为什么要开展网络钓鱼演练
相信在甲方工作的信息安全工程师都知道,定期对公司员工进行安全意识培训是我们的工作内容之一,目的也很明确,通过安全意识培训来改变员工的不安全行为,降低人的风险。根据网络安全问题起源数据分析,75%的安全事件是由人引起的,很大一部分原因是意识薄弱,弱口令、钓鱼中招等;只有25%是跟技术相关,其中包括系统漏洞、配置缺陷以及业务逻辑缺陷等。
为了更好地认识企业的安全意识成熟程度,钓鱼邮件测试是最好的评估手段,是验证安全意识培训效果最有效的方法之一,尤其是对于刚担任公司的信息安全工程师,开展一次网络钓鱼能更快地认识公司人员的安全意识处于什么阶段,从而有针对性的开展安全意识培训。不试不知道,一试吓一跳。
网络钓鱼那些事
网络钓鱼现状
在如今的互联网环境中,网络钓鱼是个人、组织所面临较大的安全威胁,员工被“钓鱼”是不同规模组织的一大风险,因为对手会用恶意邮件和网站对用户实施攻击。
1、根据纵横随心邮与360行业安全研究中心的联合监测评估,2019年全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封。全球每天大约有3000亿封电子邮件被发送,其中90%是垃圾邮件和病毒邮件
2、超过90%的黑客攻击和数据泄露源于网络钓鱼诈骗,已报告商业电子邮件欺诈(BEC)损失了超过125亿美元,但已报告的网络 犯罪数量仅占实际犯罪总数的10%至12%。
常见网络钓鱼攻击类型
-
CEO欺诈或商务邮件欺诈(BEC)——假装公司的CEO或其他高管,向级别较低的员工(通常是会计或财务部门的员工)发送电子邮件,这些电子邮件的目的是获取商业机密信息或让受害者将资金转移到一个虚假账户。
-
克隆网络钓鱼——利用受害者已经收到的合法信息,仿真创建一个恶意脚本,再以上一封电子邮件的链接有问题为由,要重新发送原始邮件,来诱导用户点击克隆的钓鱼邮件。
-
域欺骗(Pharming)——伪造一个新的电子邮件头,使它看起来像是来自一家合法公司的电子邮件地址。或者创建一个欺诈网站,让它的域名看上去是合法的或与合法公司的域名相似。
-
鱼叉式网络钓鱼(Spear phishing )——使用社交工程策略定制个性化电子邮件,发送给组织内的特定个人。攻击者会使用电子邮件主题作为受害者感兴趣的主题,以欺骗他们打开邮件并点击链接或附件。
-
水坑攻击(Watering Hole)——攻击公司杨红经常访问的网站,感染其中一个网站并植入恶意软件。当你或你的员工访问该网站时,电脑会自动装载恶意软件,这样攻击者就能访问你的网络、服务器和敏感信息。
-
鲸钓攻击(Whaling Attack)——是鱼叉式钓鱼的一种,与CEO欺诈相反。攻击者的目的是高层管理人员,如CEO、CFO等,其目的是诱导高管输入敏感信息和公司数据。
常见网络钓鱼攻击主题
-
财务类主题
-
IT通知类主题
-
司法机关类诈骗
-
商业电子诈骗
网络钓鱼危害
-
针对个人的网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人材料。欺诈者通常会将自己伪装成网络银行、在线商城、快递等可信品牌,骗取用户的私人信息。
-
针对企业网络钓鱼(phshng)是在网络上盗窃身份的一种形式,它使用诱骗性的电子邮件和欺骗性质的网站来引诱人们泄露公司内部系统的账号和密码,公司的账户和密码,影响公司估值的CEO/CFO的个人信息,邮箱账号、密码等。盗取用户资金、勒索公司,使公司蒙受经济损失,上市公司还是影响股价。
网络钓鱼演练目的
合规驱动
-
《网络安全法》-第三十四条(二)规定,定期对从业人员进行网络安全教育、技术培训和技能考核。
-
《等保2.0》-6/7/8/9.1.7.3:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
-
《关基安全保护条例》-第二十七条:运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
提升信息安全意识
-
识别与排列人为风险优先级,从而有针对性地对症下药
-
改变员工的不安全行为
-
降低人为风险
-
提升安全意识成熟度
开展网络钓鱼步骤
网络钓鱼系统技术实现
钓鱼邮件演练技术支持包括企业内部人员和外部供应商,以下对两者的优劣性做对比
公司内部人员
优点:对公司的公司文化、信息安全成熟度更加了解,对不同的人员发送针对性的钓鱼邮件主题。成本低,重复利用率高,在一定程度上能提升安全人员的技术能力。
缺点:需要有一定技术能力的技术人员,包括钓鱼邮件系统环境部署、前端页面开发、数据汇总等能力。周期较长,内容效果难以保证。
外部供应商
优点:能实现一定程度的定制化,在技术能力、行业前瞻性具有相当大的优势,提供有保证的技术支持。
缺点:成本高,缺乏对企业特定威胁、岗位特点的深入理解;钓鱼邮件系统重复利用率低,更换供应商后原来的旧系统可能不适用
综上所述,可以基于过往演练效果、需求匹配度、交付与管理等方面综合考虑,外部供应商选择比较多,这里不展开阐述。若公司内部人员来实现,推荐一款钓鱼邮件平台采用开源系统gophish,前端页面使用HTML+CSS+JavaScript等,效果非常不错,易上手,0元玩转钓鱼邮件,这是老板最想要的,免费且好用。附上GitHub地址:
https://github.com/gophish/gophish
设定邮件主题
-
冒充公司IT或行政部门发送钓鱼邮件,面对对象:全员。
-
伪装供应商、客户发送钓鱼邮件,面对对象:采购、销售、行政。
-
伪造面试候选人发送钓鱼邮件,面对对象:财务、法务、HR。
无论选择哪个作为测试对象,都需要得到高层的同意。
设定难度
-
一级钓鱼攻击——有很多指标可以很容易识别出是“钓鱼邮件”
-
二级钓鱼攻击——基于公司信息或个人信息的邮件
-
三级钓鱼攻击——有指向性、针对性的钓鱼攻击
-
四级钓鱼攻击或鱼叉式钓鱼攻击——具备个性化信息、商标、无拼写错误等特征。
在企业开展演练时,需要注意以下几点:
- 不能冒充公检法相关监管单位,包括logo、电话、工作人员真实信息等
- 内容需要合规。邮件正文中不能发布、传播反党反社会舆论;不得侵犯商业秘密;不得非法获取国家秘密;不得侵犯公民个人信息。
- 不能对公司现有系统造成损害,以此来窃取公司商业机密
话术
发起钓鱼邮件测试后,会收到员工的上报,我们需要统一话术,避免提前露馅,如
“感谢您的反馈,我们先确认下该邮件是否为钓鱼邮件,确认前请不要做任何操作,确认后会第一时间通知您,谢谢。”
追踪与统计
-
点击人数
-
报告钓鱼邮件攻击的人数
-
点击却未报告的人数
-
点击并报告的人数
-
未点击也未报告的人数
-
未点击却报告的人数
以上数据可以在gophish上获取,重点关注点击率和上报率
开展培训
-
对本次钓鱼邮件演练做复盘,展示上一步中的数据,对员工进行信息安全意识培训
-
介绍常见的钓鱼邮件类型以及该如何防范,收到钓鱼邮件后上报的途径
重复
-
定期开展钓鱼邮件测试,避免长时间后员工放低警惕性,对于入职的新员工,可能缺乏相关的信息安全意识培训,通过真实的演练来提高信息安全意识
-
紧跟流行的钓鱼邮件攻击方式
-
在每次完成测试后与上一次测试做对比,检验员工的不安全行为是否得到改善。总结每次存在的不足以及需要改进的地方,避免在下一次测试出现同样的问题。
网络钓鱼常见问题以及改进
常见问题
-
过分注重员工的情绪及感受
-
高层领导是例外
-
内容造成员工不适,被迫中止测试
-
认为太多的训练使人厌烦
-
员工直接删除钓鱼邮件
-
员工可能无法分辨钓鱼邮件和正常邮件
-
员工不知道上报的途径(尤其是新员工)
-
邮件可能会被自动识别成垃圾邮件,用户不知道邮件的存在,会影响测试范围。
对应措施
-
钓鱼攻击回归现实,随着时间推移来增加钓鱼攻击的“举重砝码”,但避免过于个人的主题。
-
根据当前钓鱼的流行手段来安排钓鱼攻击训练
-
提供一个可以报告可疑邮件的通道。
-
演练前需要与被测试部门或事业部负责人进行沟通,取得高层的授权。
-
在安全意识课程中加入钓鱼邮件现状以及如何识别钓鱼邮件,强化对钓鱼邮件的认知
总结
我们需要像攻击者一样进行钓鱼攻击测试,并根据当前流行的攻击方式对员工进行测试,让员工在测试中学会识别钓鱼攻击,避免遇到真正的网络钓鱼时上当受骗,并将钓鱼攻击和社会工程学纳入安全意识培训中。在开展钓鱼攻击演练前需要为组织单位设定合理的目标,该如何衡量这个目标。
以上是我对企业钓鱼邮件演练的一些看法,希望能帮助到正在看这篇文章的你。若你有更好的观点,可以给我留言,不吝赐教。愿我们能帮助公司最大程度地减少人为带来的安全风险,守卫网络安全这片净土。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
- 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
- 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取