钓鱼模拟演练：根本之道还是徒劳之举？

关于钓鱼模拟演练有效性的争论广泛存在。Sophos X-Ops团队审视了支持和反对的观点——以及我们自己的钓鱼哲学。

从理论上讲，这听起来很简单：通过运行模拟来为真实情况做准备。毕竟，同样的原则适用于无数领域：体育、军事、交通、危机准备等等。当然，也适用于网络安全的各个方面，包括红队演练、紫队演练、夺旗竞赛和桌面推演。钓鱼模拟有什么不同吗？

答案是：至少在理论上没有。一切都归结于执行，我们已经看到组织在实施钓鱼培训时常犯的几个错误。根据我们的经验，最常见的四个是：

1. 将钓鱼模拟变成勾选框式的合规练习，没有深入思考活动的设计、诱饵的质量或模拟的频率——这意味着培训活动与真实攻击不太相似，用户可能会产生疲劳感。
2. 通过使钓鱼模拟"不公平"来扭曲结果——跨越道德界限，使用旨在欺骗用户的恐吓策略，给他们带来压力和不确定性。例如：使用合法的公司域名发送电子邮件；使用与财务困难和工作安全相关的借口；以及根据从社交媒体抓取的个人信息制作钓鱼邮件。我们承认威胁行为者在现实世界中可能会使用部分或全部这些方法，但事实是，组织对自己的员工这样做，可能会引发反弹、失去信任并侵蚀企业文化，其代价超过任何潜在的好处。
3. 惩罚在钓鱼测试中"失败"的用户，无论是通过强制执行额外枯燥的强制培训、“点名羞辱”，还是采取纪律措施。这可能会让用户产生怨恨，并在未来不太愿意参与钓鱼培训和其他安全工作。
4. 关注失败而非成功——这一点稍后会详细讨论，因为它对我们Sophos内部如何运行钓鱼模拟至关重要。

是友是敌？

这些问题，以及其他一些问题，在关于钓鱼培训有效性的辩论中反复出现。

钓鱼培训的支持者赞扬其所谓的有效性，尤其是与意识培训相结合时，可以提高学习保留率和投资回报率。有人认为模拟钓鱼有助于训练用户的本能，迫使他们质疑邮件是否恶意；其他人则指出风险降低、成本效益（与实际违规的成本相比）以及"安全第一"文化的建立。

另一方面，除了我们之前提到的陷阱外，反对者认为钓鱼模拟可能根本不会降低风险，或者只降低微乎其微的风险。

两项近期的研究——一项在2021年，另一项在2025年，涉及数千名参与者——表明钓鱼模拟对用户点击钓鱼诱饵的概率影响非常小。2025年的研究还得出结论，年度意识培训对易受攻击性没有显著影响，并且在钓鱼模拟中失败的员工事后往往不会参与培训材料。两项研究都表明，反直觉的是，培训实际上可能使用户更容易受到钓鱼攻击——可能是由于疲劳或过度自信（即，用户可能认为其组织已投资于网络安全，从而变得不那么警惕）。

我们应该注意到2025年的研究有一些注意事项；正如Mirage Security的Ross Lazerowitz所指出的，该研究只关注点击率，参与者来自单一行业的单一组织，并且没有考虑培训设计和质量。

尽管如此，很明显，如果设计和执行不当，钓鱼模拟充其量可能完全没有效果，在这种情况下，它们是在浪费时间、精力和金钱。最坏的情况是：它们甚至可能适得其反，无论初衷多么好。

那么解决方案是什么？钓鱼模拟是否像网络安全中的许多其他问题一样，是一个难以解决的难题？

显然我们不能忽视这个问题，因为钓鱼通常是网络攻击最常见的入口点：攻击者知道它有效、成本低且容易实施（并且随着生成式AI的出现只会变得更便宜和更容易），而且对他们来说，这通常是最简单的获得立足点的方式。那么，您的组织是否更应该投资于额外或更好的邮件控制措施，或者更多的电子学习包和意识培训？虚假的钓鱼模拟是否徒劳无功？

我们的钓鱼哲学

在Sophos，我们不这么认为。自2019年以来，我们一直在内部运行钓鱼模拟演练，基于我们每年审查的场景，并考虑到我们在威胁态势中观察到的变化和趋势。我们并不幻想这些模拟本身就能消除成功攻击的风险。

但我们仍然认为钓鱼演练是值得的，原因如下：我们不以失败来衡量，而以成功来衡量。

仅计点击率会错失关键

点击率（点击虚假钓鱼链接的收件人百分比）不是特别有信息量或帮助，因为我们从无数次事件和数十年的经验中知道，只需要一个用户点击链接、输入一些凭据或运行脚本，就能让攻击者进入。

是的，组织仍然需要不断加强其对人为错误的抵御能力，但以失败来衡量会将用户视为问题，而不是资产。这也提供了一种虚假的安全感。您几乎不可能将点击率降至0%，甚至接近这个数字——而且您肯定无法长期维持。因此，例如，点击率从30%降至20%，甚至降至10%，可能听起来令人印象深刻，并且略有改善，但这并没有太大意义。关键的是，它也无助于您为真实攻击做好准备。

相反，我们在Sophos的关键指标是有多少用户报告了钓鱼邮件。我们非常刻意地让用户易于做到这一点，在我们的电子邮件客户端上有一个简单、大而醒目的"报告"按钮，可以自动将相关邮件转发给我们的安全团队。（提醒Sophos邮件用户：此功能也适用于您。用户也可以使用Outlook插件将可疑邮件发送到SophosLabs进行分析。）这避免了将责任推给用户自己去转发邮件、截图或下载消息并作为附件连同说明一起发送给安全团队。

报告的价值

我们强调报告而非点击的原因之一是，在现实世界的攻击中，点击链接的用户数量在很大程度上无关紧要，至少在事件的早期阶段是这样。直到有人报告该邮件，或者您在其他地方发现可疑活动并进行调查时，您才会知道——当然，到那时攻击者已经进来了。

相比之下，报告是高度定制化的、可操作威胁情报的来源。钓鱼邮件很少为一个人定制和针对。即使它们是独一无二的，其背后的基础设施（C2、托管等）通常也不是。

因此，当用户报告可疑邮件时，安全团队可以立即对其进行分类，并遵循一个既定的、理想情况下自动化的流程，包括引爆附件、查找IOC、搜寻对凭据收集站点的访问、在整个资产中进行威胁狩猎、阻止恶意域名以及撤回发送给其他用户的邮件。

我们还测量报告速度，因为这也很关键。钓鱼攻击是一场与时间的赛跑。如果攻击者说服用户输入凭据、下载文件或执行脚本，他们就能快速在环境中获得立足点。用户报告钓鱼邮件的速度越快，安全团队驱逐攻击者的时间就越多，攻击者扎根的时间就越少。

改变氛围

我们当然不希望用户点击钓鱼邮件中的链接，但我们也不希望他们只是删除邮件、将其移至垃圾邮件/垃圾文件夹或完全忽略它——因为这会让我们落后于攻击节奏。如果我们不知道威胁，就无法做出响应。

因此，报告率改变了钓鱼模拟的传统动态。我们不是为人们没有做的事情（即点击链接、与邮件互动）而祝贺他们——或者更糟的是，为他们点击链接而惩罚他们——我们为他们确实做了的事情而祝贺他们。这是一个提供激励以采取积极行动，而非消极或中性行动的例子——并且是赋予用户成为关键防线，而不是将他们视为"最薄弱环节"。

因此，钓鱼模拟不再是为了试图抓住用户并诱使他们点击链接，更多的是为了训练他们记住点击报告按钮。我们喜欢这样表述：我们不是在试图欺骗我们的员工。我们是在玩一个游戏，以帮助刷新他们的记忆并强化报告思维。

当然，一些用户不可避免地会点击钓鱼模拟中的链接。当这种情况发生时，他们在Sophos不会受到训斥。相反，他们会收到一封电子邮件，告知他们发生了什么，提醒他们报告可疑邮件的程序，并引导他们查看内部关于钓鱼的教育资源。报告了模拟钓鱼尝试的用户会收到一封相同的电子邮件，只是主题行不同，以保持积极性并强化及时和主动的报告。

有效的虚假钓鱼模拟

我们为组织在规划钓鱼模拟时整理了一些建议：

1. 找到合适的频率。每周太频繁，每年则不够。您可能需要进行不同间隔的试验，以在用户疲劳和缺乏记忆保持之间找到最佳平衡点。征求用户和您安全团队的反馈，并比较不同模拟活动的指标，将会有所帮助。
2. 借口应现实，但不过分。我们都知道，在现实世界中，威胁行为者通常缺乏任何道德约束，并且毫不顾忌地使用残酷和操纵性的诱饵。但我们不是威胁行为者。借口应融入常见的社会工程策略（诉诸紧迫性、激励等），而没有疏远员工和失去他们信任的风险。例如，基于困难或工作安全的诱饵可能导致用户脱离公司文化和安全计划——当用户是如此重要的资产时，这是一个糟糕的结果。
3. 目标是强化积极行为，而不是抓住人们的错误。制作一个欺骗了创纪录数量用户的活动并不是胜利。目标是使用户成为关键防线，并提醒他们在发现可疑情况时该怎么做。精心设计的钓鱼意识培训，结合模拟，可以帮助用户知道需要注意什么。
4. 优先考虑报告（和报告速度），而非点击。以成功而非失败来衡量和激励。如上所述，目的是让用户通过报告来做出反应——因为在真正的攻击中，它能提供可操作的威胁情报，并提供了早期拦截威胁行为者的最佳机会。计算点击次数（并惩罚点击的用户）可能适得其反，即使初衷良好，因为它将用户视为弱点，可能使他们失去动力，并且提供的有用信息很少。
5. 超越点击行为。当然，您可能仍然会记录点击——但请记住也要记录接下来发生的事情，因为这个问题有更多细微差别。正如Ross Lazerowitz所说，其他行为同样关键。有人点击后，意识到不对劲又报告了吗？也许他们没有点击，但后来出于好奇在浏览器中访问了该网站？如果邮件中的链接指向一个模拟的凭据收集站点，他们是否输入了任何凭据？（据传闻，一些渗透测试人员报告说，有些用户会故意输入虚假凭据，有时是以针对"威胁行为者"的侮辱性信息的形式。严格来说，这些可以被算作"失败"，尽管这些用户显然识别出了钓鱼尝试——但只需要轻微的行为推动，就能让他们以正确的方式报告邮件。）
6. 无所作为对任何人都没有帮助。您可能认为用户不参与钓鱼邮件是一个好结果，因为这意味着他们没有点击。但这在真实攻击发生时没有帮助，因为在有人点击之前您不会知道威胁，随后您会在资产的其他地方获得可疑活动的迹象。到那时，您正在追赶，而威胁行为者已经获得了立足点；领先一步的机会已经消失。
7. 用新颖的学习形式补充模拟。在Sophos，我们尝试在讨论针对我们的钓鱼攻击时保持透明。最近的一篇文章和公开的根本原因分析涵盖了一个这样的案例——但在我们公开报告之前，我们举行了一场内部网络研讨会，向整个公司开放，我们的安全团队在研讨会上讨论了该事件、发生原因以及我们的应对措施。我们看到这次网络研讨会获得了广泛、积极的参与，用户对了解攻击的工作原理以及我们如何阻止它表现出极大的兴趣——使其成为我们钓鱼模拟和常规意识培训的绝佳补充。这也有助于消除围绕钓鱼的一些污名。没有人想成为钓鱼邮件的受害者，无论是模拟的还是真实的——但接受人们确实会中招，并在不归咎的情况下从后果中学习，是一项宝贵的练习。
8. 不仅适用于终端用户。钓鱼模拟本身可能很有用，但它们也为安全团队提供了完善其响应程序的机会。从第一次成功报告开始，您可以演练如果钓鱼邮件是真的您会怎么做：引爆附件、查找并阻止基础设施、分类并阻止IOC、从其他用户的收件箱中撤回邮件等等。这也可能是一个测试这些步骤自动化的好机会。
9. 包括所有人（在合理范围内）。钓鱼模拟理想情况下应涉及所有团队、部门和资历级别，或组织内随机抽样的用户。这有助于提供具有代表性的情况。
10. 构建能够容忍人为失败的系统。这更像是一种策略而非目标，但重要的是要认识到，任何依赖人类行为的安全控制本质上都是脆弱的。在任何现代快节奏的环境中，我们不可避免地会在"系统1"思维模式下花费大量时间。控制设计应该接受这一点，而不是与之对抗。我们在这方面已经取得了很大进展——0-day 0-click 路过式下载极其罕见。抗钓鱼的多因素身份验证存在，并且可以说，正处于大规模采用的边缘。花在管理钓鱼评估上的时间，本可以用于加强更强大、更可靠的技术控制。

结论

钓鱼攻击不会消失。事实上，生成式人工智能可能会使它成为更大的威胁，因为攻击者可以利用它来克服传统的警示信号：拼写错误、语法错误和拙劣的格式。因此，利用我们掌握的所有工具来防御它变得越来越重要。

当然，人工智能也可供防御者使用，但我们也认识到，在防御方面，人类是我们最强大的资产之一。人们会有意识地或无意识地察觉到线索和背景，通常能感觉到邮件中有些不妥之处。

如果以正确的方式设计、执行、使用和衡量，定期的钓鱼模拟演练可以帮助进一步发展这些技能，在发生攻击时为您提供一个现成的情报管道，并增强您的安全文化——所有这些都增加了您挫败下一次真实攻击尝试的机会。