就目前來看，任何企業(yè)都無法完全脫離網(wǎng)絡(luò)。員工需要網(wǎng)絡(luò)來辦公，企業(yè)之間需要網(wǎng)絡(luò)來進(jìn)行聯(lián)絡(luò)。然而，從人們開始擁抱互聯(lián)網(wǎng)的時(shí)刻起，網(wǎng)絡(luò)釣魚已經(jīng)成為了網(wǎng)絡(luò)里一種威脅深刻、最可惡的黑客手段，而且其手段日益多樣化且越來越成功。

網(wǎng)絡(luò)釣魚就像在一個(gè)木桶里釣魚一樣——只要有足夠的時(shí)間，黑客100%可以成功的將目標(biāo)釣上線，而且如果黑客認(rèn)識到目標(biāo)企業(yè)會習(xí)慣性的遭到社工攻擊，那么他們就會繼續(xù)以目標(biāo)企業(yè)為目標(biāo)，這樣的攻擊就會持續(xù)惡性循環(huán)下去。

古語云：”不怕賊偷、就怕賊惦記“。用在這里再合適不過了，黑客時(shí)間充足、資金充足、目標(biāo)明確，他可以長時(shí)間針對目標(biāo)。黑客的唯一目的就是利用社工技巧成功吸引到一名“幸運(yùn)兒”，而這個(gè)幸運(yùn)兒很有可能就是黑客打開企業(yè)數(shù)據(jù)大門的金鑰匙。而作為企業(yè)本身的任務(wù)之一就是保護(hù)所有潛在的“幸運(yùn)兒”。

注意：利用網(wǎng)絡(luò)進(jìn)行辦公、聯(lián)絡(luò)，在上述文字中特指例如：電子郵件、即時(shí)溝通軟件、社交媒體軟件、論壇等。

而大部分企業(yè)在面對網(wǎng)絡(luò)釣魚時(shí)，要么過度依賴技術(shù)解決方案，以至于令人困惑，要么使用不夠有效的培訓(xùn)手段，以至于令人反感。不過，即使在企業(yè)中，為員工提供培訓(xùn)，反復(fù)提醒員工核實(shí)可疑通信，持續(xù)更新釣魚手段來模擬釣魚。企業(yè)依舊容易受到社工攻擊。

下面我將列出在企業(yè)中反網(wǎng)絡(luò)釣魚策略不起作用的六個(gè)原因：

1、網(wǎng)絡(luò)釣魚攻擊變得更加可信和復(fù)雜

當(dāng)今互聯(lián)網(wǎng)時(shí)代，信息泄露事件層出不窮，而網(wǎng)絡(luò)分子還在不斷開發(fā)新的手段和方式來誘騙人們泄露敏感信息，隨著可利用的信任信息越來越多，新的技術(shù)手段越來越多，網(wǎng)絡(luò)釣魚攻擊也變得越來越復(fù)雜。

就目前市場上的郵件網(wǎng)關(guān)來看，雖然技術(shù)上做到如火純青，可以說是滴水不漏，一旦監(jiān)測到郵件內(nèi)容帶附件、帶超鏈接、帶關(guān)鍵詞、偽造域名等，就會直接將其攔截。

但就成功的釣魚案例來看，郵件網(wǎng)關(guān)無法防止企業(yè)內(nèi)部員工郵箱向其他內(nèi)部員工發(fā)送釣魚郵件，也無法檢測郵件內(nèi)容圖片是否存在危害(可以放置一個(gè)二維碼，誘騙目標(biāo)掃碼從而進(jìn)行攻擊)，對于在郵件內(nèi)容上留一個(gè)聯(lián)系方式，將目標(biāo)引流至其他社交平臺上進(jìn)行釣魚的攻擊也無法檢測了。當(dāng)然，這其中是現(xiàn)有技術(shù)暫時(shí)無法解決的亦或者就不是郵箱網(wǎng)關(guān)該做的事情。

而有了chatgpt這類的聊天軟件+泄露的大量敏感信息。攻擊者可以針對特定的目標(biāo)制定一個(gè)天衣無縫且精美吸引人的釣魚場景及內(nèi)容來誘騙受害者。當(dāng)然，這都是在網(wǎng)絡(luò)釣魚。

你不必?fù)?dān)心，如果在現(xiàn)實(shí)中這樣的攻擊，就不叫網(wǎng)絡(luò)釣魚了，而是商業(yè)間諜了。

2、把所有雞蛋都放進(jìn)技術(shù)籃子里

可以知道的是，企業(yè)在知道“網(wǎng)絡(luò)釣魚是企業(yè)最大網(wǎng)絡(luò)威脅之一”、“人是最大的威脅風(fēng)險(xiǎn)”后，也會采取一些防御和補(bǔ)救措施。但目前來看，大部分企業(yè)會將企業(yè)90%的資源，甚至100%的資源放到技術(shù)手段上。雖然技術(shù)是根基，是不可或缺的手段，最新的技術(shù)會提供一些好的方法，可以監(jiān)控可疑電子郵件。但越來越高端的技術(shù)只會讓壞人變得越來越老練。

如果我們擁有最好的工具，但沒有培訓(xùn)員工的安全意識。那糟糕的事情還是會發(fā)生。

就我目前就職的企業(yè)來看，當(dāng)我的郵箱在接收到可疑的郵件時(shí)，會在郵件標(biāo)題上打上[疑似釣魚郵件]xxxx通知，也可以設(shè)置策略，對此類郵件進(jìn)行自動阻止。同時(shí)現(xiàn)有技術(shù)手段完全可以做到SIEM[安全信息和事件管理]和SOAR[安全編排，自動化響應(yīng)]。我覺得非常不錯(cuò)，但依舊會出現(xiàn)有員工被成功釣魚的情況，這是員工安全意識不夠。

3、沒有采取全面的縱深防御策略

企業(yè)可以采購最新的工具和技術(shù)來加固企業(yè)網(wǎng)絡(luò)安全防火墻以及采取持續(xù)性的安全意識培訓(xùn)來加固企業(yè)員工人腦防火墻。但依舊會失敗的點(diǎn)在于企業(yè)沒有采取全面縱深的防御策略

企業(yè)可能關(guān)注一些特定的技術(shù)：反郵件釣魚、多因素身份驗(yàn)證、數(shù)據(jù)加密、端點(diǎn)/移動安全，但可能會忽略其他能夠降低網(wǎng)絡(luò)殺傷鏈的技術(shù)，例如：檢測企業(yè)內(nèi)部弱口令帳戶、監(jiān)測企業(yè)外部泄露的信息資產(chǎn)面等。

如果不實(shí)施全面的深度防御策略而僅僅依賴一些反網(wǎng)絡(luò)釣魚的技術(shù)就會出現(xiàn)一種情況：黑客只需要一次成功的攻擊，就可以摧毀整個(gè)系統(tǒng)。不論是信任基于技術(shù)手段還是依賴培訓(xùn)用戶本質(zhì)上是有缺陷的。因?yàn)槿撕苋菀追稿e(cuò)，而攻擊者只需要利用這一個(gè)錯(cuò)誤就可以攻擊成功。

防御網(wǎng)絡(luò)釣魚的最佳方式是采用分層防御方法，這包括在每個(gè)工作站上安裝EDR，擁有強(qiáng)大的漏洞管理程序、為每個(gè)用戶以及管理員帳戶啟用多重身份驗(yàn)證以及跨網(wǎng)絡(luò)實(shí)施分段以限制漏洞傳播。

“通過采取這些預(yù)防措施并實(shí)施多層防御，企業(yè)可以最好地防范網(wǎng)絡(luò)釣魚攻擊，“我們必須假設(shè)攻擊者會在某個(gè)時(shí)候成功。因此，我們需要牢記這一假設(shè)，采用全面、分層的防御方法來進(jìn)行防御?！?/p>

4、沒有持續(xù)培訓(xùn)員工識別/防范網(wǎng)絡(luò)釣魚

前提：如果想要在企業(yè)中實(shí)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件零點(diǎn)擊是不可能不切實(shí)際的目標(biāo)。

就我所知而言，大多數(shù)企業(yè)對于網(wǎng)絡(luò)安全意識培訓(xùn)做的并不好，一方面這是一個(gè)吃力不討好的活兒，沒有人會愿意在企業(yè)內(nèi)部得罪不同部門的同事，也沒有人會愿意一年365天不是在培訓(xùn)的路上就是在準(zhǔn)備培訓(xùn)。而且培訓(xùn)的內(nèi)容大多是讓員工不要點(diǎn)擊未知發(fā)件人發(fā)來的郵件中的鏈接或附件，但都是千篇一律的培訓(xùn)內(nèi)容，根本沒有考慮到不同年齡、不同崗位的人需要不同培訓(xùn)方式，最關(guān)鍵是還需要教會員工如何識別釣魚郵件。

一個(gè)成功的反網(wǎng)絡(luò)釣魚策略需要首先提高員工對如何識別網(wǎng)絡(luò)釣魚并了解如何報(bào)告網(wǎng)絡(luò)釣魚的認(rèn)識。這種方法是對許多公司單純使用“不點(diǎn)擊”的培訓(xùn)策略一種轉(zhuǎn)變。教會員工如何報(bào)告可疑電子郵件可以讓安全團(tuán)隊(duì)快速評估潛在威脅并減輕遭受類似攻擊的其他人的影響。比如可以在電子郵件平臺中嵌入工具，以便員工可以更輕松的報(bào)告可疑電子郵件，Outlook就有Report phishing功能。

還有個(gè)不能忽略的重要因素，除了培訓(xùn)員工以外，企業(yè)的領(lǐng)導(dǎo)者需要在頂層制度上進(jìn)行更加科學(xué)的設(shè)計(jì)。最大限度的減少員工在合理的工作流程上被網(wǎng)絡(luò)釣魚的風(fēng)險(xiǎn)。例如在與第三方進(jìn)行互動溝通時(shí)，遵循公司的安全通信標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全辦公原則，以避免出現(xiàn)被網(wǎng)絡(luò)釣魚的可能性。

5、缺乏執(zhí)行/缺乏激勵

即使公司制定了強(qiáng)有力的培訓(xùn)計(jì)劃和制度，如果不遵守的制度的員工不需要承擔(dān)任何后果，那培訓(xùn)計(jì)劃和制度可能會失去有效性和約束性。但如果有員工及時(shí)的發(fā)現(xiàn)了可疑的網(wǎng)絡(luò)釣魚情況，但沒有加以獎勵，那員工也會失去積極性。

比如當(dāng)員工被網(wǎng)絡(luò)釣魚攻擊后，員工必須要重新參加安全考試，并且取得一定的成績才能繼續(xù)正常辦公，當(dāng)然具體的獎懲制度需要根據(jù)企業(yè)的實(shí)際情況來具體制定。同時(shí)獎懲制度也不是像法律一樣鐵面無私，也需要根據(jù)實(shí)際情況來具體執(zhí)行。我一直認(rèn)為我做的事情的本質(zhì)是教育員工，不是讓員工出丑或蒙羞。

6、過度依賴模擬網(wǎng)絡(luò)釣魚測試

如前文所言，當(dāng)前反網(wǎng)絡(luò)釣魚策略的一個(gè)致命弱點(diǎn)是：一些公司的目標(biāo)是培訓(xùn)用戶100%無失誤。并且認(rèn)為：用戶在遭受網(wǎng)絡(luò)釣魚攻擊時(shí)應(yīng)該受到指責(zé)。我想反問：企業(yè)既然目標(biāo)是培訓(xùn)用戶100%無失誤，那有沒有真正的以這個(gè)目標(biāo)來進(jìn)行模擬的網(wǎng)絡(luò)釣魚測試呢？

如果測試很復(fù)雜，那么測試就會不盡人意。但如果測試很簡單，那么每個(gè)人都會出色的通過。對于領(lǐng)導(dǎo)而言，在向上匯報(bào)時(shí)，展示通過培訓(xùn)后，測試得到的數(shù)據(jù)的確很好看。但是領(lǐng)導(dǎo)者必須承認(rèn)，無論公司對員工進(jìn)行多少培訓(xùn)，一小部分員工都會點(diǎn)擊鏈接，而在一些特殊時(shí)期，這個(gè)數(shù)字還會增加。

更糟糕的是，許多企業(yè)在組織模擬釣魚測試時(shí)，將鏈接正?；?，你點(diǎn)擊一個(gè)鏈接，跳轉(zhuǎn)到一個(gè)與正常辦公網(wǎng)站一模一樣的網(wǎng)站，頁面提示：“對不起。你已經(jīng)被釣魚了”。如果強(qiáng)迫用戶在點(diǎn)擊鏈接后需要進(jìn)行培訓(xùn)，反而可能會產(chǎn)生負(fù)面效果——導(dǎo)致他們更加會在下一次點(diǎn)擊鏈接。員工在繁忙、壓力很大的一天中因?yàn)辄c(diǎn)擊了鏈接而需要被迫接受培訓(xùn)，這讓大多數(shù)員工討厭培訓(xùn)課程，并在不加注意的情況下盡快敷衍了事的完成培訓(xùn)課程。這不僅會產(chǎn)生這種效果，還會影響用戶對網(wǎng)絡(luò)釣魚電子郵件的反應(yīng)方式。他們在未來點(diǎn)擊一些釣魚郵件的鏈接，在他們看來可能就是一次測試，所以他們也不會報(bào)告。

最后我們要明白，在與反網(wǎng)絡(luò)釣魚對抗中，失敗是主旋律

盡管培訓(xùn)盡了最大努力，但人還是會犯錯(cuò)誤?！叭艘埠芮榫w化，通常會對網(wǎng)絡(luò)釣魚電子郵件產(chǎn)生本能反應(yīng)，從而產(chǎn)生一種緊迫感或必要性，這些情況不會改變。至少在可預(yù)見的未來，網(wǎng)絡(luò)釣魚電子郵件仍將繼續(xù)存在。”