博客 / 詳情

返回

讀社會工程:防範釣魚欺詐(卷3)04工具包

讀社會工程:防範釣魚欺詐(卷3)04工具包

1. 情緒和政策

1.1. 你需要關注你的員工,考慮他們的感受,以及他們會對你的釣魚攻擊有何反應

1.2. 體諒每個人的感受優先於教學需要是很糟糕的,因為它會限制你開展教學環節

1.3. 為了正確地訓練你的釣魚攻擊肌肉,你需要隨着時間推移來增加釣魚攻擊的“舉重砝碼”​

1.4. 政策並非一個有趣的話題,沒有人想要把時間花在制定一些所有人都要遵守的規則上

2. 老闆是例外

2.1. 不要認為自己地位高就可以從規則中豁免

2.2. 當老闆100%投入到培訓中時,員工的態度也會顯著改變,變得積極和順從

2.3. 當員工看見高層願意接受培訓並且接受測試時,他們就不會感覺自己是被單獨挑出來的

3. 修補其中一個漏洞

3.1. 無論原因是什麼,選擇只測試一部分人就好像只修補兩個漏洞的其中一個一樣

3.2. 每個人受釣魚攻擊和培訓的影響的程度都是不一樣的

  • 3.2.1. 選擇隨機數目的員工或者一小部分員工接受測試,並不能告訴你公司在釣魚攻擊中整體表現如何

3.3. 相比於全員投入而言,小樣本測試效果並不好,雖然有些情況下這可能是必要的

4. 太多訓練使人厭倦

4.1. 教練會告訴你為什麼有些東西不好,給你展示一些短片來告訴你怎麼做才是正確的,並希望你能從中學到一些東西

4.2. 只測試員工一次,並只給他們一次培訓來告訴他們如何識別釣魚郵件,這和把他們派往法國的一個月前只給他們上一堂法語課沒什麼兩樣—都沒有什麼效率

4.3. 極其受挫的情緒

  • 4.3.1. 對於感覺自己一直以來都沒有進步的員工,以及因為沒有員工在學習所以感覺培訓浪費金錢的公司來説,當用這種方式思考時,失望是常態

4.4. 缺乏安全意識

  • 4.4.1. 不僅訓練是低效的,而且由於上述的受挫情緒,很多員工會在識別釣魚郵件方面做得不如那些持續接受測試和培訓的員工

4.5. IT 部門和其他部門之間缺乏聯繫

  • 4.5.1. IT部門和其他部門之間的關係會變得更對立,而非成為一個團結一致並服務於你的“團隊”​

4.6. 缺乏標準

4.7. 重要的是一致性和承諾

  • 4.7.1. 培訓必須持之以恆—至少每個季度或者每隔一個月進行一次,而且你必須嚴格執行

  • 4.7.2. 爭取預算總是很艱難的

4.8. 培訓的主要目的是對釣魚攻擊的威脅有所瞭解,以及展示培訓對員工所起的作用

5. 發現釣魚攻擊

5.1. 你應該選擇最容易成功的那條路

5.2. 你想要員工報告他們“捕獲”的所有釣魚攻擊

5.3. 你想要員工在收到更多關於這些郵件的信息前不要輕舉妄動

5.4. 你也想要鼓勵那些可以培養安全意識的值得提倡的行為

5.5. 報告釣魚郵件是通過郵件或者網頁的形式來通知合適的團隊進行處理的

5.6. 如果對員工來説報告釣魚郵件是容易的,那麼他們就會更願意報告,也更容易接受釣魚攻擊培訓

5.7. 你需要和你的員工一起努力,讓培訓成為他們都想參加的一項活動

6. 壞人在週一休假

6.1. 限制釣魚攻擊培訓的日期或時間,就好比確信大老鼠只會在滿月之夜出來吃了你

6.2. 壞人不會只在你不開員工大會的時候攻擊你

6.3. 教會你的員工在任何時間都能發現所有的釣魚攻擊郵件,而不是教他們弄清楚釣魚攻擊郵件是來自公司還是來自壞人

7. 眼不見心不煩

7.1. 不付出時間和精力是不會有所改進的

7.2. 需要為員工提供一個可以報告可疑郵件的地方

7.3. 唯一的改進辦法是給員工創造一個可以報告的途徑

  • 7.3.1. 保證公司安全

  • 7.3.2. 保證員工安全

  • 7.3.3. 保護你辛苦建立的數據和資產

8. 工具包

8.1. 符合你和你的培訓項目的需求的工具可以消除你的挫敗感,幫你快速推進項目,並讓你將注意力集中於培訓效果而不是實際過程

8.2. 不管你如何選擇,你都可以適時改變,或者堅持你的想法

8.3. 無論你的選擇如何—讓你的員工意識到釣魚攻擊的危險並學會防禦

9. 商業應用

9.1. Rapid7 Metasploit Pro

  • 9.1.1. 熟練的滲透測試人員是很難找到的,因此有效利用他們的時間是很重要的

  • 9.1.2. 可以通過閉環漏洞驗證來顯示風險程度並進行風險優先級劃分,還能通過模擬釣魚郵件攻擊來對安全意識進行衡量

  • 9.1.3. 端到端(end-to-end)的釣魚攻擊項目允許你安全地對用户的行為進行測試,並提供對未成功通過測試的用户的分析

  • 9.1.4. 優點

  • 9.1.4.1. 可以衡量用户安全意識,還可以選擇通過滲透測試來評估安全措施的有效性

  • 9.1.4.2. 一個功能全面的攻擊安全工具,它不僅能用於釣魚攻擊,也涵蓋了漏洞發掘、證書檢查和Web App測試

  • 9.1.4.3. 一款本地部署應用,可以確保個人網絡調查結果的隱私

  • 9.1.4.4. 包含UserInsight,為你提供包含釣魚攻擊在內的用户全局風險概覽

  • 9.1.4.5. 只需要一次授權,Rapid7即可向不限數量的用户提供不限次數的釣魚攻擊項目

  • 9.1.5. 缺點

  • 9.1.5.1. 本地部署應用需要託管和維護

  • 9.1.5.2. 釣魚攻擊模板非常初級

  • 9.1.5.3. 內置的釣魚攻擊訓練模式很初級

>  9.1.5.3.1. 可以使用第三方訓練方案
  • 9.1.5.4. 有些用户可能會反感漏洞發掘功能,可以選擇關閉該功能

9.2. ThreatSim

  • 9.2.1. 允許組織機構根據終端用户的行為評估和降低風險

  • 9.2.2. 是一個安全意識培訓平台,可以幫助培訓員工來識別潛在威脅並制定安全決策

  • 9.2.3. 早期的產品允許組織機構發送模擬釣魚攻擊郵件給終端用户,併為那些落入陷阱的員工提供即時訓練

  • 9.2.4. 是以SaaS的形式提供的,並根據終端用户數以訂閲形式出售

  • 9.2.5. 優點

  • 9.2.5.1. 豐富的自定義選項

  • 9.2.5.2. 漏洞檢測功能

  • 9.2.5.3. 高級釣魚攻擊模擬功能

  • 9.2.5.4. 容易使用

>  9.2.5.4.1. 肯定是為新手用户設計的,但是它也有健壯性

  • 9.2.5.5. 多語言支持

  • 9.2.6. 缺點

  • 9.2.6.1. 信息過載

>  9.2.6.1.1. 提供的信息對有些用户來説太多了

9.3. PhishMe

  • 9.3.1. 一種SaaS解決方案,利用浸入式教學法來對員工進行識別和規避釣魚攻擊的培訓

  • 9.3.2. 通過使用PhishMe,組織機構的所有員工都被置於真實的釣魚攻擊體驗中

  • 9.3.3. 高級報告能力可以為每個單獨項目分別追蹤用户和羣體行為,並根據時間統計迴應的趨勢

  • 9.3.4. 利用報告功能,你可以提供證據來説明組織機構內易受攻擊的部分和安全行為管理的進展

  • 9.3.5. 優點

  • 9.3.5.1. 程序化的方法

>  9.3.5.1.1. PhishMe並不提供一次性評估工具,而是幫助組織機構建立可持續的培訓項目,並依據其企業文化和商業需求來進行個性化設置
  • 9.3.5.2. 真實的情景和內容
>  9.3.5.2.1. 為了緊跟最新的釣魚攻擊趨勢並讓內容貼近現實,PhishMe一直在更新內容,並會通知組織機構的信息安全人員最新出現的威脅
  • 9.3.5.3. 主動報告
>  9.3.5.3.1. PhishMe的專利產品PhishMe Reporter是一種郵件插件,它允許用户以一種標準化的格式主動彙報可疑郵件給安全機構或者應急反應小組
  • 9.3.5.4. 標杆分析
>  9.3.5.4.1. 組織機構可以使用系統化的訓練,並在匿名情況下與其他PhishMe用户的訓練結果進行對比
  • 9.3.5.5. 企業級平台
>  9.3.5.5.1. PhishMe提供的SaaS解決方案在專門的安全設備上運行

  • 9.3.6. 缺點

  • 9.3.6.1. PhishMe拒絕提供其產品的缺點

9.4. Wombat PhishGuru

  • 9.4.1. 可以通過發送模擬釣魚郵件來評估你的員工易受攻擊的程度並鼓勵他們加強訓練

  • 9.4.2. 優點

  • 9.4.2.1. 自動功能提高了模擬釣魚攻擊的效率,使得外部釣魚攻擊的成功率大幅下降

  • 9.4.2.2. PhishGuru的自動註冊功能與其安全教育平台相關聯,允許你自動為落入陷阱的員工安排接下來的深度訓練

  • 9.4.2.3. 可以選擇一週中的哪幾天或一天中的哪段時間向終端用户進行隨機的模擬釣魚攻擊

  • 9.4.2.4. 釣魚攻擊郵件中內嵌了員工落入陷阱後會收到的教育提示

  • 9.4.2.5. 可以自定義智能報告結果的範圍

  • 9.4.2.6. 每個月都會添加新的釣魚攻擊模板來模擬外部釣魚攻擊

  • 9.4.3. 缺點

  • 9.4.3.1. 在未經許可的情況下,PhishGuru不能提供含有其他公司的商標的釣魚攻擊模板

9.5. PhishLine

  • 9.5.1. 一種企業級的SaaS解決方案,可模擬真實世界的社會工程學和釣魚攻擊,提供在線安全意識訓練、基於風險的調查以及詳細的報告和指標

  • 9.5.2. 優點

  • 9.5.2.1. 多重渠道的攻擊模擬

>  9.5.2.1.1. 並不限於傳統的基於鏈接的釣魚攻擊模擬

>  9.5.2.1.2. 能夠讓用户對便攜式媒體、文字、語音、模擬門户頁面、智能附件等釣魚攻擊形式進行測試和衡量
  • 9.5.2.2. 報告和度量
>  9.5.2.2.1. 會收集很多可用數據,使得在專業平台上進行歷史數據分析變得更加輕鬆
  • 9.5.2.3. 對用户的服務承諾
>  9.5.2.3.1. 是由安全專家開發並提供技術支持的
  • 9.5.2.4. 將基於風險的調查整合於真實世界的安全培訓
>  9.5.2.4.1. 用户可以使用PhishLine來進行針對性的網絡安全意識訓練和基於風險的調查,並將從解決方案中得到的關鍵指標和發現應用於自己的全局安全措施和風險培訓項目中

  • 9.5.3. 缺點

  • 9.5.3.1. 對於剛開始使用這款軟件的人來説,界面和定製功能可能看起來比其他工具要複雜

10. 開源應用

10.1. SET

  • 10.1.1. 為評估者提供了一種測試其培訓和安全意識項目有效性的機制

  • 10.1.2. 大衞·肯尼迪創建,是一個試圖繞過很多常規安全保護機制以查看技術控制和用户安全意識是否可以阻止攻擊的技術工具

  • 10.1.3. 是由信息安全機構對自我測試的需求發展而來的

  • 10.1.4. 最常見的漏洞發掘是通過社會工程學和釣魚攻擊進行的,SET使用這些技術來識別培訓和安全意識訓練中的漏洞

  • 10.1.5. 給了組織機構編寫可信的釣魚郵件的能力,使終端用户無從知曉將要發動的潛在的釣魚攻擊

  • 10.1.6. 將最新的釣魚攻擊技術與快速建立模擬惡意網站的能力相結合

  • 10.1.7. 使得組織機構可以輕鬆地進行安全測試,尤其是針對那些處於最險要位置的終端用户

  • 10.1.8. 優點

  • 10.1.8.1. 能夠測試用户對外界常見的特定攻擊的反應效率

  • 10.1.8.2. 為滲透測試者提供便捷高效的方式來編寫真實可信的釣魚郵件並藉此發動攻擊

  • 10.1.8.3. 追蹤點擊釣魚郵件的用户,並統計落入釣魚攻擊陷阱的人員比例

  • 10.1.8.4. 呈現如何避開一些當今頂尖的防禦技術的真實情景;

  • 10.1.8.5. 能夠估算組織機構抵禦攻擊的能力如何

  • 10.1.9. 缺點

  • 10.1.9.1. 一些公司使用開源軟件有困難

  • 10.1.9.2. 無法設定郵件發送時間

  • 10.1.9.3. 沒有圖形用户界面;SET是通過命令行運行的

  • 10.1.9.4. SET更像是魚叉式釣魚攻擊平台,發動攻擊前需要對目標進行調查

10.2. Phishing Frenzy

  • 10.2.1. 一款由Ruby on Rails構建的基於Linux的開源應用,也是滲透測試者用於管理釣魚郵件攻擊的工具

  • 10.2.2. 優點

  • 10.2.2.1. 真正的彈性框架

  • 10.2.2.2. 可以和Phishing Frenzy的其他用户共享模板和情景

  • 10.2.2.3. 功能豐富

  • 10.2.2.4. 開源軟件可以隨意添加自己想要的功能

  • 10.2.3. 缺點

  • 10.2.3.1. 只能在Linux上運行

  • 10.2.3.2. 創建模板的過程複雜而低效

  • 10.2.3.3. 有一定的學習曲線

  • 10.2.3.4. 無法定時發送郵件

11. 深入釣魚攻擊

11.1. 釣魚攻擊者的動作更快、手段更高明、攻擊方式更富於變化了

  • 11.1.1. 唯一的辦法是不斷學習,並在一切網絡活動中保持安全意識

11.2. 釣魚攻擊並非一種娛樂消遣,它是壞人實實在在的生意

11.3. 高級釣魚攻擊意味着你對收到的郵件不得不多加防範

  • 11.3.1. 如果在家收到不明郵件,請不要打開,並將它刪除

  • 11.3.2. 如果在公司收到,請報告給合適的內部機構來處理

  • 11.3.3. 如果郵件來自認識的人,在點擊任何附件或者鏈接之前仔細思考一下

  • 11.3.4. 永遠不要通過郵件提供認證信息或者個人信息

  • 11.3.4.1. 多花五秒的時間,使用已知的安全的方式來提供個人信息,可以保障個人信息的安全

11.4. 緊跟流行的釣魚攻擊方式

11.5. 把釣魚攻擊和普通社會工程學教育納入你的安全意識培訓中

  • 11.5.1. 你的工作一開始也許不能覆蓋所有的情況,但通過這些方法來提醒你的員工總比希望問題自己消失要更好

11.6. 為組織機構設定合理的目標

  • 11.6.1. 目標設定高度取決於你的企業文化和領導力

  • 11.6.2. 釣魚攻擊教育並非一勞永逸

  • 11.6.3. 除非釣魚攻擊威脅不復存在,否則有效的釣魚攻擊培訓項目不會終止

  • 11.6.4. 合理的目標是有效開展項目的基礎

11.7. 規劃培訓項目

  • 11.7.1. 除了每月、每季度或每年隨機發送一些釣魚郵件,一個持續的釣魚攻擊培訓項目還有很多要做的事情

  • 11.7.2. 前期準備工作越充分,培訓項目進展就會越順利

11.8. 適當迴應

  • 11.8.1. 致力於通過創建安全文化和對員工進行培訓來排除安全隱患,而不是排除你的員工

  • 11.8.2. 好的培訓能讓僱主和僱員都從中受益匪淺

  • 11.8.3. 通過塑造員工對釣魚攻擊的防範能力和警惕性,你所培養的好習慣將會帶入到他們的個人生活中去

  • 11.8.4. 好的安全培訓項目唯一的缺點是會花費很多時間、精力和資源

  • 11.8.5. 開除的代價是需要找人接替他們的位置,然後又需要對新人進行全套的安全培訓

  • 11.8.6. 幫助員工就是幫助你自己

  • 11.8.6.1. 在你參與其中的同時,確保公司管理層人員和C級管理者都參與到了項目之中

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.