1、宋琼宋琼易念科技 产品研发总监(照片部分由主办方添加)钓鱼演练:基于攻防模式的人为因素风险教育网络钓鱼发展趋势:调查报告2021年网络犯罪造成的破坏将让全球每年损失6万亿美元超过90的黑客攻击和数据泄露源于网络钓鱼诈骗联邦调查局报告称,商业电子邮件欺诈(BEC)在过去5年中已报告损失了超过125亿美元(截至其最后一次到2018年5月),已报告的网络犯罪数量仅占美国每年实际犯罪总数的10至12。勒索软件成为增长最快的网络犯罪类型,全球勒索软件损坏成本达到200亿美元,每11秒就有一家企业成为勒索软件攻击的受害者90以上的中小企业缺乏安全意识与技能由于企业声誉或竞争因素,50%以上的高净值企业可能
2、成为网络攻击的目标。安全意识教育观点:人为因素风险网络安全问题产生的原因有三种:技术漏洞、流程漏洞、人的漏洞,人是网络安全防线中最脆弱的一环!IBM公司统计,95%的网络攻击是以安全意识淡薄的员工做为突破口IBM Cyber Security Intelligence Index企业安全防御手段:以人为本 人比技术,政策或流程更能影响安全结果。以最终用户为中心的安全教育和培训是一个快速增长的市场。交互式培训是综合安全教育和行为管理计划的核心组成部分 CISO和HR理认识到员工行为对企业风险管理功效的影响越来越大 到2022年,60的大型/企业组织将拥有全面的安全意识培训计划;主要趋势是SaaS
3、服务、邮件钓鱼、游戏化运营安全意识计算机培训的魔力象限2019 年7月18日出版像营销人员一样计划、像攻击者一样测试?钓鱼演练降低人为因素风险?最佳实践身份仿冒网站克隆情绪诱因最佳实践1:使用真实世界的攻击方法模拟钓鱼演练必须仿真真实的攻击和方法。否则,企业的“培训”只会给组织一种虚假的安全感。惯用攻击手法身份仿冒显示名称管理员近似域名管理员域名仿冒管理员惯用攻击手法网站克隆官方网站钓鱼网站Logo高仿链接无跳转惯用攻击手法情绪诱导诱惑性内容引导至钓鱼网站伪造邮件署名/签名最佳实践协同/沟通高层支持全员参与最佳实践2:不要单独做这件事与参加培训的其他团队和主管,创造一种积极地、全公司范围的安全
4、文化。最佳实践业务场景热点事件个人信息保护最佳实践3:培训内容要与员工有关人只关心对他们有意义的事情,确保企业的模拟攻击测试与员工日常活动相关。典型钓鱼攻击场景 员工福利 HW主题 疫情主题最佳实践。应急演练度量指标持续教育最佳实践4:关注员工行为改变培训不仅仅是告诉员工希望他们知道什么,而是要给他们必要的关键信息,培养员工对钓鱼邮件的识别与反应能力,这样员工才能成为企业有效的最后一道防线。基于钓鱼模拟的应急演练 模拟多种钓鱼邮件发送方式,测试企业邮件网关对钓鱼邮件的识别能力。穿透测试 选择测试目标,模拟多样化的钓鱼场景,发现企业面对邮件攻击的脆弱点,及员工识别和防范意识中存在的问题。模拟攻击
5、 阅读、点击、提交敏感信息、打开附件、扫码、上报等;时间戳;使用的设备/浏览器;行为监测 员工及时上报、及时修改账户密码/冻结、防范通知、事件分析总结等等。应急处置度量指标第一个月:钓鱼测试数量统计数据发送邮件数1000100%点击数75075%报告数505%点击/未报告70570.5%点击/报告454.5%未点击/未报告151.5%未点击/报告50.5%第二个月:钓鱼测试数量统计数据变化发送邮件数1000-点击数60060%-15%报告数35035%30%点击/未报告35035%-35.5%点击/报告25025%20.5%未点击/未报告131.3%-0.2%未点击/报告10010%9.5%持续教育:重复实践验证(某企业HW训练)56%10%2%用重复对抗遗忘