网络钓鱼攻击是最普遍的网络攻击手段之一。
同样,网络钓鱼意识培训的存在是为了教育员工识别和报告网络钓鱼电子邮件。
然而企业为什么需要实施网络钓鱼意识培训?当前的培训做法是否可行?
本文将解答并深入探讨各类行业、规模的企业如何轻松启动这些计划。
01
网络钓鱼安全意识培训旨在向最终用户普及特定网络钓鱼威胁,并提供相应防范手段。这类培训通常采用模块化方式。
有效的网络钓鱼意识培训通常使用小的知识模块,涵盖不同的网络钓鱼方案和影响,让用户了解如何在个人和企业层面上保护自己免受网络钓鱼攻击。
培训课程还包括网络钓鱼模拟,允许用户在安全环境下检验自身知识及发现警告标志,及时报告并防范网络钓鱼威胁。
02
网络钓鱼攻击威胁不断发展,对于企业而言,检测变得更具挑战性。
最近一份由Fortra的Terranova Security与益普索(Ipsos)合作的报告显示,法国、英国、加拿大、澳大利亚和美国约有76%的员工认为,他们本人或他们认识的人已经成为网络攻击的针对对象。但同一份报告也显示,52%的受访者认为他们的工作与网络安全无关。
然而,考虑到单个数据泄露可能带来的实际成本,例如数据成本、停机时间、声誉受损所带来的业务损失、闲置员工和监管罚款等,这些惊人的数字就变得更具现实意义了。
03
简而言之,如果执行得当,网络钓鱼教育培训是能够降低公司受攻击风险的,最近的一项研究表明,这种教育培训可以降低80%以上的攻击风险。
由于人为错误导致的数据泄漏占到了88%,因此对员工进行网络钓鱼威胁安全教育至关重要。然而,需要牢记的是,培训目的不在于恐吓或激发员工的恐惧,而是教育和提高其意识水平。
成功的安全意识培训应当让员工更加了解恶意电子邮件的征兆和风险。与其他安全和意识计划一样,网络钓鱼意识计划也应该教导用户如何识别网络钓鱼的标志、协议和场景。最为重要的是,应该根据组织的需求和文化设定战略目标、目的和指标,这将影响整个方法的执行。
04
1
获得内部领导的支持
进行良好的网络钓鱼模拟必须先取得管理层的批准。通知并指导相关人员如何应对网络钓鱼邮件的投诉。请记住,员工在发现网络钓鱼消息(实际或模拟)时都是一样的:联系某人或IT服务台。在模拟期间,您可以选择不通知员工这是一个测试,而通知IT部门进行处理。
2
制定可操作的网络钓鱼模拟策略
接下来是计划。制定一个合理的计划,不要过于频繁地发送测试邮件,否则员工会变得习以为常。同时,也不要过于短时间内频繁发送,以便收集足够的统计数据,绘制出准确的报告并保持用户敏感度。
不要一次性向整个公司发送网络钓鱼邮件,因为这可能会引起怀疑之声。相反,应该选择特定的部门发送,比如对于财务部门,带有紧急语气的电子邮件可以迅速引起员工注意,从而快速采取相关行动。
此外,我们应像黑客一样思考,即重视员工点击链接的可能性。为此,可以使用“未付账单”、“免费”或“专属优惠”等术语作为邮件主题,以提高攻击效果。
3
利用数据
在网络钓鱼模拟活动期间跟踪电子邮件打开率、附件下载、信息泄露和点击率。绘制有关遭受网络钓鱼攻击的用户数量以及报告事件的员工数量的报告。
领取优惠
提交成功!