钓鱼模拟演练:安全防御的关键策略与实践

本文深入探讨钓鱼模拟训练在网络安全中的有效性,分析常见实施误区,并分享Sophos公司以报告率为核心的成功度量策略。文章详细介绍了如何通过合理设计模拟攻击、强化用户报告机制来构建更强大的安全防线。

钓鱼模拟演练:基本原则还是徒劳无功?

关于钓鱼模拟有效性的争论广泛存在。Sophos X-Ops团队审视了正反两方的论点——以及我们自己的钓鱼防护理念。

理论简单,执行关键

表面上听起来很简单:通过运行模拟来为真实攻击做准备。毕竟,同样的原则适用于无数领域:体育、军事、运输、危机准备等等。当然也适用于网络安全的各个方面,包括红队演练、紫队演练、夺旗竞赛和桌面演练。钓鱼模拟有什么不同吗?

答案是没有,至少在理论上是这样。一切都归结于执行,我们看到组织在实施钓鱼培训时常犯几个错误。根据我们的经验,最常见的四个错误是:

  • 将钓鱼模拟变成勾选框式的合规练习,没有充分考虑活动设计、诱饵质量或模拟频率——这意味着培训活动与真实攻击不太相似,用户可能会感到疲劳
  • 通过让钓鱼模拟“不公平”来扭曲结果——跨越道德界限,使用旨在欺骗用户的恐吓策略,给用户带来压力和不确定性
  • 惩罚“未通过”钓鱼测试的用户,无论是通过强制进行额外枯燥的强制性培训、“点名羞辱”,还是应用纪律措施
  • 关注失败而非成功——这一点稍后会详细讨论,因为它对我们内部运行钓鱼模拟的方式至关重要

支持与反对的观点

这些问题以及其他一些问题在关于钓鱼培训有效性的辩论中反复出现。

钓鱼培训的支持者称赞其所谓的有效性,特别是与意识培训相结合时,可以提高学习保留率和投资回报率。一些人认为模拟钓鱼有助于训练用户的本能,迫使他们质疑电子邮件是否可能是恶意的;其他人则指出风险降低、成本效益(与实际违规的成本相比)以及“安全第一”文化的发展。

另一方面,除了我们之前提到的陷阱外,反对者认为钓鱼模拟可能根本不会降低风险,或者只会降低微不足道的风险。

两项最近的研究——一项在2021年,另一项在2025年——涉及数千名参与者,表明钓鱼模拟对用户点击钓鱼诱饵的概率影响非常小。2025年的研究还得出结论,年度意识培训对易感性没有显著影响,而未通过钓鱼模拟的员工之后往往不会参与培训材料。两项研究还表明,与直觉相反,培训实际上可能使用户更容易受到钓鱼攻击——可能是由于疲劳或过度自信。

我们应该注意到2025年的研究有一些注意事项;正如Mirage Security的Ross Lazerowitz所指出的,它只关注点击率,使用单一行业单一组织的参与者,并且没有考虑培训设计和质量。

然而,很明显,如果设计和执行不正确,钓鱼模拟充其量可能完全没有效果,在这种情况下,它们是时间、精力和金钱的浪费。最坏的情况是:它们甚至可能适得其反,无论初衷多么良好。

我们的钓鱼防护理念

在Sophos,我们不这么认为。自2019年以来,我们一直在内部运行钓鱼模拟,基于我们每年审查的场景,并考虑到我们在威胁环境中观察到的变化和趋势。我们不幻想这些模拟本身就能消除成功攻击的风险。

但我们仍然认为钓鱼演练是值得的,原因如下:我们不通过失败来衡量。我们通过成功来衡量。

点击率无法反映全貌

点击率(点击虚假钓鱼链接的收件人百分比)并不是特别有信息量或有帮助,因为我们从许多许多事件和数十年的经验中知道,只需要一个用户点击链接、输入一些凭据或运行脚本,就可以让攻击者进入。

是的,组织仍然需要不断加强其对人为错误的韧性,但通过失败来衡量将用户视为问题,而不是资产。它还提供了一种错误的安全感。你不太可能将点击率降至0%,甚至接近0%——而且你肯定无法长期维持。因此,例如,将点击率从30%降至20%,甚至10%,可能听起来令人印象深刻,并有所改善,但这并没有真正意义。关键的是,它也不能帮助你为真正的攻击做准备。

相反,我们在Sophos的关键指标是有多少用户报告钓鱼邮件。我们非常刻意地让用户容易做到这一点,在我们的电子邮件客户端上有一个简单、大而显眼的“报告”按钮,自动将相关电子邮件转发给我们的安全团队。(提醒Sophos电子邮件用户:此功能也适用于您。用户还可以使用Outlook加载项将可疑电子邮件发送到SophosLabs进行分析。)这避免了让用户自己转发电子邮件、截图或将邮件下载并作为附件发送给安全团队以及附上前言。

报告的价值

我们强调报告而非点击的原因之一是,在真实攻击中,点击链接的用户数量在很大程度上无关紧要,至少在事件早期是这样。直到有人报告电子邮件,或者你在其他地方发现可疑活动并调查时才会知道——当然,到那时攻击者已经进入了。

相比之下,报告是高度定制化的、可操作的威胁情报来源。钓鱼邮件很少为一个人定制和针对。即使它们是唯一的,它们背后的基础设施(C2、托管等)通常也不是。

因此,当用户报告可疑电子邮件时,安全团队可以立即进行分类并遵循既定的、理想情况下自动化的流程,包括引爆附件、查找IOC、搜寻访问凭据收集站点的行为、在整个环境中进行威胁狩猎、阻止恶意域以及收回发送给其他用户的电子邮件。

我们还衡量报告速度,因为这也很关键。钓鱼攻击是一场与时间的赛跑。如果攻击者说服用户输入凭据、下载文件或执行脚本,他们可以快速在环境中获得立足点。用户报告钓鱼邮件的速度越快,安全团队驱逐攻击者的时间就越多,攻击者扎根的时间就越少。

改变氛围

当然,我们不希望用户点击钓鱼邮件中的链接,但我们也不希望他们简单地删除邮件、将其移动到垃圾邮件文件夹或完全忽略它——因为这会让我们落后于攻击节奏。如果我们不知道威胁,我们就无法做出响应。

因此,报告率改变了钓鱼模拟的传统动态。我们不是为人们没有做的事情(即点击链接、与电子邮件互动)祝贺他们——或者更糟的是,因点击链接而惩罚他们——而是为他们确实做的事情祝贺他们。这是一个提供激励以采取积极行动,而不是消极或中性行动的情况——并且是赋予用户成为关键防线,而不是将他们视为“最薄弱环节”。

因此,钓鱼模拟不再是为了试图抓住用户并诱骗他们点击链接,而是更多地训练他们记住点击报告按钮。我们喜欢这样表述:我们不是在试图欺骗我们的员工。我们是在玩游戏,以帮助刷新他们的记忆并强化报告心态。

当然,有些用户不可避免地会点击钓鱼模拟中的链接。在Sophos,当他们这样做时,不会受到训斥。相反,他们会收到一封电子邮件,告知他们发生了什么,提醒他们报告可疑电子邮件的程序,并引导他们查看有关钓鱼的内部教育资源。报告模拟钓鱼尝试的用户会收到相同的电子邮件,只是主题行不同,以保持积极性并强化及时和主动的报告。

可靠的钓鱼模拟技巧

我们整理了一些技巧供组织在规划钓鱼模拟时考虑:

  • 找到合适的频率。每周太频繁,每年不够。你可能需要试验不同的间隔,以在用户疲劳和缺乏保留之间找到最佳点。征求用户和安全团队的反馈,并比较不同模拟活动的指标,将有所帮助
  • ** pretext应该现实,但不应不合理**。我们都知道,在现实世界中,威胁行为者通常缺乏任何道德约束,并且毫不顾忌使用残酷和操纵性的诱饵。但我们不是威胁行为者。pretext应包含常见的社会工程策略(诉诸紧迫性、激励等),而没有疏远员工和失去他们信任的风险。例如,基于困难或工作保障的诱饵可能导致用户脱离公司文化和安全计划——当用户是如此重要的资产时,这是一个糟糕的结果
  • 目标是强化积极行为,而不是抓住人们。制作一个欺骗创纪录数量用户的活动并不是胜利。目标是使用户成为关键防线,并提醒他们在发现可疑情况时该做什么。精心设计的钓鱼意识培训,与模拟相结合,可以帮助用户知道要注意什么
  • 优先考虑报告(和报告速度)而不是点击。通过成功来衡量和激励,而不是失败。如上所述,目标是让用户通过报告来反应——因为在真实攻击中,它提供了可操作的威胁情报,以及早期拦截威胁行为者的最佳机会。计算点击次数(并惩罚点击的用户)可能适得其反,即使初衷良好,因为它将用户视为弱点,可能使他们失去动力,并且提供的有用信息很少
  • 超越点击率。当然,你可能仍然记录点击——但请记住还要记录接下来发生的事情,因为这个问题有更多细微差别。正如Ross Lazerowitz所说,其他行为同样关键。有人点击了,然后在意识到不对劲后报告了吗?也许他们没有点击,但后来出于好奇在浏览器中访问了网站?如果电子邮件中的链接指向模拟的凭据收集站点,他们输入了任何凭据吗?(据传闻,一些渗透测试人员报告说,一些用户会故意输入错误的凭据,有时以针对“威胁行为者”的侮辱性消息的形式。严格来说,这些可以被算作“失败”,即使那些用户清楚地认识到了钓鱼尝试——但只需要轻微的行为推动,就能让他们以正确的方式报告电子邮件。)
  • 什么都不做对任何人都没有帮助。你可能认为用户不参与钓鱼电子邮件是一个好结果,因为它意味着他们没有点击。但在真实攻击的情况下,这没有帮助,因为直到有人点击,并且随后你在环境中的其他地方获得可疑活动的指示时,你才会知道威胁。到那时,你正在追赶,而威胁行为者已经获得了立足点;领先一步的机会已经消失
  • 用新颖的学习形式补充模拟。在Sophos,我们尝试透明地讨论针对我们的钓鱼攻击。最近的一篇文章和公开的根本原因分析涵盖了这样一个案例——但在我们公开报告之前,我们举办了一个内部网络研讨会,向整个公司开放,我们的安全团队在其中讨论了事件、发生原因以及我们的应对措施。我们看到这次网络研讨会得到了广泛、积极的参与,用户对了解攻击如何运作以及我们如何阻止它表现出浓厚兴趣——使其成为我们钓鱼模拟和定期意识培训的极好补充。它还有助于消除围绕钓鱼的一些污名。没有人愿意上当受骗,无论是模拟的还是真实的——但接受人们确实会上当,并在不归咎的情况下从后果中学习,是一项有价值的练习
  • 不仅适用于最终用户。钓鱼模拟本身可能有用,但它们也为安全团队提供了完善响应程序的机会。从第一次成功报告开始,你可以逐步完成如果钓鱼邮件是真实的你会做什么:引爆附件、查找和阻止基础设施、分类和阻止IOC、从其他用户的收件箱中收回电子邮件,等等。它也可以是测试这些步骤自动化的好机会
  • 包括每个人(在合理范围内)。钓鱼模拟理想情况下应涉及所有团队、部门和资历级别,或组织中的随机用户样本。这有助于提供有代表性的情况
  • 构建容忍人为故障的系统。更多是一种策略而不是目标,但重要的是要认识到任何依赖人类行为的安全控制本质上都是薄弱的。在任何现代快节奏环境中,我们不可避免地花费大量时间处于我们的“系统1”思维模式中。控制设计应该接受这一点,而不是与之对抗。我们在这方面已经取得了长足的进步——0-day 0-click路过式下载极其罕见。抗钓鱼的多因素认证存在,并且可以说正处于大规模采用的边缘。花在管理钓鱼评估上的时间可能是花在加强更强大和可靠的技术控制上的时间。

结论

钓鱼不会消失。事实上,生成式AI可能使其成为更大的威胁,因为攻击者可以使用它来克服传统的迹象:拼写错误、语法错误和糟糕的格式。因此,我们利用掌握的所有工具来防御它变得越来越重要。

当然,AI也可用于防御者,但我们也认识到,在防御方面,人类是我们最强大的资产之一。人们有意识或无意识地注意到线索和上下文,并且通常能感觉到电子邮件有些不对劲。

如果以正确的方式设计、执行、使用和衡量,定期的钓鱼模拟可以帮助进一步发展这些技能,在发生攻击时为你提供现成的情报管道,并增强你的安全文化——所有这些都增加了你破坏下一次真实尝试的机会。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次