網(wǎng)絡(luò)釣魚模擬，或所謂的網(wǎng)絡(luò)釣魚滲透測(cè)試已成為各種規(guī)模組織的網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃的一個(gè)流行功能。其方式大致如下：執(zhí)行網(wǎng)絡(luò)釣魚測(cè)試的安全人員制作并向員工發(fā)送電子郵件，這些電子郵件看上去跟真正的惡意網(wǎng)絡(luò)釣魚電子郵件極為相似和“誘人”，其中通常包括一些讓員工上當(dāng)?shù)?ldquo;誘餌信息”，例如錯(cuò)過交貨通知、發(fā)票付款請(qǐng)求和名人(包括管理層)八卦消息之類。

在安全團(tuán)隊(duì)的控制下，員工對(duì)這些“釣魚”電子郵件的回復(fù)可以被監(jiān)測(cè)、量化并用于確定(至少在一定程度上)組織內(nèi)員工的安全意識(shí)水平。

[[402585]]

員工打開了多少附件或點(diǎn)擊了多少鏈接?有多少電子郵件被標(biāo)記為可疑或完全被忽略?與其他主題相比，哪些主題的誘餌最有影響力?哪些部門或用戶更有可能成為受害者?這些數(shù)據(jù)可以幫助安全部門更好地定制網(wǎng)絡(luò)安全意識(shí)培訓(xùn)和教育計(jì)劃，并確定需要解決的潛在人員和流程漏洞。

但是，值得注意的是，如果不能遵循必要的原則和最佳實(shí)踐，網(wǎng)絡(luò)釣魚測(cè)試往往會(huì)引發(fā)道德問題，甚至企業(yè)員工的反感和抗議，導(dǎo)致安全意識(shí)計(jì)劃受挫。

一個(gè)最典型的案例就是英格蘭西米德蘭茲郡的一家鐵路公司W(wǎng)est Midlands Trains(WMT) ，該公司最近在對(duì)其員工進(jìn)行的網(wǎng)絡(luò)釣魚測(cè)試中，使用的主題(誘餌)引起了廣泛爭(zhēng)議。

該鐵路公司的員工收到了一封看似來(lái)自財(cái)務(wù)和人力資源部門的電子郵件，被告知他們將收到獎(jiǎng)金，以感謝他們?cè)谛鹿诓《敬罅餍衅陂g所做的努力，并鼓勵(lì)收件人點(diǎn)擊“來(lái)自WMT董事總經(jīng)理的個(gè)人消息”——一個(gè)Microsoft Office 365鏈接。實(shí)際上，該鏈接指向一個(gè)Sharepoint網(wǎng)站，其中包含由微軟設(shè)置的模擬網(wǎng)絡(luò)釣魚練習(xí)，點(diǎn)擊該鏈接的人會(huì)收到來(lái)自公司人力資源團(tuán)隊(duì)的安全提示電子郵件，建議他們留意那些要求提供賬戶密碼的的電子郵件，當(dāng)然，所謂的獎(jiǎng)金也是子虛烏有。

顯然，盡管用金錢獎(jiǎng)勵(lì)作為誘餌是網(wǎng)絡(luò)犯罪分子的慣用欺詐手段，但是在網(wǎng)絡(luò)釣魚測(cè)試中使用這種策略容易引發(fā)道德問題的爭(zhēng)議和員工的反感。

那么，網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)該采取哪些措施來(lái)確保網(wǎng)絡(luò)釣魚測(cè)試成為對(duì)各方有用、有效和有益的網(wǎng)絡(luò)安全培訓(xùn)和教育活動(dòng)，而不是弊大于利的風(fēng)險(xiǎn)?

Cygenta聯(lián)合首席執(zhí)行官兼聯(lián)合創(chuàng)始人、社會(huì)技術(shù)負(fù)責(zé)人杰西卡·巴克(Jessica Barker)博士指出：“當(dāng)涉及網(wǎng)絡(luò)釣魚測(cè)試場(chǎng)景時(shí)，組織應(yīng)該在道德界限內(nèi)運(yùn)作，因?yàn)檫^度進(jìn)行網(wǎng)絡(luò)釣魚模擬可能會(huì)造成傷害。使用高度情緒化的誘餌，例如獎(jiǎng)金和醫(yī)療服務(wù)——尤其是在新冠疫情的背景下，會(huì)影響接受者的情緒健康，這反過來(lái)又會(huì)損害工作場(chǎng)所的心理安全、信任和文化。”

Barker補(bǔ)充說，這只會(huì)破壞整個(gè)網(wǎng)絡(luò)安全團(tuán)隊(duì)的努力，疏遠(yuǎn)他們與企業(yè)員工的距離。企業(yè)應(yīng)當(dāng)慎重選擇電子郵件模版，以免給某些情緒低落的員工造成心理問題。

DigitalXRAID首席執(zhí)行官Rick Jones指出：“即使是像REvil這樣的一些犯罪團(tuán)伙也在推動(dòng)某些標(biāo)準(zhǔn)，例如它現(xiàn)在禁止人們使用其SaaS勒索軟件來(lái)攻擊政府、公共、醫(yī)療或教育機(jī)構(gòu)。進(jìn)行網(wǎng)絡(luò)釣魚模擬的安全團(tuán)隊(duì)與真實(shí)的犯罪團(tuán)伙具有相同的技能，但他們又必須遵守一定的標(biāo)準(zhǔn)和道德規(guī)范。”

以下是專家們強(qiáng)調(diào)的網(wǎng)絡(luò)釣魚測(cè)試最佳實(shí)踐的5個(gè)注意事項(xiàng)：

1. 了解網(wǎng)絡(luò)釣魚測(cè)試的目標(biāo)

Barker認(rèn)為，籌備合乎道德又富有成效的網(wǎng)絡(luò)釣魚模擬的關(guān)鍵是了解網(wǎng)絡(luò)釣魚測(cè)試的目標(biāo)。“網(wǎng)絡(luò)釣魚模擬的設(shè)計(jì)階段的關(guān)鍵是考慮為什么要計(jì)劃測(cè)試。如果您將網(wǎng)絡(luò)釣魚模擬視為‘陷阱’練習(xí)，我建議您退后一步并反思一下，因?yàn)檫@不是培訓(xùn)，這是一個(gè)技巧。如果您將測(cè)試視為訓(xùn)練，那么您想訓(xùn)練什么行為?”

組織必須明白，網(wǎng)絡(luò)釣魚測(cè)試場(chǎng)景的目的是建立對(duì)網(wǎng)絡(luò)釣魚電子郵件外觀的基本了解，并讓用戶對(duì)他們發(fā)現(xiàn)釣魚活動(dòng)的能力充滿信心。

Barker博士強(qiáng)調(diào)：

“更高效的網(wǎng)絡(luò)釣魚測(cè)試，其重點(diǎn)不應(yīng)該是降低點(diǎn)擊率，而是提高報(bào)告率，太多的網(wǎng)絡(luò)釣魚模擬仍然關(guān)注點(diǎn)擊率。”巴克繼續(xù)說道。“人們總是會(huì)點(diǎn)擊鏈接，尤其是在精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚中。對(duì)于更有效的網(wǎng)絡(luò)釣魚測(cè)試，重點(diǎn)不應(yīng)放在降低點(diǎn)擊率上，而應(yīng)在提高報(bào)告率上。歸根結(jié)底，正確進(jìn)行網(wǎng)絡(luò)釣魚模擬完全是為了了解組織環(huán)境并尊重它。”

2. 通過溝通建立信任

Blythe認(rèn)為，透明度是網(wǎng)絡(luò)釣魚測(cè)試的下一個(gè)關(guān)鍵要素。“組織需要對(duì)其員工持開放態(tài)度，確保他們?cè)谶\(yùn)行模擬網(wǎng)絡(luò)釣魚活動(dòng)時(shí)通知他們，并明確強(qiáng)調(diào)它是一種教育工具。如果沒有建立信任，員工很快就會(huì)變得怨恨，感覺好像他們受到監(jiān)視或等待被‘抓獲’。”

Jones也認(rèn)可這種強(qiáng)調(diào)透明度的做法：“應(yīng)該逐漸向用戶介紹網(wǎng)絡(luò)釣魚的概念，教他們注意什么以及如何應(yīng)對(duì)，”他認(rèn)為。“在這個(gè)過程中建立溝通文化才是重點(diǎn)。”

3. 正面引導(dǎo)、積極強(qiáng)化

正面的，或者說積極強(qiáng)化不僅在網(wǎng)絡(luò)釣魚測(cè)試的短期和長(zhǎng)期有效性方面發(fā)揮著至關(guān)重要的作用，還可以對(duì)組織的測(cè)試方法是否被認(rèn)為符合道德產(chǎn)生重大影響。

例如，與其指責(zé)或懲罰未通過網(wǎng)絡(luò)釣魚測(cè)試的員工(這會(huì)產(chǎn)生消極、抵觸情緒)，而是將更多的注意力放在公開慶祝或鼓勵(lì)員工的正確反應(yīng)和操作。Barker指出：“這種積極的增強(qiáng)作用更具影響力。它借鑒了社會(huì)認(rèn)同的原則，可以更有效地吸引人們參與安全意識(shí)培訓(xùn)活動(dòng)。”

DarkTower的情報(bào)總監(jiān)Gary Warner引用了他擔(dān)任IT主管時(shí)的一個(gè)例子，推薦了一種類似的“只有胡蘿卜沒有大棒”的方法來(lái)模擬網(wǎng)絡(luò)釣魚。“我告訴我的老板，我可以花100美元改善可疑電子郵件的報(bào)告。我拿了我們收到的最新報(bào)告并對(duì)其進(jìn)行了全面分析。然后我在全公司范圍內(nèi)發(fā)了一封電子郵件，內(nèi)容如下：

服務(wù)中心的喬收到一封可疑的電子郵件，看起來(lái)像這樣(插入截圖)。喬知道該怎么做!他將電子郵件轉(zhuǎn)發(fā)至phishing@myoldjob.com。如果喬點(diǎn)擊了該鏈接，他的計(jì)算機(jī)就會(huì)感染XYZ病毒并開始從我們的網(wǎng)絡(luò)中竊取數(shù)據(jù)并將其發(fā)送到俄羅斯!為了感謝喬對(duì)公司的照顧，我們請(qǐng)他吃了一頓牛排大餐。感謝您保護(hù)公司，喬!你見過可疑的電子郵件嗎?請(qǐng)轉(zhuǎn)發(fā)至phishing@myoldjob.com!您也能將公司從毀滅性的網(wǎng)絡(luò)攻擊中拯救出來(lái)，并為自己贏得獎(jiǎng)品!

結(jié)果，上面這封郵件發(fā)出后，報(bào)告率迅猛飆升了大約1000%，而每月的獎(jiǎng)品只花費(fèi)了100美元。”

4. 將網(wǎng)絡(luò)釣魚測(cè)試失敗轉(zhuǎn)化為安全培訓(xùn)契機(jī)

一旦從測(cè)試過程中獲得數(shù)據(jù)，后續(xù)行動(dòng)與測(cè)試的計(jì)劃和實(shí)施階段一樣重要。這時(shí)不僅應(yīng)關(guān)注用戶，還應(yīng)關(guān)注更廣泛的組織部門和人員從模擬結(jié)果中受益。

“這是陳詞濫調(diào)，但數(shù)據(jù)確實(shí)是網(wǎng)絡(luò)安全的王，”Jones指出：“從安全日志或設(shè)備的技術(shù)數(shù)據(jù)到用戶的信息，一切都提供了重要的知識(shí)。員工是企業(yè)的第一道防線，因此決策者必須意識(shí)到他們所帶來(lái)的風(fēng)險(xiǎn)，尤其是成功的網(wǎng)絡(luò)釣魚攻擊可以讓惡意軟件繞過現(xiàn)有的所有其他安全工具。”但是，在與模擬測(cè)試中失敗的員工接觸時(shí)，需要以安全教育和鼓勵(lì)為主而不是責(zé)備。

“當(dāng)人們確實(shí)單擊模擬的網(wǎng)絡(luò)釣魚電子郵件時(shí)，他們應(yīng)該收到及時(shí)，有用的反饋。”Blythe解釋說。這種反饋的內(nèi)容應(yīng)該簡(jiǎn)短且有吸引力，而不是為了獲得最佳結(jié)果而進(jìn)行冗長(zhǎng)的強(qiáng)制性培訓(xùn)或懲罰。“總的來(lái)說，對(duì)人員網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理方法需要更多地利用同理心，”他補(bǔ)充道。“從長(zhǎng)遠(yuǎn)來(lái)看，一種尋求幫助和授權(quán)員工改變行為的，更通情達(dá)理的方法比一味指責(zé)和貶低那些未能通過模擬測(cè)試的人員的方法更有可能取得成功。”

5. 在正確的時(shí)間使用正確的工具

組織必須考慮的最后一個(gè)重要因素是，使用網(wǎng)絡(luò)釣魚測(cè)試工具的最佳時(shí)機(jī)。“在某些情況下，運(yùn)行網(wǎng)絡(luò)釣魚模擬根本沒有幫助，例如當(dāng)企業(yè)內(nèi)部對(duì)網(wǎng)絡(luò)安全產(chǎn)生恐懼文化時(shí)。”Barker建議道：“網(wǎng)絡(luò)釣魚模擬只是一種工具，與所有工具一樣，需要在正確的時(shí)間以正確的方式使用它們。”

Jones說，安全團(tuán)隊(duì)有時(shí)需要考慮使用稍微“溫柔”一些的網(wǎng)絡(luò)釣魚測(cè)試來(lái)提醒或者教育員工識(shí)別真正危險(xiǎn)的網(wǎng)絡(luò)犯罪攻擊。“為了確保員工不會(huì)對(duì)真正的危險(xiǎn)一無(wú)所知，可以就網(wǎng)絡(luò)犯罪分子可能使用的策略進(jìn)行建設(shè)性的討論，而無(wú)需在模擬中讓員工直接接觸這些主題。”

Blythe表示，無(wú)論哪種方式，模擬網(wǎng)絡(luò)釣魚仍然只是培養(yǎng)員工良好安全行為的整體戰(zhàn)略的一部分，明確這一點(diǎn)很重要。“還值得注意的是，網(wǎng)絡(luò)釣魚測(cè)試不是萬(wàn)能的，如果最終目標(biāo)是減少成為網(wǎng)絡(luò)釣魚攻擊受害者的員工數(shù)量，還有其他安全行為需要關(guān)注和解決。”

最終，如果網(wǎng)絡(luò)釣魚測(cè)試的目標(biāo)僅僅是用各種手段誘使用戶點(diǎn)擊，然后發(fā)出警告教訓(xùn)，很可能適得其反，不僅無(wú)法教育用戶面臨網(wǎng)絡(luò)釣魚攻擊的風(fēng)險(xiǎn)，還會(huì)讓他們無(wú)所事事、士氣低落，甚至情緒受到影響。相比之下，如果采用符合道德和同理心的方法，則測(cè)試工作能夠與組織文化保持一致，并得到積極強(qiáng)化和建設(shè)性互動(dòng)的支持，鼓勵(lì)員工實(shí)踐安全行為，隨著時(shí)間的流逝，網(wǎng)絡(luò)釣魚測(cè)試才可能成為推動(dòng)組織提高安全意識(shí)的有效工具。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文