Google指企业发钓鱼信件测试员工反而有害
支付動態 · 2024-05-24

与其暗地测试员工是否会上当,Google安全事件经理建议,企业应教育员工辨识钓鱼信件及社交工程手法、并养成对可疑邮件有疑虑应主动通报的习惯

示意图,翻摄自:https://vimeo.com/222209148,/LADAOffice

许多企业常在发送钓鱼信件以测试员工对此类威胁的警戒,但Google专家却警告,这作法害处多过好处,包括劳民伤财及效果不彰。

一些企业IT或资安部门会对员工发送钓鱼信件,目的在提高员工资安防护意识。Google则是根据美国联邦风险与授权管理计划(FedRAMP)规定,由资安部门实施钓鱼信件测试。在这类测试中,公司制作并对员工发送钓鱼信件,再监测有谁对此类信件有回应,例如点击信件中的链接或下载附件,这些员工就会被要求「加强教育」。但Google安全事件经理Matt Linton指出,这种类似火灾演练的测试,实则有很多负面影响,包括没有实质效果、绕过正常防护机制,而且增加员工困扰及资安部门工作负担。

其一是没有证据显示这类测试有助于减少钓鱼信件攻击成功率。从结果来看,钓鱼邮件测试实施这几年来,钓鱼信依旧是黑客骇入内部网络的首要方法,而且研究显示,会中计的人仍然持续中计。其二是一些钓鱼测试会绕过或降低系统控制,甚至美国FedRAMP指引要求企业IT部门这么做。后果是让测试人员刻意不模仿真正的黑客攻击手法,或创建放水的白名单,后者若不小心落在真正黑客手里反而造成风险。

研究人员还说,这类测试大幅增加资安部门的工作负担,因为用户误点信件的警报并没有用处,反倒占住他们宝贵的时间及作业带宽。此外,员工可能因为公司资安部门「玩弄」他们而降低信任,长期而言不利公司安全防护。最后,一些具有多个产品线的大型企业员工,这些测试可能相互重叠,导致重复作业,影响生产力。

Linton建议,教育员工辨识钓鱼信件及社交工程、并主动回报,可让资安团队早一步采取回应措施。但和防火安全训练一样,测试前应预先公告而非突击测试,因为训练才是重点,而不是惊吓与欺骗。

他并提醒演练中应让员工练习通报,并且搜集有用数据,像是完成测试的用户数、打开邮件和通报时间间隔、通报提升到资安小组的时间点,以及信件发出后1、4及24小时通报的案件数。

热门文章
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
BETFAIR 网络攻击80万用户资料泄露
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
首页
游戏
合作
发现
我的