出品 | 51CTO技術(shù)棧(微信號:blog51cto)
你是否收到過網(wǎng)絡(luò)釣魚郵件?你有沒有想過這可能是你的公司故意發(fā)送的?
因為雇主有時會模擬網(wǎng)絡(luò)釣魚信息,來培訓員工警惕這種網(wǎng)絡(luò)威脅。但最近,谷歌的一位大佬公開發(fā)聲,反對這種廣泛采用的網(wǎng)絡(luò)釣魚測試方法。
Matt Linton,作為谷歌安全響應及事件管理部的領(lǐng)頭人,呼吁對這種做法進行全面改革。在他看來,現(xiàn)有的網(wǎng)絡(luò)釣魚測試方式不僅未能有效減少實際網(wǎng)絡(luò)釣魚攻擊的案例,還導致員工對IT安全團隊產(chǎn)生不必要的反感和疏遠。
一、適得其反的釣魚測試
Linton在X和谷歌安全博客上分享觀點時強調(diào),頻繁的“欺騙性”測試非但沒有增強員工抵御網(wǎng)絡(luò)釣魚的能力,反而可能引起逆反心理,降低了整體安全文化的建設(shè)效果。
據(jù)悉,根據(jù)要求,公司必須向員工發(fā)送虛假的網(wǎng)絡(luò)釣魚郵件,以滿足美國政府的安全合規(guī)要求。在這些測試中,谷歌會給員工發(fā)送一封網(wǎng)絡(luò)釣魚郵件。如果員工點擊了郵件中的鏈接,就會被告知測試失敗,并通常需要參加某種形式的培訓課程。
然而,Linton認為,模擬網(wǎng)絡(luò)釣魚測試可能導致有害的副作用,還可能會削弱公司的安全。
“沒有證據(jù)表明這些測試能減少網(wǎng)絡(luò)釣魚攻擊事件,”Linton說道,并指出盡管進行了這樣的培訓,網(wǎng)絡(luò)釣魚攻擊仍在幫助黑客在網(wǎng)絡(luò)內(nèi)部獲得立足點。他還引用了2021年的一項研究,該研究持續(xù)了15個月,結(jié)論是這些網(wǎng)絡(luò)釣魚測試并不能“讓員工對網(wǎng)絡(luò)釣魚更加免疫”。
二、火災演練的啟示
Linton主張采用類似火災逃生演練的模式來提升網(wǎng)絡(luò)安全意識和響應能力。
現(xiàn)在的網(wǎng)絡(luò)釣魚測試更像早期的火災演習,那時候的演習更像是突然降臨在建筑物居民身上的火災疏散演練——毫無預警地進行,之后個人因應對失敗而受到指責。但是隨著時間的推移,火災演練逐漸發(fā)生了諸多改變。
隨著建筑的安全標準不斷提升,建筑物配備了更多的安全設(shè)施。更寬的逃生門、推桿式緊急出口和自動噴水滅火系統(tǒng)等創(chuàng)新應用不斷提高建筑物的防火安全性。
顯而易見的是,這些改進都不是為了提升個人在演習中的反應能力,但它們共同作用,增加了生存率。“火災逃生”從一種針對個人應急反應的懲罰性測試轉(zhuǎn)變?yōu)榱艘粓鲇薪M織、有預告的集體演練活動,從而顯著提高了人員的安全疏散效率。
Linton認為,網(wǎng)絡(luò)安全培訓也應當借鑒這一轉(zhuǎn)變,從關(guān)注個體“失敗”的懲罰轉(zhuǎn)向構(gòu)建更加堅固和智能的防御體系,同時提高全體員工對安全威脅的整體認識和協(xié)同應對能力。
三、只要人類是會犯錯的社交生物,人性的弱點就會被利用
盡管防網(wǎng)絡(luò)釣魚控制措施已被內(nèi)置到安全產(chǎn)品和電子郵件客戶端中,但研究表明網(wǎng)絡(luò)釣魚攻擊仍在增加。Zscaler最新的年度網(wǎng)絡(luò)釣魚報告發(fā)現(xiàn),過去12個月網(wǎng)絡(luò)釣魚攻擊增加了58%,而網(wǎng)絡(luò)犯罪分子更廣泛地采用人工智能推動了這一增長。
聯(lián)邦風險與授權(quán)管理計劃(FedRAMP)是推廣網(wǎng)絡(luò)安全標準的美國機構(gòu)之一。谷歌保持與FedRAMP的合規(guī)性,部分是通過遵循其指導進行網(wǎng)絡(luò)釣魚測試來實現(xiàn),該指導仍然聲稱用戶“是最后一道防線,應該接受測試”。
Linton認為,為員工提供網(wǎng)絡(luò)釣魚培訓是有價值的,但實現(xiàn)100%的成功率“可能是一個不可能完成的任務”。
他在博客中寫道:“網(wǎng)絡(luò)釣魚和社會工程作為攻擊手段不會消失。只要人類是可犯錯的社交生物,攻擊者就會有辦法操縱人性因素。”
“對于這兩種風險,更有效的應對方法是在長期內(nèi)專注于構(gòu)建默認安全系統(tǒng),以及投資于工程防御,如不可釣魚憑證(如通行密鑰)和在生產(chǎn)系統(tǒng)的敏感安全上下文中實施多方審批。正是由于對架構(gòu)防御等領(lǐng)域的投資,我們被告知,谷歌近十年來不必嚴重擔心密碼網(wǎng)絡(luò)釣魚問題。”
四、現(xiàn)有測試的問題
Linton指出,反對當前網(wǎng)絡(luò)釣魚測試的主要論點是“沒有證據(jù)表明這些測試能減少成功網(wǎng)絡(luò)釣魚活動的發(fā)生次數(shù)”。
一些如FedRAMP規(guī)定的測試要求組織減少或消除現(xiàn)有控制措施,以最大化測試失敗的感知影響。這引發(fā)了一系列問題,比如給測試對象對真實風險的錯誤感知,以及演習期間實施的允許列表在之后未被移除,從而使它們暴露于攻擊者的濫用之下。
Linton還提到,這給事件響應人員和負責篩選發(fā)送給威脅檢測團隊報告的人員帶來了更大的負擔,同時員工感覺受到了不必要的欺騙。
當然,還有其他人支持Linton的觀點。英國國家網(wǎng)絡(luò)安全中心(NCSC)的指導與這位谷歌高管提出的許多觀點一致,認為這些測試侵蝕了員工與安全團隊之間的信任,并指出用戶在網(wǎng)絡(luò)釣魚測試中點擊鏈接有許多原因。
某些特定個體的性格特征可能會促使他們點擊鏈接,而情境變量,包括在測試發(fā)出時正管理的特別繁重的工作負荷,可能不利地扭曲測試結(jié)果。
英國國家網(wǎng)絡(luò)安全中心表示:“員工應轉(zhuǎn)而創(chuàng)造積極的網(wǎng)絡(luò)安全文化,讓員工在報告網(wǎng)絡(luò)釣魚事件時感到舒適,從這個意義上說,他們可以成為寶貴的早期預警系統(tǒng)。”
五、可能的替代方案
Linton關(guān)于如何改進這些測試的想法回歸到了火災演練演變至今的理念。
這些測試不應用欺騙的方式進行,而應明確告知其為測試,就像公寓和辦公樓在測試前幾周于每個角落張貼海報一樣顯眼。它們應指向測試,并告知接收者這樣做的好處。
與辦公室工作人員多年來習慣的測試相比,Linton提出的可能的替代方案大相徑庭。但谷歌的這一聲音的確反映了對傳統(tǒng)網(wǎng)絡(luò)安全教育手段的深刻反思,倡導一個更注重環(huán)境優(yōu)化、文化建設(shè)和正面激勵的新型安全培訓模式。
此外,英國國家網(wǎng)絡(luò)安全中心表示,應采取多層次的方法來緩解工作場所的網(wǎng)絡(luò)釣魚攻擊:
1. 加大攻擊者接觸用戶的難度:通過技術(shù)手段過濾掉大部分明顯的垃圾郵件和網(wǎng)絡(luò)釣魚郵件。
2.幫助用戶識別并報告疑似網(wǎng)絡(luò)釣魚郵件:提供清晰的指南和簡單的報告流程,鼓勵員工有所懷疑時及時報告。
3. 保護組織免受“成功”網(wǎng)絡(luò)釣魚郵件的影響:即使郵件被點擊,也要確保多因素認證、權(quán)限最小化等策略能限制損害。
4. 快速響應事件:一旦發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊,立即啟動應急響應程序,隔離受影響系統(tǒng),防止進一步傳播。
Linton補充說,教導員工遇到網(wǎng)絡(luò)攻擊時,及時通知安全團隊,對全面安全至關(guān)重要。無需營造對立氛圍,通過揭示員工“失敗”并無助益。應摒棄無效的傳統(tǒng)防護,借鑒消防等行業(yè)經(jīng)驗,看看它們面對相似挑戰(zhàn),如何找到均衡對策。
參考鏈接:https://www.theregister.com/2024/05/23/google_phishing_tests/
