《易念科技:2020邮件钓鱼演练分析报告(19页).pdf》由会员分享,可在线阅读,更多相关《易念科技:2020邮件钓鱼演练分析报告(19页).pdf(19页珍藏版)》请在三个皮匠报告上搜索。
1、各行业钓鱼邮件中招减少率经过一年持续的安全意识培训和模拟社会工程演练,所有行业企业员工的安全意识和技能都有明显的提升。 其中信息传输、计算机服务和软件业的钓鱼邮件中招减少率最高,是94.43%,而金融行业的中招减少率在82%到91%左右。 所有行业中交通运输、仓储和邮政业中招减少率最低为 66.33%。纵观所有行业从钓鱼基准测试经过一年左右的安全意识培训及定时的模拟网络钓鱼测试,PSR平均中招减少率高达到 83.19%。这一结果验证了我们开头的观点安全意识培训和模拟社会工程演练是根本上降低企业安全风险的最优方案。模板主题中招率和使用率对比之前我们分析了不同企业在时间线上横向和纵向的 PSR表现
2、,这个小节我们比较一下不同主题模板的钓鱼邮件中招率和使用率。在易念科技的钓鱼演练中,我们为客户提供了匹配真实世界场景的各类主题模板,我们通常把主题分为 4 大类:OA升级类;员工福利类;第三方通知类和热点场景。我们一年半收集的数据表明,“OA 升级类”和“员工福利类”主题在基准测试中获得了最高的钓鱼邮件中招率分别为 27.4%和 24.3%,使用率也高达 41.1%和 31.2%。除了这两个主题以外,热点场景类的主题模板因为国内疫情的原因,PSR为 22.8%排名第三,使用率在 20.48%左右。排名最后的是第三方通知类的模板中招率为 5.1%,使用率为 7.22%。从结果上看前两类的主题邮件
3、中招率和使用率排名前二显得理所应当,基准测试中如果员工在办公室收到以公司名义发送的 OA 升级或者员工福利相关的电子邮件,点击查看是再正常不过的情况。相反的因为国内以第三方名义发送的营销广告和钓鱼邮件泛滥,员工看到以第三方名义发送的邮件甚至连打开邮件的想法都没有,导致第三方通知类模板的中招率并不理想。再看热点场景类的模板,比如新冠疫情类的主题邮件在3月份的中招率高达40%左右,但同样的邮件在 6 月只有 10%左右的中招率,这表明这类模板有极强的实时性,需要不断根据现实场景更改内容来保证演练的效果。模板类型中招率和使用率对比我们的钓鱼系统通常把模板分为 3大类:URL钓鱼,恶意附件钓鱼和二维码
4、钓鱼。在基准测试中的中招率和使用率对比如下图,其中 URL 钓鱼的使用率最高为 74.5%,中招率为 25.1%;二维码钓鱼的中招率最高为 30.1%,但使用率最低为 5.1%,恶意附件钓鱼的中招率比较低为 17.80%,使用率为 20.40%。这里我们分析二维码钓鱼中招率比较高的原因有二:其一是国内二维码普及和接受率远超世界其他地区;其二是二维码钓鱼可以有效的规避鼠标悬停对邮件中链接的检查,增加识别钓鱼邮件的困难度;虽然此类钓鱼邮件的中招率尚可,但通常企业对于这种钓鱼类型的接受程度却不是很高,他们潜意识中更倾向于使用传统的 URL的钓鱼方式去做演练测试导致使用率偏低。用户客户端对比我们这里主
5、要对比基准测试中手机平台和电脑平台使用率。随着移动端硬件配置的不断增强,以及 4G、5G 网络的升级优化和通讯资费普遍降低,移动互联进入了井喷期,白领们已经习惯于通过移动端来处理工作。国内现有数据显示,已有 68%的用户会每天通过手机查邮件。但从我们收集的测试数据来看阅读钓鱼邮件的平台比率,手机端平均占比 33.47%,电脑端平均占比 66.53%,说明除了少数行业,在办公室工作的员工,还是倾向于用电脑作为邮件阅读的主要平台。钓鱼演练时间选择一天中在什么时间段做钓鱼测试中招率会比较高?我们收集的数据指出,在工作日,除了发送完钓鱼邮件后的 1到 2小时内必然会有一个最高的中招峰值,通常员工登录邮
6、箱主要有 9 点和 14点为波峰的两个高峰期。所以,选择在 9点-10 点、14点-15 点做钓鱼演练可能会得到比较令人满意的数据结果。企业实施中常见的误区误区一:过分注重员工的情绪及感受模拟钓鱼演练必须站在攻击者的角度用真实的攻击和方法去评估员工的安全意识和技能水平。否则,企业的“培训”只会给组织一种虚假的安全感。同理,现实中的黑客不存在对企业员工的怜悯和同情。诚然,在演练中权衡员工的情绪是极其重要的,不然钓鱼演练的效果只会适得其反。但是又不能过分注重员工的情绪及感受而影响到演练的仿真效果,企业负责人需要找到其中的平衡点。误区二:培训和演练完全是企业信息安全专业人员的事。演练应该团结能够团结
7、的一切力量。让其他团队的人员和主管,包括人力资源、IT 甚至市场营销一起参与其中。创造一种积极地、全公司范围的安全文化。误区三:信息安全意识教育培训一次就够了在我们所服务过的客户中,有很多企业和组织的领导者或者人力资源部门认为,提高全员信息安全意识就只是为了国家的一些合规要求,而且搞一次就够了,实际上信息安全意识教育远不止搞一次培训这么简单。正是基于这种思想,即便搞了培训效果也不好,这样就陷入了一个恶性循环的怪圈之中。而在我们服务过的客户中,每年进行 26次钓鱼测试演练的居多,也呈现出了比较好的教育效果。误区四:高层领导是例外绝大多数我们服务过的企业和组织在钓鱼演练实施的过程中,会除去企业的管理者,这种情况无可厚非。但是我们从少数没有在演练中除去管理人员的企业那得到的数据显示管理角色在钓鱼演练中的中招率并不低,外加上管理者通常手上拥有企业极其重要的信息资源,其风险等级可见一斑。我们还可以类比之前提过的 IT从业人员的例子,同样的身处高位并不代表其安全意识就高。误区五:员工可能无法分辨钓鱼邮件和正常邮件有些企业害怕频繁的钓鱼邮件测试会影响员工对正常邮件的判断力,从而影响到正常的工作,这里又要重新提及安全意识培训的重要性,永远不要让钓鱼演练和培训割裂,企业完全可以在安全意识课程中加入钓鱼邮件现状以及如何识别钓鱼邮件,强化对钓鱼邮件的认知。