最近，一家网络安全意识软件公司披露说，他们的模拟网络钓鱼模板设计被黑客利用，对一家知名的IT外包公司发起了攻击。该公司首席执行官称：该黑客“使用他们自己的代码和服务器来下载和复制模拟网络钓鱼模板，作为攻击的一部分，以实施攻击”。

稍后，在媒体面前，为了撇清干系，该首席执行官又补充道，“除了使用模板设计之外，没有证据表明黑客使用了我公司的模拟钓鱼软件产品。”

近些年，网络安全界出现了一个新的产品和服务，就是模拟网络钓鱼。对此，昆明亭长朗然科技有限公司网络安全培训专员董志军表示：这个产品在海外很受企业界欢迎，但是在国内则由于合规性以及敏感性，在关键基础设施行业并没有多少成功的使用，其它竞争性行业往往没有多少网络安全预算，所以很多人并不知晓。说起它的原理，其实就是针对终端用户进行渗透攻击测试。就是像不法分子那样，对目标人员进行社交工程诈骗或网络钓鱼攻击，看他们会不会上钩，并以此来进行安全意识教育。

这其中就会使用到内容模板，这模板就如同电信诈骗中的“话术”一样，是设计来好使“合法用户可以让他们的同事和客户暴露于逼真但模拟的网络钓鱼和社会工程攻击”。比如，针对不同的目标，要编出合适的有针对性的场景“脚本”、虚假网站登录页面以及钓鱼消息模板等等。

但是，这种模拟攻击往往会过滤掉敏感的信息，比如将用户的密码（部分）进行掩盖。真实的不法分子则不会这样，他们显然从“正派”的“网络安全意识软件公司”受到了一些模板创意的启发。从某种意义上讲，这就是正派的安全公司在教唆邪恶的犯罪分子。如同在网络提供网络入侵方法教程一样，您可以自辩说只有人们懂得如何攻击，才能更好了解如何防范，但事实是很多不法分子只拿来用于攻击比他们弱的受害者。所以，在一些努力保护弱者的社会治理环境下，这些渗透攻击相关的培训服务往往被禁止。对此，阿里巴巴集团的安全专员们也有类似的同感和困惑，一些新型的骗局，如果及时公布的话，不法分子往往领悟得更快，结果保护大部分用户免受新型威胁的理想没能实现，反而让更多的“安全弱智”用户成为精明的犯罪分子的受害者。

这种事情不是个案，其实在泛安全行业，很多安全公司和从业者都“唯恐天下不乱”，因为只有乱了才需要治，才会有更多的钱财投入。笔者曾经就职过多家国内外安全公司，经常会有老板经理们私下表示，应该对潜在客户发起黑客攻击，以让其受“教训”之后花钱采购相关安全保护产品和技术服务。

在公共安全及国家安全领域，警匪一家亲，双面间谍的情况很普遍，只是有的可能比较轻微，或者没有被人们发觉。警匪往往有一定的默契，安全人员并不会把犯罪分子赶尽杀绝，以免落得个“鸟尽弓藏、兔死狗烹”的下场，甚至还会纵容、鼓励甚至赞助和参与一些犯罪活动。当然，人民的眼睛是雪亮的，很多人会发现或怀疑自己无辜地受到了保护者的侵害，责骂那些无良的安保者“监守自盗”是没用的，那该如何应对呢？对此，董志军强调：没有别的方法，只有自己强大起来。

不要认为，我们每个人都有自己的使命，并非安全方面的专家。其实普通人只要掌握一些常规的安全防范技能，在国家和社会力量的保护下，就可以轻松应对绝大部分不良的安全“砖家”和不法分子。不要以阿里的个别情况来给自家找无为的借口，阿里是个世界性的大平台，他的绝大部分用户并非自家的员工，甚至还有很多犯罪分子混在用户之中。

一次成功的安全入侵背后，都有大量的安全弱点，做安全应急响应久了，见得多了，就会同意这简直是个真理性的法则。而那些安全弱点，往往都源于人们安全意识的缺乏和安全技能的薄弱。要么人们无知，要么人们违规，不管如何这都表明人们需要足够的安全意识培训。

我们不能仅仅依靠防病毒、防垃圾、防火墙或硬件防御设备。董志军强调说：人是很复杂的动物，当您的网络安全供应商和不法分子沆瀣一气之时，当不法分子从安全服务商那里寻找针对终端人员的入侵灵感之时，您该静心思考，是时候让您的终端用户强大起来了。

昆明亭长朗然科技有限公司多年来从事信息安全意识宣教，我们可以帮助各类型的客户对其员工进行信息安全意识宣教活动，不管您有任何的相关疑问或需求，都欢迎联系我们，共同探讨让用户变得强大，变得更安全、更聪明之道。我们也欢迎业界精英与我们携手并进，合作共赢。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

网络安全的攻防较量，是安全水平高低、安全力量强弱的较量，说到底是人力资源的较量，包括IT安全专业人员以及普通员工。对此，昆明亭长朗然科技有限公司网络安全专员董志军补充说：如防火墙等攻防武器装备要发挥效力，需要专业人员对其进行正确的安装配置和使用；同样，如安全漏洞管理策略的执行，也需要员工们的理解和配合，这些都少不了人员的因素。当前，黑客来“硬的”不行，便转向“软的”，即希望利用目标机构的员工的无知或大意，进而获取网络安全的突破口，并以此为跳板，进而攻击更大的目标。

网络安全管理者不能像防范黑客那样防范内部员工，因此，需要定期对员工进行有关密码安全和其他基本安全知识的培训，而培训员工防御黑客的最佳方法是教会他们像黑客一样思考。在许多方面，黑客都是数字时代的精英，他们极其具有创意、耐心和智谋。他们以数字的方式思考，对技术是如何工作的具有很强的好奇心和折腾力。而普通员工不见得要变得如同黑客一样聪明、执着和勤奋，尤其不必要成为技术方面的极客，毕竟人人都有自己独特的工作任务和使命。

那么，如何像黑客一样思考呢？道理其实非常简单，系统和人性都有弱点，黑客们对计算机系统有着天生的不信任感，并且知道没有不存在安全漏洞的软件。黑客们要做的就是坚持不懈地寻找系统的安全漏洞，并加以利用。“加以利用”包括获得系统的控制权、窃取机密信息或者破坏系统等等行为。了解了这一些，就知道在组织内部培养黑客的思维方式非常重要。不仅可以改变员工们看待和评估网络安全的方式，从而提高整个组织的安全性，而且还可以帮助员工们变得更加有好奇心、足智多谋和在工作中进行创造性思考。

鼓励员工们发现、思考并报告工作中潜在的安全风险，包括安全威胁和内部弱点，有时这些事件与产品或业务有关，这样做的目的是让人们以新的方式锻炼自己的安全智力。当所有员工都对周围的世界充满好奇心并努力观察，这便触及到了网络安全的核心。设置“安全风险发现奖”，从物质和精神两个层面，对有安全贡献的员工们进行奖励，起初，只要有一两个案例，便会吸引更多的员工们思考安全并探索安全。

若要进行更深入的网络安全思考，可以考虑安排组织范围内的网络安全竞赛和游戏，鼓励员工们调查潜在的网络安全事件。甚至可以更进一步，举办虚拟的网络渗透入侵事件，实施黑客攻击情景可以帮助员工们更好地与组织的网络安全风险建立关联，并激发有关网络安全的全新意识。

尽管某些漏洞是由代码缺陷引起的，但是也有很多漏洞则是由设计中存在的隐藏功能导致的。尽早将安全团队带入安全审核流程，让其像黑客一样思考，可以帮助发现和解决这些潜在的安全问题，以免它们成为真正的安全漏洞。此外，切记黑客不仅仅利用信息系统的安全弱点，也会利用人性的弱点，即借用社会工程学攻击手段。即使在系统漏洞方面已经颇有建树，也不能忽视所有人都是容易犯错的。当员工们每天都在同样的事情时，就会习以为常，进而忽略一些安全问题或隐患。这就是为什么组织需要在自身之外寻求专业帮助的原因，即邀请值得信赖的外部安全专家来帮助查找安全漏洞。

科技发展迅猛，随之而来的是系统及人员的安全隐患，展望未来，我们都必须学会像黑客一样思考。当我们掌握了黑客的思维方式之后，科技的飞速发展将不再让我们感到迷茫、无助和痛苦。相反，拥抱变化，掌握新科技，我们的世界将更美好。总之，要拥有新时代必须的安全生存能力，我们需要像黑客一样思考，对于包括企业公司和机关单位在内的组织机构来讲，让职员们具有黑客的思维能力，是保护未来业务安全的关键。

为了帮助各类型的组织机构提升员工们的安全意识，及时发现安全弱点并加以应对，进而帮助保护组织机构的重要信息资产，昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898