意事项

在开展网络钓鱼模拟活动时,组织应考虑以下几点。

  • 测试的频率和种类:许多专家建议全年定期使用不同类型的网络钓鱼技术进行网络钓鱼模拟。这种频率和种类的增加有助于加强网络安全意识,同时确保所有员工对不断演变的网络钓鱼威胁保持警惕。
  • 内容和方法:在内容方面,组织应开发与真实网络钓鱼尝试类似的模拟网络钓鱼电子邮件。一种方法是使用以流行的网络钓鱼攻击类型为模型的网络钓鱼模板来瞄准员工。例如,模板可能侧重于商业电子邮件泄露 (BEC),也称为 CEO 欺诈,这是一种网络钓鱼,其中网络犯罪分子模仿来自组织一位 C 级高管的电子邮件,诱骗员工发布敏感信息或向所谓的供应商汇出大笔资金。就像发起现实生活中的 BEC 诈骗的网络犯罪分子一样,设计模拟的安全团队必须仔细研究发件人和收件人,以确保电子邮件可信。
  • 时机:企业进行网络钓鱼模拟的理想时机仍是一个争论不休的问题。有些人喜欢在员工完成任何网络钓鱼意识培训之前部署网络钓鱼测试,以建立基准并衡量未来网络钓鱼模拟解决方案的效率。其他人则喜欢等到网络钓鱼意识培训结束后来测试该模块的有效性,看看员工是否正确报告了网络钓鱼事件。组织决定运行网络钓鱼模拟的时间取决于其需求和优先级。
  • 教育跟进:无论组织何时决定进行网络钓鱼测试,它通常都是更大、更全面的安全意识培训计划的一部分。后续培训可以帮助未通过测试的员工感受到支持而不是被欺骗,并提供相关知识和激励措施,以便将来识别可疑电子邮件或真实攻击。
  • 进度和趋势跟踪:在模拟之后,组织应测量和分析每次网络钓鱼模拟测试的结果。这样可以确定需要改进的领域,包括可能需要额外培训的特定员工。安全团队还应了解最新的网络钓鱼趋势和策略,以便下次运行网络钓鱼模拟时,可以用最相关的真实威胁来测试员工。
在抵御网络钓鱼攻击方面获得更多帮助

网络钓鱼模拟和安全意识培训是重要的预防措施,但安全团队还需要最先进的威胁检测和响应能力,以减轻成功的网络钓鱼活动的影响。

 
作者
Annie Badman Writer

了解有关 IBM QRadar SIEM 的更多信息