根據(jù)最新的《Verizon數(shù)據(jù)泄露報告》顯示，網(wǎng)絡(luò)釣魚電子郵件通常是網(wǎng)絡(luò)攻擊的第一階段。這是因為其攻擊效果良好，30%的網(wǎng)絡(luò)釣魚郵件都會被打開，但只有3%的受害者上報給管理人員。

但是，當(dāng)企業(yè)員工接受了相關(guān)的如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚郵件的培訓(xùn)、然后進行了模擬網(wǎng)絡(luò)釣魚郵件的測試之后，每一輪的強化訓(xùn)練都會使得網(wǎng)絡(luò)釣魚郵件的受害者的百分比大幅下降。

當(dāng)然，想要使得這些網(wǎng)絡(luò)釣魚電子郵件獲得零回應(yīng)率是不可能的。因為現(xiàn)如今的網(wǎng)絡(luò)罪犯們在他們所發(fā)送的電郵信息方面變得越來越狡猾了。慶幸的是，這不是必要的。如果一家企業(yè)有足夠多的員工都在向其安全管理人員轉(zhuǎn)發(fā)報告網(wǎng)絡(luò)釣魚郵件時，那么該公司就會開始意識到，他們已經(jīng)成為了網(wǎng)絡(luò)攻擊活動的目標，需要準備采取相應(yīng)措施來處理這些網(wǎng)絡(luò)釣魚郵件了。

反網(wǎng)絡(luò)釣魚工作組

這家反網(wǎng)絡(luò)釣魚工作組(Anti-Phishing Working Group)為企業(yè)客戶提供了各種資源，包括釣魚教育培訓(xùn)登陸頁面，企業(yè)客戶可以在他們自己的反網(wǎng)絡(luò)釣魚活動上結(jié)合該頁面使用。下文中所介紹的其他一些供應(yīng)商，包括PhishMeInc.公司和KnowBe4，也提供相關(guān)的免費資源。

另一款免費的工具是來自 MicroSolved公司所提供的MSI Simple Phish，其允許企業(yè)用戶的安全團隊在企業(yè)內(nèi)部來運行自己的網(wǎng)絡(luò)釣魚測試。

BetterCloud公司為企業(yè)用戶提供了基于云的辦公應(yīng)用程序的安全和監(jiān)控服務(wù)。當(dāng)與該公司屬于同一幢寫字樓的另一家公司因為網(wǎng)絡(luò)釣魚而損失了200萬美元，而且他們所購買的網(wǎng)絡(luò)安全保險根本不足以彌補其損失之后，BetterCloud公司開始擔(dān)心網(wǎng)絡(luò)釣魚的問題了。

“他們的業(yè)務(wù)真的遭受到了重創(chuàng)。”BetterCloud公司的高級安全工程師奧斯丁·惠普爾表示說。“而想要從此次重創(chuàng)中恢復(fù)是很難的。”

為此，BetterCloud公司在全公司范圍內(nèi)實施了員工培訓(xùn)，然后自行創(chuàng)建了一個似乎是由該公司的人 力資源系統(tǒng)發(fā)送的網(wǎng)絡(luò)釣魚電子郵件的活動，但其實是來自公司外部的電子郵件地址。此次活動還伴隨著更多的后續(xù)教育隨訪。

“相比于其他企業(yè)組織，或者Verizon公司的報告，我們干得相當(dāng)不錯。”他說。 “但仍有一些可以改進的地方。”

他補充說，當(dāng)過一段時間之后，他們公司還會進行另一次網(wǎng)絡(luò)釣魚測試。而該公司的員工們會向他本人轉(zhuǎn)發(fā)可疑的電子郵件，很明顯，該公司已經(jīng)成為某些網(wǎng)絡(luò)不法份子的攻擊目標了，因為一些真正的網(wǎng)絡(luò)釣魚郵件包括了他們企業(yè)內(nèi)部的某些信息，將需要進行一些研究了，他補充道。

據(jù)惠普爾介紹說，建立一個反網(wǎng)絡(luò)釣魚訓(xùn)練方案計劃并不太難。

“任何一名技術(shù)人員都可以完成這件事，”他說。 “這并不需要大量的設(shè)置工作。您企業(yè)只需要教育和培訓(xùn)您的員工，進行測試，然后對員工進行再教育，并做后續(xù)測試就行了。”

PhishMe

PhishMe公司的釣魚模擬、訓(xùn)練和報告平臺目前在全球范圍內(nèi)擁有超過800家企業(yè)客戶，包括其中有近一半的客戶是財富100強的企業(yè)，這些企業(yè)客戶采用他們的工具和服務(wù)來積極的讓數(shù)千名員工在模擬條件下檢測和報告網(wǎng)絡(luò)釣魚攻擊的威脅。

PhishMe公司還提供了一款網(wǎng)絡(luò)釣魚事件響應(yīng)平臺，能夠針對網(wǎng)絡(luò)釣魚郵件更快的響應(yīng)，進行自動并優(yōu)先的報告發(fā)送;而他們的另一項威脅情報服務(wù)，則能夠幫助安全威脅分析人員通過診斷他們所看到的網(wǎng)絡(luò)釣魚活動以驗證外部威脅。

通過將網(wǎng)絡(luò)安全保護意識培訓(xùn)、簡單方便的報告和適當(dāng)?shù)陌踩憫?yīng)對策結(jié)合起來，企業(yè)組織的員工們可以從一家公司的安全防護最薄弱的一環(huán)轉(zhuǎn)變成為企業(yè)安全保障的第一線。

“員工是抵御魚叉式網(wǎng)絡(luò)釣魚最強大的層，而企業(yè)組織需要利用其員工可以提供的每一個安全優(yōu)勢，以保持對于這項頂級網(wǎng)絡(luò)安全攻擊的防范。”PhishMe公司的首席執(zhí)行官Rohyt Belani表示說。

PhishMe公司還提供了十幾款免費的培訓(xùn)模版，以交互式的PDF文件格式或符合SCORM兼容的文件格式，可以通過一家企業(yè)客戶的學(xué)習(xí)管理系統(tǒng)運行。

PhishLabs

PhishLabs的客戶包括了排名美國前五大金融機構(gòu)的其中四家、全球排名前25的金融機構(gòu)的其中七家、領(lǐng)先的社交媒體和求職網(wǎng)站、以及頂級的醫(yī)療保健企業(yè)、零售商、保險和科技公司。

“讓模擬場景盡可能的真實。” PhishLabs公司的創(chuàng)始人兼首席執(zhí)行官約翰·拉科建議說。 “如果您希望您企業(yè)的員工們能夠及時發(fā)現(xiàn)并報告真實世界的網(wǎng)絡(luò)安全攻擊，那么，您的模擬測試絕對需要能夠反映他們最有可能在真實世界的所看到的網(wǎng)絡(luò)攻擊。”

此外，一旦你企業(yè)組織的員工報告了相關(guān)的網(wǎng)絡(luò)安全攻擊，那么，您的企業(yè)一定需要有一套到位的流程，使他們可以在早期對這些有針對性的攻擊做出響應(yīng)，因為正是在網(wǎng)絡(luò)攻擊的早期，他們才以最低的成本減輕其所帶來的損失。

“但是，如果這些報告只是被排隊堆積在服務(wù)臺的話，這是不能發(fā)生的。”他補充說。

IronScales

IronScales公司為企業(yè)客戶提供網(wǎng)絡(luò)釣魚模擬和游戲化的企業(yè)員工安全意識培訓(xùn)。

游戲化使得培訓(xùn)的過程變得更有樂趣和互動性，IronScales公司的首席執(zhí)行官Eyal Benishti表示說。 “人們已經(jīng)厭倦了子彈和無聊的視頻。”

當(dāng)涉及到行為改變時，持續(xù)的評估能夠使影響最大化，他補充說。他建議企業(yè)客戶可以至少每兩個月進行一次測試。

根據(jù)從約60多家企業(yè)所收集到的數(shù)據(jù)顯示，其結(jié)果是，網(wǎng)絡(luò)釣魚郵件的點擊率將明顯降低，而員工向安全管理人員轉(zhuǎn)發(fā)網(wǎng)絡(luò)釣魚郵件的比例比之前增長了200%。

MediaPro

Mediapro公司為企業(yè)客戶提供培訓(xùn)和鞏固方案，以及自適應(yīng)的網(wǎng)絡(luò)釣魚模擬器。該公司的客戶包括微軟、T-Mobile、Expedia、思科、甲骨文、波音公司、萬豪酒店、Costco和其他財富500強企業(yè)。

不要對企業(yè)員工就同一類型的網(wǎng)絡(luò)釣魚郵件進行一遍又一遍的測試是非常重要的，MediaPro Holdings, LLC公司的董事總經(jīng)理史蒂夫·康拉德表示。

“并非所有的網(wǎng)絡(luò)釣魚活動都是一樣的，而且也不應(yīng)該是一樣的。”他說。 “您企業(yè)將需要使用不同的模式，來測試發(fā)送復(fù)雜程度完全不同的網(wǎng)絡(luò)釣魚郵件，而那些不同的模式會產(chǎn)生不同的效果。而如果一而再，再而三的發(fā)送相同或類似的網(wǎng)絡(luò)釣魚郵件，您郵件的最終用戶所顯示的網(wǎng)絡(luò)釣魚報告將是：郵件的點擊率固然會大幅下降，但這并不會幫助您實現(xiàn)您最初的測試目標。”

KnowBe4

世界頭號黑客大神凱文·米特尼克是KnowBe4公司的首席黑客官，該公司聲稱擁有最流行的集成平臺，能夠為上千家企業(yè)客戶提供安全意識培訓(xùn)和模擬網(wǎng)絡(luò)釣魚測試。

根據(jù)該公司的首席執(zhí)行官Stu Sjouwerman介紹說，網(wǎng)絡(luò)釣魚郵件通常會涉及到各種不同的網(wǎng)絡(luò)攻擊，包括勒索軟件(ransomware)和商務(wù)電郵攻擊(business email compromise , BEC)。

“今年，由商務(wù)電郵攻擊和勒索軟件的犯罪活動所造成的損失已高達10億美元。”他說。

KnowBe4公司也提供了一款免費的釣魚安全測試。該公司還提供一次性的免費電子郵件曝光檢查，以幫助確定企業(yè)雇員的電子郵件地址是否被暴露于公眾。

Wombat

Wombat公司聲稱擁有1000多家企業(yè)客戶，并提供自動化的網(wǎng)絡(luò)釣魚測試和培訓(xùn)模塊服務(wù)。該公司是在這個領(lǐng)域最早的供應(yīng)商之一，于2008年由卡內(nèi)基·梅隆大學(xué)的一個研究項目發(fā)展而來。

此后，該公司繼續(xù)專注于研究，并定期推出有關(guān)網(wǎng)絡(luò)釣魚的趨勢和培訓(xùn)效果的研究報告。例如， Wombat公司與安全研究中心Ponemon Institute進行合作，以確定平均執(zhí)行程序?qū)е铝?7倍投資的回報。

據(jù)Wombat Security Technologies公司的首席執(zhí)行官喬·費拉拉介紹說，網(wǎng)絡(luò)釣魚平均每年會耗費一家擁有10000名雇員的企業(yè)大約300萬美元的成本，而借助一項成功的員工安全培訓(xùn)計劃則可以使得遭受網(wǎng)絡(luò)釣魚攻擊的員工數(shù)量減少90%。

他說，一個成功的員工安全培訓(xùn)方案的關(guān)鍵在于，當(dāng)他們在一個網(wǎng)絡(luò)釣魚測試考驗失敗后，自動為這些雇員發(fā)送一個網(wǎng)絡(luò)釣魚訓(xùn)練模版。

此時，他們最有動力加強這方面的改善，他說。

Inspired eLearning

該公司為其客戶提供了反網(wǎng)絡(luò)釣魚訓(xùn)練，模擬網(wǎng)絡(luò)釣魚攻擊，月度通訊，海報，數(shù)字標牌和其他工作指導(dǎo)，持續(xù)提供相關(guān)最佳方案的貼士，以幫助企業(yè)客戶的員工時刻將保持網(wǎng)絡(luò)安全放在首位。該公司的客戶包括富蘭克林鄧普頓投資公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集團(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美國農(nóng)業(yè)部(the USDA)和ABB。

該公司表示，他們在全球擁有五百多萬的企業(yè)用戶，其所提供的方案幫助共計減少了超過92%的網(wǎng)絡(luò)釣魚攻擊。

其PhishProof產(chǎn)品可作為一款完全托管的服務(wù)，而該公司的專家設(shè)計團隊則提供部署評估和培訓(xùn)，或作為軟件即服務(wù)模型，可通過在線軟件的形式在幾分鐘內(nèi)用于創(chuàng)建和部署評估。

Blackfin

Blackfin Security公司是賽門鐵克的下屬子公司，該公司提供網(wǎng)絡(luò)釣魚模擬和培訓(xùn)服務(wù)。網(wǎng)絡(luò)安全意識培訓(xùn)可以被集成整合到在線的網(wǎng)絡(luò)釣魚模擬評估即時培訓(xùn)，或者企業(yè)用戶也可以根據(jù)他們的日程來安排適合他們的后續(xù)培訓(xùn)。

此外，該公司還提供了針對社會工程、惡意軟件、物理安全、和使用公共WiFi網(wǎng)絡(luò)的培訓(xùn)模塊，以及其他一般的安全議題。

這不同于賽門鐵克自己的訓(xùn)練計劃，后者的計劃則致力于幫助企業(yè)用戶的安全專業(yè)人員安裝和維護不同的賽門鐵克產(chǎn)品。

PhishLine

比反釣魚測試更進一步，PhishLine將目標瞄準了更廣泛的社會工程攻擊，包括短信、電話、甚至是“不小心丟失”的U盤。

今年早些時候，PhishLine公司為基于第三方的計算機市場推出了培訓(xùn)材料，包括數(shù)以百計的釣魚模板，自定義的登陸頁面，風(fēng)險評估調(diào)查和多語種的安全培訓(xùn)內(nèi)容。

除了訓(xùn)練和模擬服務(wù)，該公司還提供測量工具，使得企業(yè)用戶可以跟蹤他們的計劃是否成功。例如，其中的一款測量工具可用于游戲化，是基于風(fēng)險的評分工具。企業(yè)用戶可以在這里設(shè)置訓(xùn)練成績，進而可以對員工個人，部門或其他團體的評分進行比較，或?qū)ζ髽I(yè)內(nèi)部或外部的評分基準進行定制。

InfoSec Institute

這家公司最出名的是他們的企業(yè)安全培訓(xùn)、新兵訓(xùn)練營和認證計劃。

但他們也提供了交互式的安全意識在線培訓(xùn)模塊。他們的SecurityIQ產(chǎn)品結(jié)合了基于計算機的安全意識培訓(xùn)和一款基于云的網(wǎng)絡(luò)釣魚模擬器服務(wù)。企業(yè)用戶可以設(shè)置自動的項目，隨著時間的推移為其雇員發(fā)送網(wǎng)絡(luò)釣魚測試，或提醒雇員報名參加他們的網(wǎng)絡(luò)安全意識培訓(xùn)。

盡管企業(yè)用戶在企業(yè)內(nèi)部建立反網(wǎng)絡(luò)釣魚訓(xùn)練和測試程序也是可能的，但包括諸如InfoSec Institute在內(nèi)的、以及上文中所提到的供應(yīng)商則能夠為企業(yè)客戶帶來一些顯著的優(yōu)勢。

“通常情況下，企業(yè)組織在其內(nèi)部并不具備提供良好的網(wǎng)絡(luò)安全意識教育培訓(xùn)的條件。” NSS Labs.的安全測試和咨詢副總裁Mike Spanbauer表示說。

而那些專注于網(wǎng)絡(luò)釣魚的供應(yīng)商們則能夠時刻把握當(dāng)前網(wǎng)絡(luò)釣魚郵件的新趨勢，并可以將其迅速整合到他們的安全訓(xùn)練計劃和反網(wǎng)絡(luò)釣魚模擬模板中。