如何规划企业钓鱼邮件演练?

为什么要开展网络钓鱼演练

相信在甲方工作的信息安全工程师都知道,定期对公司员工进行安全意识培训是我们的工作内容之一,目的也很明确,通过安全意识培训来改变员工的不安全行为,降低人的风险。根据网络安全问题起源数据分析,75%的安全事件是由人引起的,很大一部分原因是意识薄弱,弱口令、钓鱼中招等;只有25%是跟技术相关,其中包括系统漏洞、配置缺陷以及业务逻辑缺陷等。

为了更好地认识企业的安全意识成熟程度,钓鱼邮件测试是最好的评估手段,是验证安全意识培训效果最有效的方法之一,尤其是对于刚担任公司的信息安全工程师,开展一次网络钓鱼能更快地认识公司人员的安全意识处于什么阶段,从而有针对性的开展安全意识培训。不试不知道,一试吓一跳。

 

网络钓鱼那些事

网络钓鱼现状

在如今的互联网环境中,网络钓鱼是个人、组织所面临较大的安全威胁,员工被“钓鱼”是不同规模组织的一大风险,因为对手会用恶意邮件和网站对用户实施攻击。

1、根据纵横随心邮与360行业安全研究中心的联合监测评估,2019年全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封。全球每天大约有3000亿封电子邮件被发送,其中90%是垃圾邮件和病毒邮件

2、超过90%的黑客攻击和数据泄露源于网络钓鱼诈骗,已报告商业电子邮件欺诈(BEC)损失了超过125亿美元,但已报告的网络 犯罪数量仅占实际犯罪总数的10%至12%。

常见网络钓鱼攻击类型

  • CEO欺诈或商务邮件欺诈(BEC)——假装公司的CEO或其他高管,向级别较低的员工(通常是会计或财务部门的员工)发送电子邮件,这些电子邮件的目的是获取商业机密信息或让受害者将资金转移到一个虚假账户。

  • 克隆网络钓鱼——利用受害者已经收到的合法信息,仿真创建一个恶意脚本,再以上一封电子邮件的链接有问题为由,要重新发送原始邮件,来诱导用户点击克隆的钓鱼邮件。

  • 域欺骗(Pharming)——伪造一个新的电子邮件头,使它看起来像是来自一家合法公司的电子邮件地址。或者创建一个欺诈网站,让它的域名看上去是合法的或与合法公司的域名相似。

  • 鱼叉式网络钓鱼(Spear phishing )——使用社交工程策略定制个性化电子邮件,发送给组织内的特定个人。攻击者会使用电子邮件主题作为受害者感兴趣的主题,以欺骗他们打开邮件并点击链接或附件。

  • 水坑攻击(Watering Hole)——攻击公司杨红经常访问的网站,感染其中一个网站并植入恶意软件。当你或你的员工访问该网站时,电脑会自动装载恶意软件,这样攻击者就能访问你的网络、服务器和敏感信息。

  • 鲸钓攻击(Whaling Attack)——是鱼叉式钓鱼的一种,与CEO欺诈相反。攻击者的目的是高层管理人员,如CEO、CFO等,其目的是诱导高管输入敏感信息和公司数据。

常见网络钓鱼攻击主题

  • 财务类主题

  • IT通知类主题

  • 司法机关类诈骗

  • 商业电子诈骗

网络钓鱼危害

  • 针对个人的网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人材料。欺诈者通常会将自己伪装成网络银行、在线商城、快递等可信品牌,骗取用户的私人信息。

  • 针对企业网络钓鱼(phshng)是在网络上盗窃身份的一种形式,它使用诱骗性的电子邮件和欺骗性质的网站来引诱人们泄露公司内部系统的账号和密码,公司的账户和密码,影响公司估值的CEO/CFO的个人信息,邮箱账号、密码等。盗取用户资金、勒索公司,使公司蒙受经济损失,上市公司还是影响股价。

网络钓鱼演练目的

合规驱动

  • 《网络安全法》-第三十四条(二)规定,定期对从业人员进行网络安全教育、技术培训和技能考核。

  • 《等保2.0》-6/7/8/9.1.7.3:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。

  • 《关基安全保护条例》-第二十七条:运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

提升信息安全意识

  • 识别与排列人为风险优先级,从而有针对性地对症下药

  • 改变员工的不安全行为

  • 降低人为风险

  • 提升安全意识成熟度

开展网络钓鱼步骤

网络钓鱼系统技术实现

钓鱼邮件演练技术支持包括企业内部人员和外部供应商,以下对两者的优劣性做对比

公司内部人员

优点:对公司的公司文化、信息安全成熟度更加了解,对不同的人员发送针对性的钓鱼邮件主题。成本低,重复利用率高,在一定程度上能提升安全人员的技术能力。

缺点:需要有一定技术能力的技术人员,包括钓鱼邮件系统环境部署、前端页面开发、数据汇总等能力。周期较长,内容效果难以保证。

外部供应商

优点:能实现一定程度的定制化,在技术能力、行业前瞻性具有相当大的优势,提供有保证的技术支持。

缺点:成本高,缺乏对企业特定威胁、岗位特点的深入理解;钓鱼邮件系统重复利用率低,更换供应商后原来的旧系统可能不适用

综上所述,可以基于过往演练效果、需求匹配度、交付与管理等方面综合考虑,外部供应商选择比较多,这里不展开阐述。若公司内部人员来实现,推荐一款钓鱼邮件平台采用开源系统gophish,前端页面使用HTML+CSS+JavaScript等,效果非常不错,易上手,0元玩转钓鱼邮件,这是老板最想要的,免费且好用。附上GitHub地址:

https://github.com/gophish/gophish

设定邮件主题

  • 冒充公司IT或行政部门发送钓鱼邮件,面对对象:全员。

  • 伪装供应商、客户发送钓鱼邮件,面对对象:采购、销售、行政。

  • 伪造面试候选人发送钓鱼邮件,面对对象:财务、法务、HR。

无论选择哪个作为测试对象,都需要得到高层的同意。

设定难度

  • 一级钓鱼攻击——有很多指标可以很容易识别出是“钓鱼邮件”

  • 二级钓鱼攻击——基于公司信息或个人信息的邮件

  • 三级钓鱼攻击——有指向性、针对性的钓鱼攻击

  • 四级钓鱼攻击或鱼叉式钓鱼攻击——具备个性化信息、商标、无拼写错误等特征。

在企业开展演练时,需要注意以下几点:

  1. 不能冒充公检法相关监管单位,包括logo、电话、工作人员真实信息等
  2. 内容需要合规。邮件正文中不能发布、传播反党反社会舆论;不得侵犯商业秘密;不得非法获取国家秘密;不得侵犯公民个人信息。
  3. 不能对公司现有系统造成损害,以此来窃取公司商业机密

话术

发起钓鱼邮件测试后,会收到员工的上报,我们需要统一话术,避免提前露馅,如

“感谢您的反馈,我们先确认下该邮件是否为钓鱼邮件,确认前请不要做任何操作,确认后会第一时间通知您,谢谢。”

追踪与统计

  • 点击人数

  • 报告钓鱼邮件攻击的人数

  • 点击却未报告的人数

  • 点击并报告的人数

  • 未点击也未报告的人数

  • 未点击却报告的人数

以上数据可以在gophish上获取,重点关注点击率和上报率

开展培训

  • 对本次钓鱼邮件演练做复盘,展示上一步中的数据,对员工进行信息安全意识培训

  • 介绍常见的钓鱼邮件类型以及该如何防范,收到钓鱼邮件后上报的途径

重复

  • 定期开展钓鱼邮件测试,避免长时间后员工放低警惕性,对于入职的新员工,可能缺乏相关的信息安全意识培训,通过真实的演练来提高信息安全意识

  • 紧跟流行的钓鱼邮件攻击方式

  • 在每次完成测试后与上一次测试做对比,检验员工的不安全行为是否得到改善。总结每次存在的不足以及需要改进的地方,避免在下一次测试出现同样的问题。

网络钓鱼常见问题以及改进

常见问题

  • 过分注重员工的情绪及感受

  • 高层领导是例外

  • 内容造成员工不适,被迫中止测试

  • 认为太多的训练使人厌烦

  • 员工直接删除钓鱼邮件

  • 员工可能无法分辨钓鱼邮件和正常邮件

  • 员工不知道上报的途径(尤其是新员工)

  • 邮件可能会被自动识别成垃圾邮件,用户不知道邮件的存在,会影响测试范围。

对应措施

  • 钓鱼攻击回归现实,随着时间推移来增加钓鱼攻击的“举重砝码”,但避免过于个人的主题。

  • 根据当前钓鱼的流行手段来安排钓鱼攻击训练

  • 提供一个可以报告可疑邮件的通道。

  • 演练前需要与被测试部门或事业部负责人进行沟通,取得高层的授权。

  • 在安全意识课程中加入钓鱼邮件现状以及如何识别钓鱼邮件,强化对钓鱼邮件的认知

总结

我们需要像攻击者一样进行钓鱼攻击测试,并根据当前流行的攻击方式对员工进行测试,让员工在测试中学会识别钓鱼攻击,避免遇到真正的网络钓鱼时上当受骗,并将钓鱼攻击和社会工程学纳入安全意识培训中。在开展钓鱼攻击演练前需要为组织单位设定合理的目标,该如何衡量这个目标。

以上是我对企业钓鱼邮件演练的一些看法,希望能帮助到正在看这篇文章的你。若你有更好的观点,可以给我留言,不吝赐教。愿我们能帮助公司最大程度地减少人为带来的安全风险,守卫网络安全这片净土。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/21682.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

内部协变量偏移问题(有无BN的代码比较)

1.什么是内部协变量偏移问题: 比如1000条数据,batch_size4,相当于要练250批次,当第一次批次的4条数据进行模型的训练时,此时网络学习动态已经养成,当第二批次进行训练时,极大可能导致差异较大&…

多模态融合目标检测新SOTA!推理速度提升2.7倍,实现最先进性能

为解决传统目标检测在复杂环境下效果不佳等问题,研究者们提出了多模态融合目标检测。 通过整合来自多个传感器的数据,充分利用不同传感器的优点,多模态融合目标检测能够更全面地捕捉目标信息,显著提高检测的准确性和鲁棒性&#…

弘君资本策略:短期博弈情绪边际降温 关注这四条线索

弘君资本指出,随着商场进入地产政策调查期,短期博弈情绪边沿降温,注重景气边沿改善和工业政策指向的结构性头绪。一是受供应侧节能降碳影响且可继续的提价链;二是获益于全球制造业向上的出口制造链;三是具有全球竞争力…

隐藏饼图的legend,重写legend列表。

因为要实现的饼图效果较复杂,所以,需要重新写列表。 点击右侧列表的圆点,实现隐藏左侧饼图相应环状。 // 饼图,点击自定义列表,显示和隐藏饼图对应的环状数据<template> <div class="index_div"> <a-spin :spinning="aLoading">&l…

Unity开发——编辑器打包、3种方式加载AssetBundle资源

一、创建ab资源 &#xff08;一&#xff09;Unity资源设置ab格式 1、选中要打包成assetbundle的资源&#xff1b; 可以是图片&#xff0c;材质球&#xff0c;预制体等&#xff0c;这里方便展示用预制体打包设置展示&#xff1b; 2、AssetBundle面板说明 &#xff08;1&…

【YOLOv5进阶】——模型结构与模型原理YOLOv5源码解析

一、基础知识 1、backbone backbone是核心组成部分&#xff0c;主要负责提取图像特征。具体来说&#xff0c;backbone通过一系列的卷积层和池化层对输入图像进行处理&#xff0c;逐渐降低特征图的尺寸同时增加通道数&#xff0c;从而保留和提取图像中重要的特征。这些提取出的…

Unity3D获得服务器时间/网络时间/后端时间/ServerTime,适合单机游戏使用

说明 一些游戏开发者在做单机游戏功能时&#xff08;例如&#xff1a;每日奖励、签到等&#xff09;&#xff0c;可能会需要获得服务端标准时间&#xff0c;用于游戏功能的逻辑处理。 问题分析 1、自己如果有服务器&#xff1a;自定义一个后端API&#xff0c;客户端按需请求…

使用Obfuscar 混淆WPF(Net6)程序

Obfuscar 是.Net 程序集的基本混淆器&#xff0c;它使用大量的重载将.Net程序集中的元数据&#xff08;方法&#xff0c;属性、事件、字段、类型和命名空间的名称&#xff09;重命名为最小集。详细使用方式参见&#xff1a;Obfuscar 在NetFramework框架进行的WPF程序的混淆比较…

Spring @Transactional 事务注解

一、spring 事务注解 1、实现层(方法上加) import org.springframework.transaction.annotation.Transactional;Transactional(rollbackFor Exception.class)public JsonResult getRtransactional() {// 手动标记事务回滚TransactionAspectSupport.currentTransactionStatus…

抖店入驻门槛,一降再降,2024年商家入驻抖店最佳的时机来了!

大家好&#xff0c;我是电商糖果 抖店已经发展有四年多的时间了&#xff0c;现在也算是比较成熟的电商平台. 这几年因为直播带货的火爆&#xff0c;再加上抖音的流量支撑&#xff0c;还有抖音在背后的扶持和推广。 让抖店成了电商行业的黑马项目&#xff0c;吸引了不少商家入…

ACWC:Worst-Case to Average-Case Decryption Error

参考文献&#xff1a; [LS19] Lyubashevsky V, Seiler G. NTTRU: Truly Fast NTRU Using NTT[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2019: 180-201.[DHK23] Duman J, Hvelmanns K, Kiltz E, et al. A thorough treatment of highly-efficie…

[element-ui]el-form自定义校验-图片上传验证(手动触发部分验证方法)

背景&#xff1a; 在做导入文件功能的时候&#xff0c;需要校验表单&#xff0c;如图所示 店铺字段绑定在表单数据对象上&#xff0c;在点击确定的时候正常按照表单验证规则去校验&#xff0c;就不再赘述。 文件上传是个异步过程&#xff0c;属性值改变后不会去触发验证规则…

智能管理,无忧报修——高校校园报事报修系统小程序全解析

随着数字化、智能化的发展&#xff0c;高校生活也迎来了前所未有的变革。你是否还在为宿舍的水龙头漏水、图书馆的灯光闪烁而烦恼&#xff1f;你是否还在为报修流程繁琐、等待时间长而焦虑&#xff1f;今天&#xff0c;这一切都将成为过去式&#xff01;因为一款震撼高校圈的新…

【QT5】<总览一> QT环境搭建、快捷键及编程规范

文章目录 前言 一、简单介绍QT 二、安装QT Creator 三、第一个QT项目 四、常用快捷键 五、QT中的编程规范 前言 在嵌入式Linux应用层开发时&#xff0c;经常使用QT作为图形化界面显示工具。为学习Linux下的QT编程&#xff0c;在Ubuntu和开发板中搭建QT开发环境&#xff…

TMS320F280049 ECAP模块--应用(2)

例1-上升沿触发 如下图所示&#xff0c;evt1-4设置为上升沿触发&#xff0c;在每个上升沿ctr值依次加载到cap1-4. 例2-上升下降沿触发 每个边沿都可选为事件&#xff0c;每次事件到来&#xff0c;依次把ctr加载到cap1-4。 例3-差异模式下上升沿触发 差异模式下每次事件到来时…

Qt_C++ RFID网络读卡器Socket Udp通讯示例源码

本示例使用的设备&#xff1a; WIFI/TCP/UDP/HTTP协议RFID液显网络读卡器可二次开发语音播报POE-淘宝网 (taobao.com) #ifndef MAINWINDOW_H #define MAINWINDOW_H#include <QMainWindow> #include <QHostInfo> #include <QNetworkInterface> #include <…

PyQt5串口测试工具

笔者经常会遇到使用上位机进行相关测试的场景&#xff0c;但现成的上位机并不能完全满足自己的需求&#xff0c;或是上位机缺乏使用说明。所以&#xff0c;自己写&#xff1f; 环境说明 pycharm 2023.2.25 python 3.10 anaconda 环境配置 conda create -n envsram ##…

学生信息管理系统C++

设计目的 使学生进一步理解和掌握课堂上所学的面向对象C编程知识&#xff0c;巩固和加深学生对C面向对象课程的基本知识的理解和掌握。掌握C面向对象编程和程序调试的基本技能&#xff0c;学会利用C语言进行基本的软件设计&#xff0c;着重提高运用C面向对象语言解决实际问题的…

Go Modules 使用

文章参考https://blog.csdn.net/wohu1104/article/details/110505489 不使用Go Modules&#xff0c;所有的依赖包都是存放在 GOPATH /pkg下&#xff0c;没有版本控制。如果 package 没有做到完全的向前兼容&#xff0c;会导致多个项目无法运行(包版本需求不同)。 于是推出了g…

秋招突击——第四弹——Java的SSN框架快速入门——Spring(2)

文章目录 前言其他Spring加载properties 容器创建容器获取beanBeanFactory容器总结 注解注解开发对定义bean纯注解开发Bean管理Bean作用范围Bean生命周期 注解开发依赖注入第三方bean管理第三方bean管理第三方bean注入 注解开发总结 Spring整合整合mybatis整合Junit AOPAOP核心…