在MGM事件发生后,我认为这是讨论钓鱼攻击意识的好时机。
据传闻,攻击者能够冒充MGM内部员工,通过社会工程学手段让客服部门重置了他们的密码。这个故事虽然可信,但真假未知。不过,它让所有人都开始讨论钓鱼攻击以及这类攻击如何融入我们的威胁模型。
钓鱼攻击,无论是通过短信、电话、电子邮件甚至面对面进行,通常都有一个共同点:它们针对的是那些不太可能拥有任何网络安全经验的员工,因此无法识别社会工程学攻击。
一个合乎逻辑但经常被误导的做法是钓鱼培训,许多组织试图将普通员工转变为业余威胁分析师。别误会,我并不是说所有的钓鱼意识培训都是坏的,但效果会因方法不同而有很大差异。钓鱼意识可能会提升你的安全态势,也可能会完全破坏它。
误导性钓鱼意识与测试的陷阱
具体来说,钓鱼测试有点像一把双刃剑。如果模拟攻击不够真实,可能会训练员工只检测和避开特定示例,或者更糟的是,只避开一般的钓鱼测试。另一方面,如果攻击过于真实,可能会侵蚀员工信任并在组织内部制造摩擦。
攻击者自由地利用人们的情绪,但安全测试人员不应该这样做。我见过假装生病亲属的钓鱼模拟,在财务困难时期向员工宣布虚假奖金,甚至公开羞辱测试失败的员工。虽然钓鱼诱饵本身可能非常有效,但最终结果可能适得其反。
想象一下,你在工作中度过了漫长而艰难的一年。你正在为账单发愁,也许你的车需要大修。但别担心,你会得到圣诞奖金!或者,你是这么想的。点击链接后,你面对的残酷现实是,你不仅得不到奖金,还必须在繁忙的工作日程中抽出时间参加钓鱼培训。
开玩笑 aside,利用员工情绪或因为他们在非本职工作上的失败而惩罚他们,可能会产生极大的反效果。成为真正钓鱼攻击受害者的员工出于恐惧、羞耻或怨恨,将更不可能通知安全团队。员工也可能试图通过破坏其他安全控制来避免钓鱼测试失败,例如使用不运行EDR或绕过企业网关的个人设备。
我经常开玩笑说,世界上最好的黑客不是为勒索软件组织工作的人,也不是NSA,而是当安全控制妨碍他们工作时的你的员工。
有效钓鱼意识的考量
钓鱼意识是众包威胁情报的有效方式。组织应该积极激励员工报告可疑活动,尽可能给予积极反馈。许多钓鱼诱饵制造了虚假的紧迫感,导致目标只在事后才意识到自己已成为受害者。由于成功的钓鱼尝试可能在几小时内升级为全面入侵,员工自我报告可能轻易成为重新发放访问令牌与应对勒索软件事件之间的区别。
即使是不成功的钓鱼尝试报告也通常能提供关于攻击者工具、技术和程序的宝贵见解,这些可用于加强其他防御。已知的钓鱼网址和有效载荷也可以被监控或阻止,以防止未来员工受害。
关于钓鱼测试,我尚未确定它们是否值得。我看不出为什么员工不能简单地熟悉常见的钓鱼诱饵,而不必成为预定目标。钓鱼模拟运行着在员工和安全团队之间制造不信任和摩擦的极高风险。
钓鱼测试的考量
如果要进行钓鱼测试,我认为谨慎行事很重要。组织应完全避免情感操纵性诱饵,如涉及加薪、假期或生病亲属的诱饵。我也认为惩罚钓鱼测试失败的员工是不明智的。是的,我把钓鱼意识培训也算在内。
不得不放下繁忙的工作量来专注于琐碎的任务是令人疲惫的。除此之外,被单独挑出来,或者更糟的是,成为整个团队被纳入培训的原因,是完全羞辱性的。你从钓鱼测试中最不想要的就是阻止员工报告真实威胁。
就个人而言,如果测试是必须的,我会倾向于无声钓鱼测试。员工不会得到任何表明这是测试、曾是测试或他们失败了的指示。收集的数据可以在幕后用于告知未来的安全决策,而不会破坏员工信任。即便如此,我仍然会不惜一切代价避免情感操纵性诱饵。
总的来说,我认为钓鱼意识可能非常有效,但太多组织将其视为胡萝卜加大棒的练习。负面激励在生活的任何方面都很少起作用,组织安全也不例外。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
