企業如何做好員工安全意識提升
背景
近年來隨著網絡安全政策、技術的不斷發展,國內企業對于安全的重視程度越來越高,安全建設投入力度越來越大,安全防御能力得到了明顯的提升。然而,企業面臨一個尷尬的問題就是,企業即使做了很多安全防御措施,但依然無法有效的避免信息安全事件,而這些安全事件中絕大多數與企業內部員工安全意識不足有關。據相關機構數據統計,在所有的安全事件中,只有20-30%是由于黑客入侵造成的,而70-80%則是由于內部員工的疏忽或有意泄漏造成的。于此同時,2017年《中國網民網絡安全意識調研報告》統計顯示,近90%的網民認為當前的網絡環境是安全的,但是82.6%的網民沒有接受過任何形式的網絡安全培訓。員工安全意識薄弱已經成為企業面臨的最大風險。提高員工安全意識,做好安全教育工作刻不容緩。
面對該問題,國家相關部門也將員工安全意識教育寫入政策法規中:
- 《網絡安全法》‐第三十四條(二)規定,定期對從業人員進行網絡安全教育、技術培訓和技能考核。
- 《等保2.0》‐6/7/8/9.1.7.3:應對各類人員進行 安全意識教育和崗位技能培訓,并告知相關的安 全責任和懲戒措施。
- 《關基安全保護條例》‐第二十七條:運營者應 當組織從業人員網絡安全教育培訓,每人每年教 育培訓時長不得少于1個工作日,關鍵崗位專業技 術人員每人每年教育培訓時長不得少于3個工作日。
網絡釣魚Phishing
在提高員工安全意識的工作中,網絡釣魚演習無疑是一種行之有效的手段,也是近年來黑客針對員工進行攻擊時慣用的手段。由于其攻擊成本低效果明顯飽受青睞,在整個網絡攻擊活動中占比高到78%,因此,員工學會如何識別網絡釣魚,學會避開此類攻擊將會大大的減少安全事件。
網絡釣魚結合了社會工程學和欺詐技巧,通常利用人性的弱點:貪婪、恐懼、好奇、同情、對權威的敬畏、認知的局限性及偏差來實現。網絡釣魚的形式可能是一個郵件附件,會加載惡意軟件到你的計算機;也可能為一個非法網站的鏈接,誘騙用戶下載惡意軟件或泄露個人信息甚至是竊取重要的憑據;或者是一個偽造的登錄頁面,來騙取用戶登錄憑據。
圖1 釣魚攻擊概覽圖
知名反網絡釣魚組織APWG (Anti-Phishing Working Group)2021年第三季度對目前的網絡釣魚事件態勢分析總結如下:
- 2021年7月共監測到260,642次網絡釣魚攻擊,這是APWG報告歷史上最高的月度。
- 自2020年初以來,網絡釣魚攻擊的數量翻了一番。
- 軟件即服務和網絡郵件領域是第三季度最常受網絡釣魚攻擊的領域,占所有攻擊的29.1%。
- 針對金融機和支付服務提供商的攻擊持續不斷,占所有攻擊總數的 34.9%。
- 針對加密貨幣目標(加密貨幣交易所和錢包提供商)的網絡釣魚占攻擊的 5.6%。
- 2021 年,受到攻擊的品牌數量有所增加,從每月 400 多個增加到 9 月的 700 多個。
- 巴西的網絡釣魚攻擊從第二季度的 4,275 次上升到第三季度的 7,741 次。
安全意識提升七大指標
結合國內外安全意識提升的資料來看,不難發現安全意識的提升主要從兩個方面進行:安全培訓和模擬演習。以下就如何做好安全培訓和模擬演習需要關注的多項指標進行敘述。
1. 安全培訓關鍵指標
大多數的企業均在安全方面都做過或多或少的培訓工作,來確保發生安全事件人員有足夠的能力和應急措施去應對。但是為什么在這么多工作的前提下,員工在遇到真實的釣魚攻擊還是會大片的淪陷?這是因為員工沒有養成防釣魚的潛意識以及不同場景下的思考決策能力。綜合學習整理國外兩大安全意識培訓公司的方案,給出以下三大指標:1.課程完成率,2.知識吸收轉換率,3.非測試期間活動檢測率。
(1)課程完成率
圖2 課程完成率
無論是安全行業還是其他行業的,在入職培訓期間,均會進行安全意識培訓。其中的課程五花八門,但有的員工學了,有的員工覺得無聊跳過了,而更甚者員工直接忽略接收。因此相應的難題就回歸到了課程培訓的組織者。
組織者必須知道,如何檢測學員的完成率,導致這種情況的問題因素在哪里,最后通過課程檢測可以輸出什么。
首先檢測手段,我們可以查看員工的學習軌跡(包含時長、時間段等),然后依據結果制作出表格,分層級展示(個人<小組<部門<企業)。其次我們應該思考三個點:
- 怎么制作體系化的課程和階段化的課程;
- 員工有什么課程是一次性完成的,什么是暫停/跳過的,為什么?
- 隨機挑選的課程中,員工更愿意學習什么課程,不愿意看的課程又是什么原因呢?
課程完成率這個指標,最能直觀的體現出員工的學習態度、進度、以及課程的精度。這里介紹一個課程制定的原則:BEST。
- 簡潔(Brief)長時間的電腦課件培訓會讓員工厭煩,也無法提高教學效率。只用1-4分鐘的時間來完成這一切才是最高效的。
- 有效(Effective)教會你的員工如何識別釣魚攻擊,發現釣魚攻擊后該做什么,以及到哪里去報告。
- 簡單(Simple) 如果訓練中使用員工不熟悉的術語,或者發出的指令過于復雜, 那么員工就會感到沮喪。這種沮喪情緒會對訓練產生負面影響。
- 體貼(Thoughtful) 你知道員工每天有多少事要做嗎?每天要承受多少壓力嗎?如果你知道,那么你就會在準備培訓課程時深思熟慮,這樣才不會給他們繁忙的生 活增添額外的壓力。與此同時,你還讓他們做好保護自己、家人和公司免受釣魚攻 擊侵害的準備。你是多么體貼啊!
(2) 知識吸收轉換率
圖3 知識吸收轉化率
相信很多人在大肆抓課程學習的時候,出現了一個疑惑點,那就是員工學完了我的課程,就吸收了嗎?之所以會發出這樣的疑問,往往是因為你的課程沒有設置知識吸收轉換率的檢測點。那應該怎么制作檢測點呢?最簡單粗暴的方式就是課程中加入檢測題。既起到了防刷的作用,又可以知識點逐一檢測加深記憶。
關于檢測題,一般分為三類:選擇、判斷、填空。
- 選擇題:給出答題者答案,搜尋薄弱的記憶點,檢測是否有學習或者記憶。
- 判斷題:給出答題者敏感易錯的做法,檢測敏感易錯點是否熟記。
- 填空題:給出答題者仿真的場景,檢測個人意識+思考的實踐度。
三種題目循序漸進的考察及篩選了員工的知識轉化率。也可以作為卡點來加深學習記憶。此指標使得培訓課程的組織人員很容易就能檢測到員工的學習成果。
(3) 非測試期間活動檢測率
圖4 非測試期間活動檢測率
很多安全培訓,僅存在理論性課程,這樣只能讓員工安全意識維持在課程中,而在真正出現釣魚事件時,安全意識瞬間將為零。
該指標就是指在非培訓期間,利用一些隱形的活動來檢測員工的安全意識。既可以反映員工的安全意識沉淀,又可以加深員工的警惕心理。例如:發U盤活動,注冊領福利等等。可以隨著時間提升難度縮短間隔。真正的讓安全意識熟記在心底,應用于工作及生活中。
2. 網絡釣魚演練關鍵指標
除去安全培訓,最直接檢測員工安全意識的辦法就是進行模擬釣魚演練。通過打開率、點擊率、上報率和彈性系數等四項指標,他們從不同維度和場景體現出了實施者的技術、員工的安全意識、組織的安全建設完善程度。
(1) 打開率
圖5 打開率
打開率,直觀的展示出電子郵件是否具有吸引力,足以讓讀者打開它并了解更多的信息。而追蹤技術我們往往會采用像素追蹤技術。用于進行網絡犯罪的像素追蹤技術,而決定打開率的關鍵因素往往會有很多,這就考驗到了實施者的經驗以及技術。
例如:
- 主題是否吸引閱讀
- 發件人姓名是否關鍵
- 郵箱服務是否存在郵件預覽文本
- 郵箱是否具有內外部郵件標識的插件
- 郵件是否被放入垃圾箱
- 郵件是否被上報
- 郵件是否能繞過郵件網關
(2) 點擊率
圖6 點擊率
點擊率是指點擊釣魚郵件中鏈接的收件人百分比,該指標是衡量員工安全意識的重要指標。而釣魚攻擊的成敗點也在這里。點擊率的檢測我們可以依靠:鏈接、輸入憑據、附件等各種模式的后臺記錄來查看。
點擊率低的原因:
- 模板選擇有誤(強度較低)
- 錯別字等關鍵識別因素較多(強度較低)
- 有人上報,it側已屏蔽
- 郵件在垃圾箱中,用戶無感知
常見增加點擊率的方法:
- 郵件回復【郵件中表明此郵件的優先級,務必回復】
- 附件下載查看【郵件中增加附件查看的誘惑性】
- 電話回復【可以增加電話回復來提高可信度,但注意電話的防溯源】
- 短信回復【同理】
(3)上報率
圖7 上報率
此指標既衡量員工的安全意識、也衡量安全口的培訓深度以及流程的完善度(最重要的指標)。
為什么說是最重要的?例如,在報告率較低的組織中,第一位員工將電子郵件識別為惡意電子郵件,但立即將其刪除。雖然這對他們個人來說是有好處的,但這一行動會使其他員工在當天晚些時候面臨風險;在報告率較高的組織中,第一位員工將電子郵件識別為惡意電子郵件,但將其告知 IT 團隊。IT 團隊現在有一個小時的時間可以在下一個員工處理電子郵件之前進行干預(通過通信,或通過DNS 防火墻之類的東西阻止惡意鏈接的域)。這一行動對個人和整個組織都有好處。而往往高上報率會使IT 和組織具有主動性,而不是被動反應。這就是完善的網絡安全文化所代表的,這也是網絡安全意識培訓計劃的主要目標。
提高上報率的關鍵因素:
- 上報渠道的完善度
- 上報的流程培訓
- 上報的意識培訓
而組織者怎么去提供追蹤上報的技術?在上報渠道讀記錄接入統計系統:
- 電話/企業微信/郵件等上報方式
- 郵件系統上報插件
- 辦公oa上報渠道
(4) 彈性系數
圖8 彈性系數
單一的點擊率、上報率往往會出現很多不確定的因素,導致結果出現偏差。所以需要定義一個平衡兩者的指標:彈性系數。
【彈性系數=上報率/點擊率】
理想的彈性系數是14,而上報率和點擊率分別為70%和5%。該指標能趨于穩定的評測出組織內的真實安全意識以及安全建設的成熟度。
了解了以上7個指標,我們就能依據場景,制定不同的目標和方案,為各自的企業做好安全意識的提升了。
網絡釣魚演練實施要點
從文章開頭提到的的回報率來說,把思維轉換到組織者的角度來想。我們應該如何展示或者說是提高回報率呢?筆者通過查詢多篇國外專利安全意識培訓公司的報告和方案,梳理形成以下三個目標:
- 最大化的暴露風險點
- 最大化的體現損失度
- 最大化的體現安全意識的彈性系數變化
安全意識提升應該從組織開始分層次的細化去提升,當然大家可以選取自己的層次和角度去看待后面的內容。
1. 要最大化暴露風險點
圖9 最大化暴露風險點
風險點由個人累計到部門組織風險,如果不最大化的排查相應風險點,將存在很大的安全隱患。具體分析計劃需站在組織者的角度進行。
以目標為導向:首先需要對整個組織進行一次模擬演習,建立組織的平均彈性系數。然后隨著計劃和實施需要將整體的彈性系數維持在一個穩定的14倍。
(1) 組織層面的目標及方案制定
首先需要了解一個組織的目標是什么?
總體提高組織的安全意識成熟度(提高彈性系數)。
過程怎么表現?
通過折線圖來展示隨著時間的變化,員工/部門/組織的彈性系數變化。
怎么去做?
按照層級,細化數據分析,注意減少各層級間的偏差,統一提高彈性系數。
決定因素?
組織一定要全力支持整個項目,幫助項目組最大化的挖掘風險點。
整體項目實施中,需要大量的數據進行支撐,從而形成直觀的組織總體安全意識成熟度模型,以及安全投入回報率折線圖。
(2) 部門層面的目標及方案制定
不同的部門,安全意識成熟度是參差不齊的,比方說:行政/人力等部門的點擊率可能高于銷售團隊,而開發團隊高于安全團隊;外包人員點擊率高于子公司,長沙子公司的又高于西安子公司的。可以將這些小組的指標與組織的整體水平進行比較,以了解哪些區域更值得進行集中培訓和測試,隨后細化到團隊/小組。
目標是什么?
縮小部門間的彈性系數差,提高組織總體的彈性系數。
過程怎么體現?
通過數據和圖表來展現,隨著時間的變化,部門間的偏差變化。
怎么去做?
從最初的模擬演練中對比篩選出,最好和最差的部門,隨后通過安全意識培訓+測試去縮短二者之間的偏差。如此往復,縮短每個部門之間的偏差。隨后加強測試的強度,來鞏固安全意識提高彈性系數。
決定因素?
安全培訓的三大指標決定彈性系數,部門的配合程度決定投入的成本。
從組織的整體層面,到部門的中型層面,逐層細化,去循環往復的解決部門間的偏差。以部門為單位去展示曲線變化。
(3) 員工層面的目標及方案制定
與部門層面類似,由于人員基礎素質、教育背景、日常所處環境的不同,安全意識成熟度存在明顯差異。在員工層面,我們應該分析哪些特定的員工相對于他們的部門或者是整個組織而言,風險更高。那就對他們進行針對性培訓。
目標是什么?
減少員工間的彈性系數差,提高整個部門的彈性系數
過程怎么體現?
通過部門內,以員工為單位的折現圖來展現,隨著時間的變化,員工間的偏差變化
怎么去做?
保留一次有效的安全培訓測驗結果或者是模擬演練的結果,篩選出一個名單,將這個員工放入到一個培訓桶內,隨后通過安全意識培訓+測試去減少桶中的員工。
決定因素?
安全培訓的三大指標決定彈性系數,員工的配合程度決定投入的成本。
需要注意什么?
即使有這些指標數據,但對相應數據應該謹慎處置,避免造成不必要的摩擦糾紛及負面影響。
整體方案就是:從組織層面開始,先進行一次模擬演練然后分析數據,整理出以下數據:
- 組織初始的彈性系數
- 各部門初始的彈性系數
- 部門間的偏差
- 員工間的偏差
隨后,針對于低于組織初始彈性系數的部門進行安全意識提升。首先整理出這些部門在模擬演練中的4大指標,然后抽取處于部門內的中下員工,這時我們就從數據中得到了組織內的風險點。哪些部門、哪些員工的安全意識薄弱。
我們對這些培訓桶中的員工進行安全意識培訓,當其三大指標合格時,針對性的發起部門模擬演練。得到員工的安全意識指標以及部門的培訓后的彈性系數。如果此系數大于組織的平均值,則該部門從培訓桶中剔除。
循環往復的進行該步驟(注意投入的正向回報),就可以逐漸的剔除每一個部門。這時我們需要留下一組數據,那就是多次模擬演練中頻繁打開和點擊的員工,對他們進行定制化的安全意識培訓。直到他們的安全意識達標。
需要注意,組織上下需明確安全意識培訓目的,培訓的投入和員工/部門的態度形成正比。
2. 要最大化體現損失度
通過最大化的體現安全事件造成的損失,引起組織層面的重視和注意,達到提升安全意識的目的。具體損失情況如下例子所示:
eg1:某HR在招聘網站登記的郵箱被攻擊者拿到、攻擊者偽裝成求職者,將帶有遠控的郵件發給HR,HR點擊辦公電腦被入侵,隨后打破網絡隔離,攻擊者入侵內網,將內網服務器植入勒索病毒,并打包拷貝走所有的員工信息+重要業務數據。
eg2:攻擊者發現某銀行的vpn客戶端可以外網下載,這時他們偽裝成銀行的客戶。去周邊的每個銀行咨詢業務并記錄銀行員工的工號、姓名、電話、郵箱等信息,而銀行員工因為業務的指標就熱心的提供了所有的信息,包含微信等聯系方式。隨后攻擊者利用得到的員工通訊錄,發起釣魚攻擊,高精度的DIY定制郵件內容:xxvpn需要升級,請大家隨后重新設置密碼。銀行部分員工點擊并輸入原始的賬號密碼,隨后員工發現密碼規律【初始密碼是大寫英文首字母+銀行成立年份】,隨后批量爆破出vpn的憑據【爆破未中招的員工】,隨后進入內網入侵系統,【該銀行內部網絡隔離監測系統都不完善,內網吹彈可破】拿到大客戶的存款信息。
我們國內的仿真練習,都是點到為止,沒有完成的利用鏈和對應的模擬損失。致使部分員工/部門/組織無法意識到安全意識的重要性。所以需要針對組織的行業性質制作一套對應的模擬損失。
eg1中:
- 員工信息=灰黑產中的價格
- 重要業務數據=代碼重構投入的研發經費
- 勒索病毒=贖金的總和
eg2中:
- 大客戶的存款信息=灰黑產的價格+存款的利息(大客戶可能會流失)
- 內網入侵=內網重要系統重構研發經費+安全排查
- 事件曝光=輿論造成的股票下跌+大客戶流失
所以在項目中,模擬演練中要制定模擬損失,體現在數據和圖表中,一方面隨著時間的變化能體現回報率,另一方面也可以直觀的體現安全意識的重要性。制定好組織的模擬損失后,需要不同層面的配合和支持。在組織層面:采取不遮掩、不回避、不阻斷的態度最大程度支持項目實施,在部門層面也是依據部門性質核算制定模擬損失,配合演練實施方進行演練,并及時的核算攻擊鏈造成的損失。而對于個人,應該真實上報并詳細的記錄自己的處置過程。
在上述工作完成的基礎上,就要考慮如何展示回報率了:最大化的體現彈性系數隨時間的變化。
3. 要最大化體現彈性系數隨時間的變化
所有的展示都依靠數據,總共分為三部分:安全培訓+模擬演習前的彈性系數,安全培訓+演習后的彈性系數,延長時間線后的彈性系數。
三個部門的數據匯總輸出隨著時間變化,組織/部門/員工的安全意識提升。每一次的節點都需要標注模擬損失和投入的資源。三個層次的變化圖表可以展示給不同的驗收者。
最后補充一下項目的后續說明,當員工達標后,開始針對部門提升不同的演習難度,最后強化部門的彈性系數維持在14左右。由員工到部門,部門到組織,自下而上的收斂風險點提升組織總體的安全意識成熟度。當組織總體的彈性系數達到14倍左右,這個項目就進入了收尾驗收的地步。
眼動儀與網絡釣魚分級
不止是攻擊者需要衡量釣魚郵件的欺騙度,企業培訓中也可以利用眼動儀追蹤技術來鑒定釣魚郵件的欺騙度以及員工的安全意識。眼動儀可以幫助我們記錄快速變化的眼睛運動數據,同時可以繪制眼動軌跡圖、熱力圖等,直觀而全面地反映眼動的時空特征。眼動分析的核心數據指標包括停留時間、視線軌跡圖、熱力圖、鼠標點擊量、區塊曝光率等,通過將定量指標與圖表相結合,可以有效分析用戶眼球運動的規律,尤其適用于評估設計效果。我們可以參考英國普爾伯恩茅斯大學科技學院心理學系做的實驗“通過眼動追蹤了解網絡釣魚電子郵件處理和感知可信度”來為企業檢測員工的安全意識以及衡量不同的釣魚郵件具有的欺騙度。
根據網絡釣魚郵件、頁面欺騙度不同,我們通常把釣魚攻擊分為4個級別,分別是:
1. 一級釣魚攻擊
一級釣魚攻擊是最容易識別的,通常有很多指標可以識別出它是“釣魚攻擊”,大多數普通用戶都應該覺得能很容易找出這類郵件不對勁兒的地方。可以用下列指標來劃分一級釣魚攻擊:
- 非指向性問候和結束語;
- 拼寫錯誤和糟糕的語法;
- 簡易的信息/不太可能成立的理由;
- 引起貪婪、恐懼或者好奇的心理;
- 奇怪的郵件地址/未知的發件人。
2. 二級釣魚攻擊
二級釣魚攻擊更復雜,盡管也有與一級釣魚攻擊類似的指標,但它的主題更為巧妙和隱蔽。可以用下列指標來劃分二級釣魚攻擊:
- 非指向性問候和結束語;
- 拼寫正確但有一些語法問題;
- 信息更復雜但仍然很基本;
- 引起貪婪、恐懼或者好奇的心理;
- 文本中出現惡意鏈接;
- 奇怪的郵件地址/未知的發件人。
3. 三級釣魚攻擊
三級釣魚攻擊接近于真實生活中的魚叉式釣魚攻擊以外的針對性釣魚攻擊。三級釣魚攻擊郵件復雜且難以識別。可以用下列指標來劃分三級釣魚攻擊:
- 指向性問候和結束語;
- 正確的拼寫;
- 正確的語法;
- 復雜的信息;
- 會引起恐懼或好奇的心理;
- 文本中出現惡意鏈接;
- 有時候會出現奇怪的郵件地址,但是發件人看起來是合法的;
- 很多時候出現商標。
4. 四級釣魚攻擊(魚叉攻擊)
這一級別的釣魚攻擊非常高級、非常個性化,而且很多時候非常成功。這一級別釣魚攻擊的有趣之處在于,它可能具備個人化信息、商標、無拼寫錯誤等特征,但它也有可能是地球上最簡單的郵件,這種手法就是魚叉攻擊。
魚叉式釣魚攻擊與其他類型的釣魚式攻擊的不同之處在于,魚叉式釣魚針對的是特定人員或特定公司的員工。魚叉式釣魚這種有針對性的攻擊更加危險。網絡犯罪分子會精心收集目標對象的信息,使”誘餌”更具誘惑力。精心制作的魚叉式釣魚電子郵件可能很難與合法的電子郵件區分開來。因而魚叉式釣魚攻擊更容易使目標上鉤。
結語
在眾多的安全防御手段中,通過網絡釣魚演習提高員工安全意識和釣魚郵件識別能力,是在當前防御愈演愈烈的網絡安全形勢下,最經濟的一種防御手段。因此未來企業安全建設工作中,要做到有效提升員工安全意識,就需要做到網絡釣魚演習標準化、指標化,員工安全意識可度量。
