如何有效应对不断翻新变化的“钓鱼”术

网络钓鱼防范的现状与挑战

传统上,应对网络钓鱼和电信诈骗,我们有一些网站信誉评测、诈骗监控与响应以及用户安全意识教育等措施。网站信誉评测的覆盖面和强制力有限,特别在移动互联网时代开始没落;诈骗监控与响应措施依赖对钓鱼网站地址的及时发现,往往比较滞后,并且犯罪分子不断变化域名和服务器,所以打击起虽有一定的效力,但仍然面临不少困难。

于是大家将最后的希望转移到对用户的防钓鱼意识教育培训上,这个大方向无疑是正确的。对此,昆明亭长朗然科技有限公司防钓鱼安全专员董志军说:在信息安全管理最佳实践方面,用户是第一道安全防线,这是被业界广为认可的。只不过,“钓鱼”术也在不断的变化,那些人类中的败类,总是不断挖掘着人性的弱点并加以利用。比如,传统上,我们宣传防范网络钓鱼,告诉用户“不要点击邮件中的陌生链接,不要开启未知来源的附件。”而新型的网络钓鱼则潜伏进被入侵的邮箱,冒充熟人发送附件,并将钓鱼网站链接放在附件中,还搞些技术欺骗性的语句诱惑收件者。


从图例中,我们可以看出,诈骗分子不直接在邮件正文中放置钓鱼链接,而是将钓鱼网站链接附在网页、Word、Excel等文件中,诱导人们点击链接的理由往往是些技术原因,比如软件版本低需要登录进行功能更新、内容已经加密等等

接下来的钓鱼网站除了网址,登录界面和常用的QQ邮箱、网易邮箱等一模一样。那些受害用户要么没有注意看网址,要么根本不知道网址还有假的。

问题的根源何在?

如果您是有IT背景的人士,您可能会觉得那些轻易上当的职场受害人也太菜了,缺乏计算机使用方面的基础知识。不要怪这些职员们“不学无术”,想想我们有向这些受害者提供过必要的计算机基础知识,和防钓鱼方面的教育培训了吗?很多职位的用户,除了使用业务所必须的操作,可能也就只知道个开机和关机。对此,昆明亭长朗然科技公司董志军深表痛心:计算机用户只知道在应用层面照葫芦画瓢,不懂原理,是我们整个信息产业的硬伤。

敢问路在何方?

冲突源自知识上的不对等,钓鱼分子在技术层面糊弄小白用户,小白只能为自己的无知埋单。我们的很多服务商也经常是在概念上忽悠客户,在培训落实上,只简单教教操作便草草了事儿。这种不负责任的做法需要得到改变,我们需要踏踏实实地告诉用户系统的工作原理,要把计算机小白变成电脑达人。就拿上述图例来讲,当用户有了知识上的提升,懂些Office软件的原理和网址的意思,那些钓鱼分子的技术理由就会显得可疑和可笑了。

另外,钓鱼防范知识和技能的普及任重道远,新手法不断出现,我们要不断跟进,及时向用户展示新的钓鱼手法。同时,我们也得培养用户对网络钓鱼技术的识别力和敏感度,只有用户们拥有了足够的防钓鱼能力,能够辨识新型的诈骗手法,那才是钓鱼防范教育工作的成功。具体如何做呢?亭长朗然公司董志军建议:宣教一些普及性的防钓鱼知识,多加练习,借助大量的(几十个)钓鱼的模拟场景,让用户进行判断,找出其中的疑点,是练就火眼金睛的法宝。当然,也应该定期搞一些无害的网络钓鱼测试,以看看哪些用户的防钓鱼安全意识薄弱,在提升用户防钓鱼能力的同时也可用来衡量钓鱼防范教育工作的成效。

信息安全管理方面的建议

多数安全事故所借助的因素往往不是唯一和独立的,这也正是我们提倡多重防御的原因。在信息安全管理方面,董志军也给出一些附加的建议,比如对用户进行安全意识教育,建议其修改公共电子邮件中的私人邮箱密码,将潜伏的钓鱼分子踢出邮箱,不让其再害别人;发布规章制度并告知员工,避免将私人邮箱用于工作,将工作用密码和私人密码设为不同等,以防私人信息的失窃,影响到工作。

总结

说到底,防范不断翻新的网络“钓鱼”术,需要多方工作的协同努力,特别是加强用户计算机基础原理的教育,以及强化信息安全意识教育。

如果您对本文的观点和看法有意见或建议,欢迎您联系我们进行指正。同时,昆明亭长朗然科技有限公司提供针对用户的信息安全意识教育服务,包括大量的防钓鱼培训模块,以及模拟钓鱼测试系统等等。如果您有这方面的需要,或者对此感兴趣,也欢迎联系我们,预览产品和进行洽谈合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

信息安全意识培训针对全员还是分角色

看到一些公司的信息安全培训体系,都分成意识、技术和管理几个层面,同时也针对不同的岗位,设置了不同的知识体系。

要说教育培训的原因,是因为要提升人们的知识和技能,这是人力资源管理的一个大课题,并非仅仅只和信息安全相关。昆明亭长朗然科技有限公司信息安全教育培训专员董志军称:追求上进是职场人员的天性,企业也希望用到最好的员工。在进行信息安全培训的必要性方面,劳资双方很容易达成一致。

信息安全的知识体系很庞大,有的是普及性的,有的专业知识太强,可能只适合某些特定的技术岗位,这也都是易于理解的。毕竟,没有必要向生产线员工培训软件开发安全课题,而且IT的高阶管理层也对具体的安全技术不感兴趣。

岗位培训真的那么必要吗?

那么,在信息安全意识教育方面,有必要再进行细分吗?比如针对不同职能不同部门设定不同的信息安全意识课程?董志军表示:这们做的原因似乎说得过去,因为财务部门面临的安全威胁和客户部的多少有些差异。据此来讲,我们可以设置不同的信息安全意识课程内容,这无可厚非。但是同时,我们也得注意,一家单位,毕竟还是一个整体,整体所处的安全态势和所面临的安全威胁,在共性上,要远多于职能部门之间的差异。

那到底该设立统一的信息安全意识培训,还是分岗位的呢?在培训体系的建立上,传统的安全生产领域的做法倒是值得我们参考——三级培训。第一级当然是普及性的,针对所有员工的;第二级是部门级的,这个职能部门专有的;第三级是岗位的,上岗前必须通过的,特定的岗位甚至有作业许可准入的限制。

当然,安全生产相关行业不同岗位之前的操作差异太大,也非常依赖个体的安全意识和能力。与之相比,在信息应用领域,不同岗位对信息安全使用和注意事项方面的差异就没有那么大,所以没必要搞那么复杂。

再有,员工的流动换岗也是常事儿,每换一次岗,都参加一次特别的岗位培训,会让岗位培训活动变得分散和场次过多。从培训资源的有效利用上讲,倒不如尽可能来些大而全的信息安全意识培训活动更为划算。

信息安全意识培训课题

要进行哪些方面的信息安全意识培训呢?

安全培训课题可以有很多,比如:入职信息安全培训、桌面安全政策、物理访问安全、办公室安全、打印及传真、白板安全使用、会议室安全政策、网络会议、邮件安全、即时消息、文档安全、浏览器及上网安全、无线及蓝牙安全、无线网络安全、远程工作安全、数据备份及恢复、密码安全、移动设备安全、家庭互联网安全、访客安全指南、差旅安全、博客信息安全、社交网络安全、安全购物指南、信用卡诈骗、数据清除、客户信息安全、信息安全事件、公司信息披露、智慧财产权、恶意代码、社会工程学防范……

您可能会说,这么多课题,显得很杂乱的样子。的确,我们可以有个划分,比如分成信息安全政策和日常安全实践两大部分。在信息安全政策方面,可以列举公司的安全方针、策略标准、总体要求,信息安全的重要性以及通用的安全基础知识等等;在日常安全实践中,可以从周边环境、物理措施、桌面安全、系统安全、网络安全、操作安全、数据安全、沟通安全等工作相关领域入手,告诉员工们该怎么做才算是在践行信息安全。

当然,说到信息安全意识课题的划分方式,没有一个明确的标准,各人有各人的理解和认识,都没有错。再说,有些课题也都是关联甚至交叉的,也没有必要太执着于谁先谁后,谁该属于谁。就如同应对各类信息安全威胁一样,我们有多种安全防范理论,比如多重防御、立体防御措施,信息安全意识的宣传教育也是多重和立体的。比如APT攻击,利用了诈骗邮件、软件漏洞、恶意程序和社工诈骗,自然就和邮件安全、社会工程学防范、防病毒、上网安全、机密保护以及安全更新等课题相关。

不管如何,通常的信息安全意识培训首先要学员明确认识到信息安全的重要性,否则学员不会认真对待信息安全。可以通过大环境下的信息安全领域的统计数据和事故案例来说明信息安全的重要性,同时可适当列举与员工息息相关的身边的安全事件例子,这样更容易让学员认识到信息安全很重要,保护信息安全也是自己的份内工作,不仅仅是IT安全团队的。

几点信息安全培训的误区

信息安全意识培训的方式和方法比较多,保障培训的有效性才是关键。当然可以从生活案例出发,基于社会热点信息安全事件,分析和探讨背后的原因,吸取相应的教训。不过,目前,是否应该将私人的信息安全意识教育纳入公司的培训中是一个争议性的话题,公婆各有其理。这种针对社会大众的,比如在线购物的安全、ATM使用安全、电信诈骗等往往和工作关系不大,不是一家企业级信息安全意识培训的关注点。公司进行全员信息安全意识培训就是为了保护工作相关的信息安全,目的不是保护员工私人生活。但是同时,在人文关怀上面,公司如果能提供旨在保护员工私人信息安全的小部分内容,也是很感人的,还能起来到吸引员工兴趣到更多工作相关安全培训课程中。

基于工作的信息安全意识培训有个误区,就是很多人觉得好玩儿、有趣、看上去大气的才行,这和国人好大喜功的文化习惯有关。我们不否认在信息安全意识培训方面应该有多种丰富多彩的沟通渠道,但是不能本末倒置。我们不能仅仅注重场面的豪华,比如派发了多少海报和宣传单、放了多少视频、活动请了多少专家等等,更应该注重信息安全意识教育的实质,就是员工们有多么了解信息安全的重要性和自己所担负的责任,员工们知道如何保障工作中的信息安全吗?在这方面,欧洲和日本很值得我们学习,他们在表面上看起来很低调,但是里面很有内容。企业资源管理软件SAP的设计就是个典型,在国人的眼里,那界面就土的掉渣,但是人家有料有效用,不是漂亮的空皮囊。

还有一个问题,就是信息安全培训的战略方法,是选择外包,还是自己动手。不少大型机构都选择了外包战略,这没有什么错,毕竟社会分工越来越细,市场上有专业的信息安全意识服务,当外包比内包让信息安全培训更有效更优惠的时候,当然是一个不错的选择。可是培训外包也有一些前题,就是需要有培训外包管理的能力。对于大型机构来讲,如果自身的信息安全管理和培训体系没建立起来,没有标准化的有执行力的安全规章制度体系,没有已经在使用中的安全培训教程如PPT等,还是先修炼好内功再说。否则只会购买一些并不非常适合自己的安全宣教产品和服务,多花了钱还办了坏事儿。为什么这么说呢?昆明亭长朗然科技有限公司董志军一语道破天机:因为那些是别人家的培训,看一看几天后就忘了,和自家的工作不想干。除非您是中小型机构,想借机学习和建立信息安全管理体系。这就如同我们一个大国不能把国家和军队的管理权交给外国人一样,那我们就成了殖民地了,大国可以买武器,但要有自己制造和操控武器的能力。而一个小国,则可以花钱买武器,也可以请大国来保护自己。这个例子虽然有些夸张,但这正是我为了强调意思的表达而特别取来的。

总结

信息安全意识培训可以分角色分岗位,但是先认真想想学员群体之间,对信息安全知识需求的差异真的那么大吗?信息安全意识培训的课题有很多,不必要执著于哪项主题该划分到哪个品类中,尽可能广的知识内容覆盖才是关键。走出信息安全意识培训的误区,专注于工作中的信息安全,拒绝奢华浪费,修炼好内功,再选择性外包,才是关键。

昆明亭长朗然科技有限公司多年来专注于信息安全意识培训,创作了海量的安全知识素材内容,涵盖了所有的信息安全意识培训课题,并且提供针对大型客户的信息安全意识咨询服务,欢迎联系我们洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898