详细内容或原文请订阅后点击阅览
也许是时候重新考虑网络钓鱼意识了
网络钓鱼意识可能是一种强大的安全工具,也可能是一场彻底的灾难。 这一切都取决于您如何实施它。
来源:MalwareTech在米高梅新闻曝光后,我认为现在是讨论网络钓鱼意识的好时机。有传言称,攻击者能够冒充米高梅内部员工,并通过社交工程手段让服务台重置密码。这个故事虽然可信,但可能是真的,也可能不是真的。然而,它让每个人都开始谈论网络钓鱼以及此类攻击如何符合我们的威胁模型。
网络钓鱼攻击,无论是通过短信、电话、电子邮件,还是面对面,通常都有一个共同点。它们针对的是那些不太可能有任何网络安全经验的员工,因此无法识别社交工程攻击。一种合乎逻辑但往往被误导的做法是网络钓鱼培训,许多组织试图将他们的普通员工转变为业余威胁分析师。
现在,不要误会我的意思,我并不是说所有的网络钓鱼意识都是坏事,但结果会因方法的不同而大不相同。网络钓鱼意识可能会增强您的安全态势,也可能完全破坏它。
误导性网络钓鱼意识和测试的陷阱
具体来说,网络钓鱼测试有点像一把双刃剑。如果模拟攻击不够逼真,它们可能会训练员工只检测和避免特定示例,或者更糟的是,一般的网络钓鱼测试。另一方面,如果攻击过于逼真,它们可能会削弱员工的信任并在组织内部产生摩擦。
攻击者可以随意利用人们的情绪,但安全测试人员不应该这样做。我见过网络钓鱼模拟,假装生病的亲戚,在经济困难时期向员工宣布虚假奖金,甚至公开羞辱未通过测试的员工。虽然网络钓鱼诱饵本身可能非常有效,但最终结果可能并非如此。
我经常开玩笑说,世界上最好的黑客不是为勒索软件组织工作的人,也不是为美国国家安全局工作的人,当你的安全控制妨碍他们的工作时,他们就是你的员工。