如今，網絡釣魚已演變成黑客用來滲透組織的最有效的工程攻擊手段。網絡釣魚的目標是讓人們不知不覺地下載惡意軟件或泄露他們的訪問憑據。最好的防御是作好個人警惕和防護工作。

在剛剛結束的“網絡安全意識月”提醒人們，個人和集體行為是包含網絡安全事件風險的行為。

以下是大多數組織能夠以適度的成本實施的措施，并大大提高個人的警惕措施，從而降低網絡釣魚成功攻擊的風險。

安全意識培訓

安全意識培訓是減少網絡釣魚攻擊的最簡單的措施。在許多組織中，每個人都需要參加基本的安全意識培訓。通常培訓大綱包括：

1.適當的組織和個人的互聯網使用。

2.釣魚和其他類型攻擊的定義。

3.黑客動機概述。

4.網絡釣魚攻擊和其他惡意入侵的不良后果。

5.遵守密碼策略以及如何保護個人訪問憑據。

6.如何發現可疑的傳入電子郵件。

7.組織的電子監視防御的限制。

8.審查機密信息管理政策，包括：

·妥善處理機密信息。

·告誡不要點擊來源不明電子郵件中的鏈接或附件。

·提醒不要在沒有適當授權的情況下發出組織信息。

·鼓勵向網絡安全團隊報告可疑的電子郵件。

9.報告網絡釣魚和其他安全事件。

10.網絡安全小組如何調查網絡釣魚和其他事件。

11.物理安全和進入建筑物。

背景篩選

有時，一些黑客加入組織作為雇員或承包商只是收集內部信息。背景篩選是基于收集的信息預先處理未來網絡釣魚攻擊的重要政策。而篩選不應僅限于員工，而應包括供應商員工和合同工，因為幾乎每個人都能獲得某種形式進入一些機構網絡和設施的機會。

不篩查或隨意篩選會讓黑客收集內幕信息用于未來的攻擊。

網絡釣魚意識培訓幾乎徒勞無功，因為那些已經經過訓練，并警告和威脅工作人員不要點擊可疑的電子郵件附件，但他們仍然這樣做。員工似乎對此還不太重視。

每個組織都應該操作訪問控制系統，以確保只有明確授權的人才可以訪問系統和設施。每個人都需要學會堅定地挑戰他們不認識的人和事。

頻繁的物理安全監督包括：

1.在訪問控制系統離開組織后，不會嚴格刪除他們。

2.為個人擔任的角色提供太多的機會。

模擬社會工程演習

有時，網絡安全團隊應將網絡釣魚消息作為一種演練發送給員工，以評估組織中安全意識培訓的有效性。

排除演練價值的事件包括：

1.不舉行演習。

2.舉辦過多的演練，可能讓大量的員工煩惱。

3.制裁懲罰失誤的員工，而不是使用這種相關事件來加強培訓。

信息分類政策

組織應該發展，員工應該閱讀和簽署信息分類和管理政策。分類為組織數據的類別分配了一定的價值和敏感性。每個信息分類包括用于查看，編輯和共享數據的不同規則。

網絡安全團隊應該不斷監控與網絡上浮動的組織相關的信息。發現機密信息應觸發調查。這些過程應保護機密信息，并使被動信息收集對攻擊者更加困難。

破壞政策和這些過程的因素包括：

1.每個信息類別的模糊或復雜和冗長的定義。

2.未能調查潛在事件。

3.未能懲罰員工違規行為。