网络钓鱼模拟是 网络安全 测试组织识别和响应网络钓鱼攻击的能力的练习。
A 网络钓鱼攻击 是旨在诱骗人们下载的欺诈性电子邮件、短信或语音消息 恶意软件 (例如 勒索软件)、泄露敏感信息(例如用户名、密码或信用卡详细信息)或向错误的人汇款。
在网络钓鱼模拟过程中,员工会收到模仿现实世界网络钓鱼尝试的模拟网络钓鱼电子邮件(或短信或电话)。 这些消息采用相同的方式 社会工程学 策略(例如,冒充接收者认识或信任的人,制造紧迫感)以获得接收者的信任并操纵他们采取不明智的行动。 唯一的区别是,上当的接收者(例如,点击恶意链接、下载恶意附件、在欺诈性登陆页面中输入信息或处理虚假发票)只是无法通过测试,而不会对组织产生不利影响。
在某些情况下,点击模拟恶意链接的员工会被带到一个登陆页面,表明他们成为了模拟网络钓鱼攻击的受害者,其中包含有关如何更好地发现网络钓鱼诈骗和其他信息的信息。 网络攻击 将来。 模拟结束后,组织还会收到有关员工点击率的指标,并通常会进行额外的网络钓鱼意识培训。
为什么网络钓鱼模拟很重要
最近的统计数据显示网络钓鱼威胁持续上升。 自 2019 年以来,网络钓鱼攻击数量增长了 150% 每年-与 反网络钓鱼工作组 (APWG) 报告 2022 年网络钓鱼数量创历史新高,记录了超过 470 万个网络钓鱼站点。 根据 Proofpoint 的说法, 2022 年,84% 的组织至少经历过一次成功的网络钓鱼攻击。
由于即使是最好的电子邮件网关和安全工具也无法保护组织免受每次网络钓鱼活动的影响,因此组织越来越多地转向网络钓鱼模拟。 精心设计的网络钓鱼模拟有助于通过两种重要方式减轻网络钓鱼攻击的影响。 模拟为信息安全团队提供了教育员工更好地识别和避免现实生活中的网络钓鱼攻击所需的信息。 它们还帮助安全团队查明漏洞、改善整体事件响应并降低风险 数据泄露 以及因成功的网络钓鱼尝试而造成的经济损失。
网络钓鱼模拟如何运作?
网络钓鱼测试通常是 IT 部门或安全团队主导的更广泛的安全意识培训的一部分。
该过程一般包括五个步骤:
- 规划: 组织首先定义其目标并设定范围,决定使用哪种类型的网络钓鱼电子邮件以及模拟频率。 他们还确定目标受众,包括细分特定群体或部门,通常还包括高管。
- 起草: 制定计划后,安全团队会创建逼真的模拟网络钓鱼电子邮件,这些电子邮件与真实的网络钓鱼威胁非常相似,通常以暗网上提供的网络钓鱼模板和网络钓鱼工具包为模型。 他们密切关注主题行、发件人地址和内容等细节,以进行真实的网络钓鱼模拟。 它们还包括社会工程策略,甚至冒充(或“欺骗”)高管或同事作为发件人,以增加员工点击电子邮件的可能性。
- 发送: 一旦确定了内容,IT 团队或外部供应商就会通过安全方式向目标受众发送模拟网络钓鱼电子邮件,同时考虑到隐私。
- 监控: 发送模拟恶意电子邮件后,领导者会密切跟踪并记录员工如何与模拟电子邮件互动,监控他们是否点击链接、下载附件或提供敏感信息。
- 分析: 网络钓鱼测试之后,IT 领导者分析模拟数据,以确定点击率和安全漏洞等趋势。 随后,他们对模拟失败的员工进行跟踪并立即提供反馈,解释他们如何正确识别网络钓鱼尝试以及如何避免将来发生真正的攻击。
完成这些步骤后,许多组织都会编写一份综合报告,总结网络钓鱼模拟的结果,以便与相关利益相关者分享。 有些人还利用这些见解来改进他们的安全意识培训,然后定期重复该过程,以增强网络安全意识并领先于不断变化的网络威胁。
网络钓鱼模拟的注意事项
在运行网络钓鱼模拟活动时,组织应考虑以下因素。
- 测试的频率和种类: 许多专家建议全年定期使用不同类型的网络钓鱼技术进行网络钓鱼模拟。 这种频率和多样性的增加有助于增强网络安全意识,同时确保所有员工对不断变化的网络钓鱼威胁保持警惕。
- 内容及方法: 在内容方面,组织应该开发类似于真实网络钓鱼尝试的模拟网络钓鱼电子邮件。 一种方法是使用根据流行的网络钓鱼攻击类型建模的网络钓鱼模板来针对员工。 例如,模板可能侧重于 商业电子邮件泄露 (BEC)——也称为首席执行官欺诈——一种 鱼叉式网络钓鱼 其中,网络犯罪分子模仿组织一位 C 级高管的电子邮件,诱骗员工发布敏感信息或向所谓的供应商汇出大笔资金。 与发起现实生活中的 BEC 诈骗的网络犯罪分子一样,设计模拟的安全团队必须仔细研究发件人和收件人,以使电子邮件可信。
- 定时: 组织执行网络钓鱼模拟的理想时机仍然是一个持续争论的话题。 有些人更喜欢在员工完成任何网络钓鱼意识培训之前部署网络钓鱼测试,以建立基准并衡量未来网络钓鱼模拟解决方案的效率。 其他人则倾向于等到网络钓鱼意识培训结束后才测试该模块的有效性,并查看员工是否正确报告网络钓鱼事件。 组织决定运行网络钓鱼模拟的时间取决于其需求和优先级。
- 教育后续: 无论组织何时决定执行网络钓鱼测试,它通常都是更大、更全面的安全意识培训计划的一部分。 后续培训可以帮助未通过测试的员工感到受到支持,而不是被欺骗,并且为将来识别可疑电子邮件或真实攻击提供知识和激励。
- 进展和趋势跟踪: 模拟之后,组织应测量和分析每个网络钓鱼模拟测试的结果。 这可以确定需要改进的领域,包括可能需要额外培训的特定员工。 安全团队还应该随时了解最新的网络钓鱼趋势和策略,以便下次运行网络钓鱼模拟时,他们可以用最相关的现实威胁来测试员工。
在打击网络钓鱼攻击方面获得更多帮助
网络钓鱼模拟和安全意识培训是重要的预防措施,但安全团队还需要最先进的威胁检测和响应能力,以减轻成功的网络钓鱼活动的影响。
IBM Security® QRadar® SIEM 适用 机器学习 和用户行为分析 (UBA) 到网络流量以及传统日志,以实现更智能的威胁检测和更快的修复。 在 Forrester 最近的一项研究中,QRadar SIEM 通过识别误报帮助安全分析师在 3 年内节省了超过 14,000 个小时,将调查事件所花费的时间减少了 90%,并将遭遇严重安全漏洞的风险降低了 60%。* 借助 QRadar SIEM,资源紧张的安全团队拥有快速检测威胁所需的可见性和分析能力,并立即采取明智的行动,以最大限度地减少攻击的影响。
*这 IBM Security QRadar SIEM 的总体经济影响 是 Forrester Consulting 代表 IBM 于 2023 年 4 月委托进行的一项研究。基于根据四位受访 IBM 客户建模的复合组织的预测结果。 实际结果将根据客户端配置和条件而有所不同,因此无法提供通常预期的结果。
