最近，一家网络安全意识软件公司披露说，他们的模拟网络钓鱼模板设计被黑客利用，对一家知名的IT外包公司发起了攻击。该公司首席执行官称：该黑客“使用他们自己的代码和服务器来下载和复制模拟网络钓鱼模板，作为攻击的一部分，以实施攻击”。

稍后，在媒体面前，为了撇清干系，该首席执行官又补充道，“除了使用模板设计之外，没有证据表明黑客使用了我公司的模拟钓鱼软件产品。”

近些年，网络安全界出现了一个新的产品和服务，就是模拟网络钓鱼。对此，昆明亭长朗然科技有限公司网络安全培训专员董志军表示：这个产品在海外很受企业界欢迎，但是在国内则由于合规性以及敏感性，在关键基础设施行业并没有多少成功的使用，其它竞争性行业往往没有多少网络安全预算，所以很多人并不知晓。说起它的原理，其实就是针对终端用户进行渗透攻击测试。就是像不法分子那样，对目标人员进行社交工程诈骗或网络钓鱼攻击，看他们会不会上钩，并以此来进行安全意识教育。

这其中就会使用到内容模板，这模板就如同电信诈骗中的“话术”一样，是设计来好使“合法用户可以让他们的同事和客户暴露于逼真但模拟的网络钓鱼和社会工程攻击”。比如，针对不同的目标，要编出合适的有针对性的场景“脚本”、虚假网站登录页面以及钓鱼消息模板等等。

但是，这种模拟攻击往往会过滤掉敏感的信息，比如将用户的密码（部分）进行掩盖。真实的不法分子则不会这样，他们显然从“正派”的“网络安全意识软件公司”受到了一些模板创意的启发。从某种意义上讲，这就是正派的安全公司在教唆邪恶的犯罪分子。如同在网络提供网络入侵方法教程一样，您可以自辩说只有人们懂得如何攻击，才能更好了解如何防范，但事实是很多不法分子只拿来用于攻击比他们弱的受害者。所以，在一些努力保护弱者的社会治理环境下，这些渗透攻击相关的培训服务往往被禁止。对此，阿里巴巴集团的安全专员们也有类似的同感和困惑，一些新型的骗局，如果及时公布的话，不法分子往往领悟得更快，结果保护大部分用户免受新型威胁的理想没能实现，反而让更多的“安全弱智”用户成为精明的犯罪分子的受害者。

这种事情不是个案，其实在泛安全行业，很多安全公司和从业者都“唯恐天下不乱”，因为只有乱了才需要治，才会有更多的钱财投入。笔者曾经就职过多家国内外安全公司，经常会有老板经理们私下表示，应该对潜在客户发起黑客攻击，以让其受“教训”之后花钱采购相关安全保护产品和技术服务。

在公共安全及国家安全领域，警匪一家亲，双面间谍的情况很普遍，只是有的可能比较轻微，或者没有被人们发觉。警匪往往有一定的默契，安全人员并不会把犯罪分子赶尽杀绝，以免落得个“鸟尽弓藏、兔死狗烹”的下场，甚至还会纵容、鼓励甚至赞助和参与一些犯罪活动。当然，人民的眼睛是雪亮的，很多人会发现或怀疑自己无辜地受到了保护者的侵害，责骂那些无良的安保者“监守自盗”是没用的，那该如何应对呢？对此，董志军强调：没有别的方法，只有自己强大起来。

不要认为，我们每个人都有自己的使命，并非安全方面的专家。其实普通人只要掌握一些常规的安全防范技能，在国家和社会力量的保护下，就可以轻松应对绝大部分不良的安全“砖家”和不法分子。不要以阿里的个别情况来给自家找无为的借口，阿里是个世界性的大平台，他的绝大部分用户并非自家的员工，甚至还有很多犯罪分子混在用户之中。

一次成功的安全入侵背后，都有大量的安全弱点，做安全应急响应久了，见得多了，就会同意这简直是个真理性的法则。而那些安全弱点，往往都源于人们安全意识的缺乏和安全技能的薄弱。要么人们无知，要么人们违规，不管如何这都表明人们需要足够的安全意识培训。

我们不能仅仅依靠防病毒、防垃圾、防火墙或硬件防御设备。董志军强调说：人是很复杂的动物，当您的网络安全供应商和不法分子沆瀣一气之时，当不法分子从安全服务商那里寻找针对终端人员的入侵灵感之时，您该静心思考，是时候让您的终端用户强大起来了。

昆明亭长朗然科技有限公司多年来从事信息安全意识宣教，我们可以帮助各类型的客户对其员工进行信息安全意识宣教活动，不管您有任何的相关疑问或需求，都欢迎联系我们，共同探讨让用户变得强大，变得更安全、更聪明之道。我们也欢迎业界精英与我们携手并进，合作共赢。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

数据泄露是指未经授权访问、窃取或披露敏感、受保护或机密数据的事件。数据泄露可能因多种原因而发生，例如网络攻击、人为错误或数据存储设备的物理盗窃。数据泄露可能会造成严重后果，包括财务损失、声誉受损、法律责任和失去客户信任。最近的一项研究预测，网络犯罪每年造成的损失将达到50万亿元。因此，采取必要措施防止数据泄露至关重要。

以下是防止数据泄露的一些最佳实践：

1. 定期进行风险评估：定期进行风险评估，以识别潜在的漏洞并采取适当的措施来解决它们。使用商业的或开源的漏洞扫描工具，定期对组织内部网络特别是重要的网络端点进行弱点扫描，以主动发现问题。同时，还应该进行巡逻走访，以发现网络IP之外的安全隐患，比如办公桌面清洁检查、文印室和会议室的安全保密等。
2. 保持软件和系统最新：定期使用最新的安全补丁和更新更新软件和系统，以防止已知漏洞被利用。设置内部的更新服务器，通常来讲，对所有的终端计算设备，应该设置为对操作系统和常用软件进行自动更新。当然，对于重要的信息系统，还需要有完善的补丁修复管理流程，包括订阅更新源，测试更新、停工通知、数据备份、失败回滚等等。
3. 限制数据收集和保留：仅收集必要的数据，并仅保留需要的时间。这些不仅是相关法规的硬性规定，亦是防止发生意外数据泄露的实践做法。
4. 使用强身份验证方法：使用多重身份验证(MFA)和强密码来防止未经授权的访问。实施多重防御的方法，在传统的用户密码失窃的情况下，让不法分子无法或难以突破登录验证，进而无法实施其罪恶行径。对于终端设备和用户来讲，可以启用生物特征鉴别，如面部识别、指纹识别、短信验证码等方式。对于企业级来讲，最好部署一次性口令或动态口令以辅助验证。
5. 实施访问控制：实施严格的访问控制，确保只有授权个人才能访问敏感数据。制定最小化权限的政策，确定合适的业务数据访问需求，定义用户的角色和权限，使用正确的访问控制配置，加强用户管理员的操作技能和职业操守培训，同时加强日常的监管和审计，以检测任何可疑的数据访问行为或未经授权的访问尝试。
6. 定期进行安全培训：定期为员工提供安全意识培训，让他们了解最新的威胁以及如何避免。不应该让员工们读一堆无聊的文字，相反，应该让学员们观看一段段简短的视频，其中将解释数据安全工作的其重要性，为保证良好的信息传达效果，时长通常应限制在两三分钟。内容应该包括并不限于数据安全的重要性、数据安全保护法规科普、以及日常工作中的数据保护注意事项。
7. 使用防火墙和入侵检测系统：使用防火墙和入侵检测系统来监视网络流量并检测可疑活动。
8. 加密敏感数据：对静态和传输中的敏感数据进行加密，以防止数据被盗。
9. 定期备份数据：定期备份数据，确保数据泄露时可以恢复。

通过遵循这些最佳实践，组织可以显著降低数据泄露的风险，并保护其敏感数据免遭未经授权的访问、盗窃或泄露。其中我们可以看到，许多数据安全保护的实践操作都离不开员工们的理解和支持，对此，昆明亭长朗然科技有限公司网络安全专员董志军表示：数据无处不在，用户是数据的创建者和使用者。如果说数据是客体的话，保障数据安全防止泄露当然离不开用户这一主体，那么，用户们是否接受过培训并具备帮助预防组织内部数据泄露的知识呢？

经过与客户和安全从业者讨论安全意识计划的底层作用，从研究数据的角度审视安全意识，愈发认识到信息安全意识的必要性。为了确保员工提高安全意识，我们建议实施一项安全意识培训计划，其中的在线培训模块用于引导员工完成在互联网上保护自己所需采取的步骤，内容包括有关网络钓鱼诈骗、恶意软件和勒索软件的信息；模拟钓鱼系统通过监控员工的互联网使用情况来确保没有员工受到恶意软件或网络钓鱼诈骗的危害。

解决安全意识问题的方法是确保员工知道如何保护自己，实现这一点的最佳方法是训练人们了解周围环境以及如何在任何情况下保持安全。鉴于人类记忆的特征，这种安全意识培训应该每年至少提供一次，并且应该以一种引人入胜的方式进行，使员工们能够轻松记住他们学到的信息并付诸于日常工作和生活实践之中。

如果贵司准备开始自己的网络安全培训或信息安全意识，请让昆明亭长朗然科技有限公司的网络安全培训库提供帮助！从网络威胁类型到数据安全，提供丰富建议的知识库包含海量的动画视频和电子课件，可以帮助贵司的员工识别威胁并制定全面的预防计划。不管您有任何关于数据安全与人员意识的疑问，请不要客气地联系我们一起探讨。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com