客户背景
某大型餐饮企业是一家在全国范围内拥有多家连锁店的知名品牌,以优秀的产品和服务质量,严格的质量控制和管理体系,以及开创性的营销策略,赢得了广泛的客户认可和信任。
而餐饮企业往往拥有多个分支机构和门店,员工数量较多且流动性大,二次认证等账号保护手段无法推行,此外员工安全意识薄弱也让攻击者有可乘之机,企业面临较大的安全风险。
使用产品:CACTER邮件安全网关+Coremail反钓鱼演练服务
客户面临痛点、难点
该企业员工人数众多、安全意识薄弱,对黑客伪造的发件人信息和精心设计的内容不熟悉不设防,故而容易被引诱去点击链接或扫码填写信息。
《2022企业邮件钓鱼模拟演练分析报告》中提到:2022年全球仅35%的企业开展了钓鱼模拟演练和安全意识培训,但各行业初次演练平均中招率就可达32.4%。
很多时候,企业在部署安全硬件与软件产品方面往往会花费大量时间和资源,但却忽略了员工安全意识培养的重要性。缺乏有效的培训和教育,员工就难以理解网络安全的重要性,也无法有效地防范钓鱼攻击等威胁。
解决方案:针对员工网络安全教育的反钓鱼演练实践
1、从通用到定制,可选择丰富多彩的演练模板
在挑选反钓鱼演练模板时,应该考虑以下几个方面:
①针对性程度:选择与员工岗位、工作内容、企业实际情况相符合有针对性的模板,比如邮箱密码修改、员工福利、电子发票等主题。
②模板类型:可以根据企业需求,选择适合自己的模板类型,比如基于文本/图片钓鱼、二维码钓鱼、附件钓鱼等。
③模板质量:为了进一步增强钓鱼真实性,不满足于简单的内容修改,还可以选择模板定制服务,量身打造专属钓鱼模板。
总之,在挑选反钓鱼演练模板时,应该综合考虑以上因素,根据企业实际需要做出最佳选择。该企业最后选定【链接钓鱼】,主题为最常见的【邮箱密码修改通知】。
因为旗下员工人数近万人,为了避免同事间进行探讨交流导致真实效果降低,选定钓鱼主题后直接随机发送,一次性对全员进行钓鱼演练。
2、快速上手平台操作,制定有效演练方案
在进行正式的反钓鱼演练之前,管理员通常会先进行几次预备测试,包括选定钓鱼模板、测试人员、模拟发送钓鱼邮件等步骤,一方面是为了帮助管理员快速上手操作,另一方面通过预备测试的结果也可以调整反钓鱼演练的重点和难点,为制定更有效的演练方案提供参考。
该企业也不例外,首次先在安全内部小组尝试发送钓鱼邮件,增强平台操作的熟练度,并且根据平台操作手册和视频讲解的指引,管理员很快便摸透演练平台,准备进行内部全面钓鱼实操。
该企业选择在工作日的下午六点发送钓鱼邮件,在这个时间段,大多数员工已经度过了一整天的疲惫和压力,往往会感到精力不足,注意力难以集中和警惕性降低,更容易被高仿真、沉浸式的钓鱼邮件迷惑。
本次的钓鱼演练的结果也恰好证明了这点:中招率高达到25%,仍然有部分小白员工安全意识低下,在阅读邮件后会做出填写个人信息的高危举动。
3、分析报告数据,培养员工安全意识
在进行完钓鱼演练后,及时对演练报告进行分析是必不可少的一环节,管理员可以直接从平台导出已完成的演练报告,从多个维度分析用户演练结果,用户行为趋势一目了然。不仅可以做到高效同步测试结果,也有利于管理员对数据的洞察和后续改进措施的实施。
培养员工的安全意识也是企业安全战略中不可或缺的一部分,通过投资时间和资源进行员工安全培训,可帮助企业锁定其安全防线,并更好地保护组织免受黑客和网络攻击的威胁。
该企业也深谙这一道理,通过管理员社区上的相关安全资料,对旗下员工定期进行培训,提升安全防护意识,对网络威胁和钓鱼邮件时刻保持警惕性。
Coremail也将不遗余力地继续保护客户免受各种网络攻击和威胁,持续投入更多精力和资源,在技术、产品、人员、流程等方面进行不断创新和优化,为客户提供持久的安全保障,创造更加安全的未来。
标签:反钓鱼,钓鱼,员工,邮件,陷阱,演练,模板 From: https://blog.51cto.com/u_15154576/6516857