一、 群智集锦
问:请教各位师傅个问题,你们多长时间做一次钓鱼演练?
答:全员型的半年一次,小范围的一个季度一次;
答:我们内部每月都有做钓鱼演练,主要针对新员工,钓鱼主题一般不改变,针对全员的时候会换一下套路;
问:请教个问题,大家进行钓鱼演练统计是怎么统计展示的,现在有个问题,不同的部门人数不一样,如果单纯以点击率,填写率搞,会存在偏颇,相关部门可能会对于排名有意见。
答:可以设置每个部门抽取一样的百分比参与钓鱼,然后再以此基数算点击和输入密码的占比;
答:每个部门抽多少人不是目地,目地是通过这种钓鱼邮件来说明问题,让领导和同事知道公司员工存在信息安全意识薄弱的情况,后续怎么提升和避免。说白了一次演练中没中招的人,不代表下次真的钓鱼邮件就不会中;
答:大部门可以抽检,小部门全覆盖就行了;
问:各家钓鱼演练的点击率以及中招率大概多少?
答:点击率30% 填写率10%,因为我们不是所有用户都有邮箱的,而且我们还规避了高层领导;
答:总体点击率 10%左右,细分看点击率和钓鱼用的范本有关,比如股权激励型、高温补贴型、学习考试型会更高点;
答:之前调研,各家都在10%左右;涉及绩效考核的模板能干到30%。如果公司内部折扣活动的,能更高。互联网公司演练间隔周期长的话,基本这个数不会有大变动。
答:中招率跟钓鱼邮件主题关系很大。比如跟实事、福利相关的,中招率就很高,跟异地登录、改密码之类,中招率就很低,这个数据就是可控的。
问:有啥好的邮件钓鱼演练文案么?
答:脉脉员工认证通知邮件、福利下发邮件、内部行政类登记调研邮件(例如:文化衫、生日礼物等)、账号异常及到期通知、软件客户端升级通知等;
二、职场洞见
2.1 钓鱼演练的目的
模拟攻击者真实的钓鱼攻击,验证企业内部员工的安全意识是否达标,验证安全防御策略是否有效。为了达到目的,一般企业会通过自发性的钓鱼演练来验证成果;也有通过购买第三方的红蓝对抗服务,来全面的考察企业的防御能力。
2.2 钓鱼演练的开展现状
1、大部分企业对于信息安全建设不重视,企业员工安全意识薄弱,开展钓鱼演练的意向和次数有限;
2、建议企业每年至少举行2-4次的钓鱼演练,以半年度或季度的时间维度开展;
如上图片数据来源:《2022企业邮件钓鱼模拟演练分析报告》
三、钓鱼演练准备工作
更多钓鱼邮件剧本详情,可参考如下内容:
https://help.aliyun.com/document_detail/608111.html
https://www.cacter.com/research/609
https://github.com/yingshang/CybersecurityNote/tree/master/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6/%E7%BD%91%E7%BB%9C%E9%92%93%E9%B1%BC
四、钓鱼演练复盘总结
演练指标统计说明:点击访问率、信息填写率、附件下载率、附件安装率、主动反馈率、各部门中招占比等等;
演练差距分析:分析实际演练效果和预期差距,以及导致差距产生的原因;
历史演练数据对比:与往期钓鱼演练数据进行对比,分析数据差异的原因,以及可优化的点;
五、钓鱼演练后续工作
常规安全意识培训考核
安全意识培训和考核关键指标:参与率、完成率、通过率;
培训模式:一般分为线下模式和线上模式两种;
(1)线下模式,又分为定向群体安全意识培训(校招生、新入职人员等)和全员安全意识培训。定向群体的安全意识培训取决于人员入职的数量(例:新入职人员大于50人,且处于试用期内),全员安全意识培训可一年一次,具体根据每家公司的实际情况决定;
(2)线上模式,可提前录制好教学视频,放置到内部企业学习平台,根据需求推送培训通知和学习链接到目标;
培训考核:一般可以选择题、判断题的方式呈现,让员工加深对钓鱼攻击方式方法的了解,提升个人安全意识;
常态化演练
不定期针对特定人群,例如新入职员工群体。可以设置策略为:一旦入职1个月,自动化推送钓鱼邮件,锻炼并提升这部分员工的安全意识。
邮件安全防护
邮件安全网关具备一定的能力来拦截钓鱼邮件,一些云企业邮箱默认具备类似邮件安全网关的能力。
购买使用此类服务及产品时,我们应关注包括但不限于如下的能力项:
拦截垃圾邮件
检测钓鱼邮件的能力
邮件DLP(数据防泄漏)能力
威胁情报能力
邮件安全策略配置
自动化处置钓鱼邮件流程
可以通过SOAR一类的自动化安全编排工具或者其他workflow类的工具完成自动化的钓鱼邮件应急处置。