准备有效的网络钓鱼攻击模拟的技巧

据统计， 2019 年 94% 的恶意软件来自电子邮件，32% 的安全漏洞包括网络钓鱼，尽管在过去一年中中小企业应对漏洞甚至零日攻击的方式有了很大改进，其结果是攻击者正在将攻击重点从操作系统转移到远程控制工具和顾问，并转向针对用户的网络钓鱼攻击。

企业通过使用“修补人类”网络钓鱼攻击模拟来应对这一变化，但这些通常是无效的，有时甚至是不道德的。该系统可以通过员工培训来保持安全，但网络钓鱼诱饵需要牢记外部问题，设计的重点是培训员工而不是羞辱他们。

未通过网络钓鱼模拟的员工表明，他们所在的公司在培训和保护他们方面的努力失败了。教育需要成为一种持续的强化技术才能取得成功，而不仅仅是引起公众注意并导致事故的事件。除非有适当的使用准备，否则网络钓鱼模拟活动不会成功，因此公司在测试员工之前了解他们需要提供或教授的内容非常重要。

解释攻击者的动机和技术

在开始网络钓鱼模拟测试之前，攻击者需要了解基于特定行为和主题攻击用户的概念。攻击者应该了解人们真正想要的信息类型。在过去的一年中，真正的攻击者使用了基于从大流行到美国大选的一切事物的网络钓鱼诱饵。

应该对用户进行教育，让他们知道任何可能被用作网络钓鱼诱饵的新闻，并且不要相信电子邮件链接中的新闻，并避免访问提供此类新闻的网站。

强密码是必不可少的

攻击者使用此类站点作为诱骗用户输入身份验证数据的一种方式，解释密码策略处理这种情况的方式很重要。这已经接近认证信息管理的临界点，一种长期存在的保护认证信息的过程方法是确保信息经常更改。

但是，这种方法会导致身份验证信息疲劳，目前使用的其他保护措施包括双因素身份验证和根本不使用密码的技术。公司必须确保用户了解这些变化，这一点很重要。

可信链接

应教导用户使用少量可信链接并避免点击电子邮件中包含的链接。例如，如果用户收到一封电子邮件，指示他们更改密码，则应通过已建立的链接而不是该电子邮件中包含的链接来更改该密码。

对于管理员来说，拥有一个他们信任的管理工作站同样重要。网络管理员可能需要点击各种管理链接，使用书签进入管理门户是个好主意。仅通过受信任的位置打开此类链接很重要。使用专用于该功能并受到充分保护的工作站，或使用远程访问。

识别恶意链接

应该教导用户只访问以标准 HTTPS 开头的链接，永远不要访问仅使用 HTTP 的未受保护的站点。即使是专家也会发现很难检查 SSL 证书是否真正合适并链接到正确的根证书，因此可以为用户做的最好的事情就是教他们检查站点是否带有挂锁符号和站点证书。另一种确保合规性的方法是使用强制使用 SSL 的浏览器工具。

需要教用户在单击链接之前将鼠标光标悬停在链接上，因为即使您在电子邮件软件中打开了防火墙或链接过滤，用户仍然应该知道如何检查电子邮件中的链接。

结论

应定期运行随机模拟网络钓鱼攻击，但需要采用该过程来教育员工而不是责备他们。除了检查您的防火墙的能力之外，这些服务还有助于测试您公司的电子邮件防御能力，确定网站防御漏洞并测试和详细说明勒索软件、间谍软件、病毒和蠕虫等恶意软件如何在您的设备中传播，以及您的安全解决方案的任务是检测和防止恶意软件的传播。