網(wǎng)絡(luò)釣魚能成功，很大責(zé)任在用戶本身。

[[255932]]

網(wǎng)絡(luò)釣魚沒有得到安全界的足夠重視。網(wǎng)絡(luò)釣魚不會登上媒體頭條，安全人員不會撥冗專門調(diào)查網(wǎng)絡(luò)釣魚。誠然，席卷全球的高影響力惡意軟件變種能夠收獲自己超酷的標(biāo)志和朗朗上口的昵稱，贏得安全界的重視。但最終，網(wǎng)絡(luò)釣魚攻擊才是真正讓大多數(shù)公司企業(yè)向網(wǎng)絡(luò)黑手低頭的源頭，是絕大多數(shù)災(zāi)難性網(wǎng)絡(luò)攻擊的起點。

從滲透測試及社會工程師的經(jīng)驗看，大多數(shù)客戶都將網(wǎng)絡(luò)釣魚活動處理視為一年只需要走一次的過場，少數(shù)高績效企業(yè)會多加點兒計算機培訓(xùn)。大多數(shù)情況下，此類測試不過是美國聯(lián)邦風(fēng)險與授權(quán)管理計劃(FedRAMP)之類年度合規(guī)測試中的一個必要部分。也就是說，企業(yè)實際上自上次審計之后就再沒測試過自己的網(wǎng)絡(luò)釣魚防御措施。但數(shù)字說明一切：90%的數(shù)據(jù)泄露始于網(wǎng)絡(luò)釣魚。網(wǎng)絡(luò)釣魚是每家公司面臨的可怕威脅，公司的網(wǎng)絡(luò)安全策略卻對之處理不足。

安全人員常會被問到：“網(wǎng)絡(luò)釣魚的可接受防護失敗率設(shè)為多少比較合適?”(FedRAMP和其他認(rèn)證也處理可接受失敗率。)多年來，普遍看法和某些專業(yè)指南認(rèn)為低于10%就不為過。但這種認(rèn)知是誤導(dǎo)性的，無論初衷多好，很多業(yè)界專家和咨詢機構(gòu)給出的實際上是類似的不當(dāng)(也可以說是“過時”)指導(dǎo)。

InfosecIsland對部分財富500強企業(yè)和獨資公司這3年來所承受的網(wǎng)絡(luò)釣魚攻擊行動做了數(shù)據(jù)收集，有一個指標(biāo)最為突出：62.5%的被侵入率。調(diào)查對象包括100多家自認(rèn)為擁有“優(yōu)異”網(wǎng)絡(luò)釣魚項目的公司——一年一次網(wǎng)絡(luò)釣魚防護活動，年復(fù)一年相對什么也沒做。雖然網(wǎng)絡(luò)釣魚測試項目的質(zhì)量千差萬別，重要的事實是：一旦某員工點擊網(wǎng)絡(luò)釣魚郵件鏈接(數(shù)據(jù)顯示平均點擊概率26.2%)，該員工就有62.5%的概率去下載可致自身主機被攻擊者控制的惡意軟件，或者共享出自身賬戶的有效憑證。一定程度上防止網(wǎng)絡(luò)釣魚的安全措施不是沒有，但數(shù)據(jù)指標(biāo)已經(jīng)很清晰了——即便攻擊者沒有入侵你的主機，活躍用戶名/口令對也有一半以上的概率落入惡意黑客之手。

這些數(shù)據(jù)已給公司企業(yè)敲響警鐘。再用“過時”的10%網(wǎng)絡(luò)釣魚鏈接點擊容忍率，就有6%的數(shù)據(jù)泄露概率。以擁有5萬員工的大企業(yè)為例。26.2%的點擊率意味著1.31萬次網(wǎng)絡(luò)釣魚鏈接點擊。如果該公司落入“平均”中招率(62.5%)，那就是8,187次被黑客侵入。即便該公司按“過時”建議秉持10%的“行業(yè)標(biāo)準(zhǔn)”釣魚鏈接點擊容忍率，那也是3,125次入侵。

公司企業(yè)應(yīng)努力爭取零點擊。雖然看起來似乎難以達(dá)到，但人類向來會為接近目標(biāo)而自滿：10%的容忍率目標(biāo)往往意味著12%，2%的容忍目標(biāo)最后會變成5%，而在62.5%的點擊后中招率面前，2%的容忍率目標(biāo)依然會將企業(yè)網(wǎng)絡(luò)暴露在不可接受的風(fēng)險之中。假設(shè)不僅釣鯨活動是重大數(shù)據(jù)泄露的入口，而是每一次點擊都有可能帶來泄露風(fēng)險，業(yè)界應(yīng)大聲呼吁“零容忍”?？山邮茱L(fēng)險的提法應(yīng)就此終結(jié)。

生產(chǎn)生活中不可能剔除人的元素及其帶來的風(fēng)險。只要還有人參與其中，失誤和問題就免不了。但通過設(shè)置更為雄心勃勃的目標(biāo)并大力提升網(wǎng)絡(luò)釣魚測試項目效能來培訓(xùn)員工，為員工的每一次改善投以獎勵，激勵他們?nèi)プ稣_的事，展示“良好”行為的樣貌，公司企業(yè)是可以設(shè)立并實現(xiàn)更激進的目標(biāo)以更好地保護自身的。

雖然網(wǎng)絡(luò)釣魚如今不是最有趣最吸睛的網(wǎng)絡(luò)新聞話題，但每家公司企業(yè)在考慮網(wǎng)絡(luò)安全相關(guān)問題時不能回避網(wǎng)絡(luò)釣魚，應(yīng)將其列為頭等問題考量。對網(wǎng)絡(luò)釣魚的認(rèn)知應(yīng)切換到“零容忍”概念，若非如此，網(wǎng)絡(luò)釣魚的成功率仍會高到令人吃驚。是用戶的容忍，放縱了企業(yè)網(wǎng)絡(luò)門戶洞開。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文