在AI普及之前,釣魚郵件往往很容易被識破,這些郵件中語法錯(cuò)誤和用詞不當(dāng)?shù)那闆r比比皆是,因此很容易被發(fā)現(xiàn),但如今情況已不同,如今的網(wǎng)絡(luò)釣魚攻擊更具說服力,往往與真實(shí)信息無異。
因此,許多公司都在使用網(wǎng)絡(luò)釣魚模擬測試來培訓(xùn)員工,以識別和防范此類攻擊。
人力資源團(tuán)隊(duì)經(jīng)常參與這些項(xiàng)目的推行,尤其是在員工培訓(xùn)、合規(guī)和意識提升方面。雖然技術(shù)方面的工作通常由IT或安全團(tuán)隊(duì)負(fù)責(zé),但人力資源團(tuán)隊(duì)在確保培訓(xùn)成效方面發(fā)揮著關(guān)鍵作用。
這些模擬測試的實(shí)際效果如何?
研究人員對常見網(wǎng)絡(luò)釣魚培訓(xùn)方法的實(shí)際效果展開了一項(xiàng)研究,他們發(fā)現(xiàn),在各種培訓(xùn)內(nèi)容中,受過培訓(xùn)和未受過培訓(xùn)的用戶在失敗率上的絕對差異很小。
不過,我們應(yīng)謹(jǐn)慎看待這一結(jié)果,因?yàn)樵撗芯績H在一家醫(yī)療機(jī)構(gòu)內(nèi)開展,且僅以點(diǎn)擊率作為衡量成功或失敗的標(biāo)準(zhǔn),并未全面反映實(shí)際情況。
谷歌安全經(jīng)理馬特·林頓(Matt Linton)表示,網(wǎng)絡(luò)釣魚測試已經(jīng)過時(shí),往往給員工帶來更多挫敗感,而非真正改善他們的安全習(xí)慣。
另一方面,采用適應(yīng)性網(wǎng)絡(luò)釣魚模擬測試和基于行為的培訓(xùn)(尤其是在入職培訓(xùn)期間)的公司發(fā)現(xiàn),新員工的網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)降低了30%。
盡管任何培訓(xùn)都不可能盡善盡美,但教育員工識別網(wǎng)絡(luò)釣魚仍是良好安全策略的關(guān)鍵組成部分。
事實(shí)上,網(wǎng)絡(luò)釣魚手段不斷演變,幾個(gè)月前還看似貼切的模擬測試可能現(xiàn)在已經(jīng)過時(shí)。如果培訓(xùn)不能跟上新威脅的步伐,員工可能無法應(yīng)對現(xiàn)實(shí)中的網(wǎng)絡(luò)釣魚攻擊。
因此,網(wǎng)絡(luò)釣魚模擬測試作為更大戰(zhàn)略的一部分時(shí)效果最佳,對于人力資源部門而言,這意味著要關(guān)注持續(xù)教育、溝通,并營造一種安全的工作文化,讓員工敢于報(bào)告可疑郵件。
網(wǎng)絡(luò)釣魚模擬測試的弊端
員工倦怠
網(wǎng)絡(luò)釣魚模擬測試的目的是訓(xùn)練員工識別真實(shí)威脅,但如果員工對測試感到厭倦,他們可能也會忽視真正的網(wǎng)絡(luò)釣魚企圖,這與企業(yè)的初衷背道而馳。
對士氣的負(fù)面影響
當(dāng)有人點(diǎn)擊了虛假釣魚郵件時(shí),他們往往會感到尷尬或自責(zé),有時(shí)員工會擔(dān)心管理層會懲罰他們,或者同事會評判他們,這種負(fù)面情緒會降低他們的自信心和學(xué)習(xí)意愿。
測試泛泛而談,未切中要害
并非所有網(wǎng)絡(luò)釣魚測試都能切中要害,一些公司使用的測試示例過于通用、陳舊,無法反映員工實(shí)際面臨的真實(shí)威脅,在這種情況下,人們往往會忽視這些測試。
讓網(wǎng)絡(luò)釣魚培訓(xùn)在團(tuán)隊(duì)中發(fā)揮作用的步驟
要讓任何培訓(xùn)項(xiàng)目發(fā)揮作用,首先需要了解企業(yè)面臨的風(fēng)險(xiǎn),哪些員工面臨的風(fēng)險(xiǎn)最大?他們對網(wǎng)絡(luò)釣魚已經(jīng)了解多少?
接下來,與IT或安全團(tuán)隊(duì)緊密合作,創(chuàng)建與當(dāng)前威脅相匹配的網(wǎng)絡(luò)釣魚測試。
告知員工預(yù)期情況,解釋這些測試的重要性,以及它們?nèi)绾斡兄诜婪秵栴}。
不要責(zé)備員工,如果有人在測試中失敗,應(yīng)將其視為學(xué)習(xí)機(jī)會,而非懲罰依據(jù),這樣做,員工就不太可能隱瞞錯(cuò)誤或避免報(bào)告網(wǎng)絡(luò)釣魚郵件。
選擇供應(yīng)商時(shí),要注重內(nèi)容和逼真的模擬測試,系統(tǒng)應(yīng)易于使用,并提供有用的報(bào)告。
最后,征求員工的反饋意見,了解哪些有效、哪些無效,并利用所學(xué)知識不斷改進(jìn)培訓(xùn)。
IRONSCALES的CEO埃亞爾·貝尼斯蒂(Eyal Benishti)表示:“雖然傳統(tǒng)的安全意識培訓(xùn)對于在整個(gè)企業(yè)中建立共同的知識基礎(chǔ)至關(guān)重要,但必須認(rèn)識到,員工在具體知識和可靠性方面存在差異。作為第一步,企業(yè)應(yīng)使用網(wǎng)絡(luò)釣魚模擬測試為每位員工建立績效基準(zhǔn),在此基礎(chǔ)上,企業(yè)可以根據(jù)每位員工的經(jīng)驗(yàn)、知識水平、部門、職位等,為其提供更具針對性的培訓(xùn)模擬測試。”
