近年来随着网络安全政策、技术的不断发展,国内企业对于安全的重视程度越来越高,安全建设投入力度越来越大,安全防御能力得到了明显的提升。然而,企业面临一个尴尬的问题就是,企业即使做了很多安全防御措施,但依然无法有效的避免信息安全事件,而这些安全事件中绝大多数与企业内部员工安全意识不足有关。据相关机构数据统计,在所有的安全事件中,只有20-30%是由于黑客入侵造成的,而70-80%则是由于内部员工的疏忽或有意泄漏造成的。于此同时,2017年《中国网民网络安全意识调研报告》统计显示,近90%的网民认为当前的网络环境是安全的,但是82.6%的网民没有接受过任何形式的网络安全培训。员工安全意识薄弱已经成为企业面临的最大风险。提高员工安全意识,做好安全教育工作刻不容缓。
面对该问题,国家相关部门也将员工安全意识教育写入政策法规中:
1.《网络安全法》‐第三十四条(二)规定,定期对从业人员进行网络安全教育、技术培训和技能考核。
2.《等保2.0》‐6/7/8/9.1.7.3:应对各类人员进行 安全意识教育和岗位技能培训,并告知相关的安 全责任和惩戒措施。
3.《关基安全保护条例》‐第二十七条:运营者应 当组织从业人员网络安全教育培训,每人每年教 育培训时长不得少于1个工作日,关键岗位专业技 术人员每人每年教育培训时长不得少于3个工作日。
在提高员工安全意识的工作中,网络钓鱼演习无疑是一种行之有效的手段,也是近年来黑客针对员工进行攻击时惯用的手段。由于其攻击成本低效果明显饱受青睐,在整个网络攻击活动中占比高到78%,因此,员工学会如何识别网络钓鱼,学会避开此类攻击讲会大大的减少安全事件。
网络钓鱼结合了社会工程学和欺诈技巧,通常利用人性的弱点:贪婪、恐惧、好奇、同情、对权威的敬畏、认知的局限性及偏差来实现。网络钓鱼的形式可能是一个邮件附件,会加载恶意软件到你的计算机;也可能为一个非法网站的链接,诱骗用户下载恶意软件或泄露个人信息甚至是窃取重要的凭据;或者是一个伪造的登录页面,来骗取用户登录凭据。
图1 钓鱼攻击概览图
知名反网络钓鱼组织APWG (Anti-Phishing Working Group)2021年第三季度对目前的网络钓鱼事件态势分析总结如下:
l 2021年7月共监测到260,642次网络钓鱼攻击,这是APWG报告历史上最高的月度。
l 自2020年初以来,网络钓鱼攻击的数量翻了一番。
l 软件即服务和网络邮件领域是第三季度最常受网络钓鱼攻击的领域,占所有攻击的29.1%。
l 针对金融机和支付服务提供商的攻击持续不断,占所有攻击总数的 34.9%。
l 针对加密货币目标(加密货币交易所和钱包提供商)的网络钓鱼占攻击的 5.6%。
l 2021 年,受到攻击的品牌数量有所增加,从每月 400 多个增加到 9 月的 700 多个。
l 巴西的网络钓鱼攻击从第二季度的 4,275 次上升到第三季度的 7,741 次。
结合国内外安全意识提升的资料来看,不难发现安全意识的提升主要从两个方面进行:安全培训和模拟演习。以下就如何做好安全培训和模拟演习需要关注的多项指标进行叙述。
大多数的企业均在安全方面都做过或多或少的培训工作,来确保发生安全事件人员有足够的能力和应急措施去应对。但是为什么在这么多工作的前提下,员工在遇到真实的钓鱼攻击还是会大片的沦陷?这是因为员工没有养成防钓鱼的潜意识以及不同场景下的思考决策能力。综合学习整理国外两大安全意识培训公司的方案,给出以下三大指标:1.课程完成率,2.知识吸收转换率,3.非测试期间活动检测率。
图2 课程完成率
无论是安全行业还是其他行业的,在入职培训期间,均会进行安全意识培训。其中的课程五花八门,但有的员工学了,有的员工觉得无聊跳过了,而更甚者员工直接忽略接收。因此相应的难题就回归到了课程培训的组织者。
组织者必须知道,如何检测学员的完成率,导致这种情况的问题因素在哪里,最后通过课程检测可以输出什么。
首先检测手段,我们可以查看员工的学习轨迹(包含时长、时间段等),然后依据结果制作出表格,分层级展示(个人<小组<部门<企业)。其次我们应该思考三个点:
1.怎么制作体系化的课程和阶段话的课程;
2.员工有什么课程是一次性完成的,什么是暂停/跳过的,为什么;
3.随机挑选的课程中,员工更愿意学习什么课程,不愿意看的课程又是什么原因呢?
课程完成率这个指标,最能直观的体现出员工的学习态度、进度、以及课程的精度。
这里介绍一个课程制定的原则:BEST。
简洁(Brief) 长时间的电脑课件培训会让员工厌烦,也无法提高教学效率。只用1-4分钟的时间来完成这一切才是最高效的。
有效(Effective)教会你的员工如何识别钓鱼攻击,发现钓鱼攻击后该做什么,以及到哪里去报告。
简单(Simple) 如果训练中使用员工不熟悉的术语,或者发出的指令过于复杂, 那么员工就会感到沮丧。这种沮丧情绪会对训练产生负面影响。
体贴(Thoughtful) 你知道员工每天有多少事要做吗?每天要承受多少压力吗? 如果你知道,那么你就会在准备培训课程时深思熟虑,这样才不会给他们繁忙的生 活增添额外的压力。与此同时,你还让他们做好保护自己、家人和公司免受钓鱼攻 击侵害的准备。你是多么体贴啊!
图3 知识吸收转化率
相信很多人在大肆抓课程学习的时候,出现了一个疑惑点,那就是员工学完了我的课程,就吸收了吗?之所以会发出这样的疑问,往往是因为你的课程没有设置知识吸收转换率的检测点。那应该怎么制作检测点呢?最简单粗暴的方式就是课程中加入检测题。既起到了防刷的作用,又可以知识点逐一检测加深记忆。
关于检测题,一般分为三类:选择、判断、填空。
l 选择题:给出答题者答案,搜寻薄弱的记忆点,检测是否有学习或者记忆。
l 判断题:给出答题者敏感易错的做法,检测敏感易错点是否熟记。
l 填空题:给出答题者仿真的场景,检测个人意识+思考的实践度。
三种题目循序渐进的考察及筛选了员工的知识转化率。也可以作为卡点来加深学习记忆。此指标使得培训课程的组织人员很容易就能检测到员工的学习成果。
图4 非测试期间活动检测率
很多安全培训,仅存在理论性课程,这样只能让员工安全意识维持在课程中,而在真正出现钓鱼事件时,安全意识瞬间将为零。
该指标就是指在非培训期间,利用一些隐形的活动来检测员工的安全意识。既可以反映员工的安全意识沉淀,又可以加深员工的警惕心理。例如:发U盘活动,注册领福利等等。可以随着时间提升难度缩短间隔。真正的让安全意识熟记在心底,应用于工作及生活中。
除去安全培训,最直接检测员工安全意识的办法就是进行模拟钓鱼演练。通过打开率、点击率、上报率和弹性系数等四项指标,他们从不同维度和场景体现出了实施者的技术、员工的安全意识、组织的安全建设完善程度。
图5 打开率
打开率,直观的展示出电子邮件是否具有吸引力,足以让读者打开它并了解更多的信息。而追踪技术我们往往会采用像素追踪技术。用于进行网络犯罪的像素追踪技术【https://www.kaspersky.com.cn/blog/tracking-pixel-bec/11964/】,而决定打开率的关键因素往往会有很多,这就考验到了实施者的经验以及技术。
例如:
l 主题是否吸引阅读
l 发件人姓名是否关键
l 邮箱服务是否存在邮件预览文本
l 邮箱是否具有内外部邮件标识的插件
l 邮件是否被放入垃圾箱
l 邮件是否被上报
l 邮件是否能绕过邮件网关
图6 点击率
点击率是指点击钓鱼邮件中链接的收件人百分比,该指标是衡量员工安全意识的重要指标。而钓鱼攻击的成败点也在这里。
点击率的检测我们可以依靠:链接、输入凭据、附件等各种模式的后台记录来查看。
点击率低的原因:
l 模板选择有误(强度较低)
l 错别字等关键识别因素较多(强度较低)
l 有人上报,it侧已屏蔽
l 邮件在垃圾箱中,用户无感知
常见增加点击率的方法:
l 邮件回复【邮件中表明此邮件的优先级,务必回复】
l 附件下载查看【邮件中增加附件查看的诱惑性】
l 电话回复【可以增加电话回复来提高可信度,但注意电话的防溯源】
l 短信回复【同理】
图7 上报率
此指标既衡量员工的安全意识、也衡量安全口的培训深度以及流程的完善度(最重要的指标)。
为什么说是最重要的?例如:在报告率较低的组织中,第一位员工将电子邮件识别为恶意电子邮件,但立即将其删除。虽然这对他们个人来说是有好处的,但这一行动会使其他员工在当天晚些时候面临风险;在报告率较高的组织中,第一位员工将电子邮件识别为恶意电子邮件,但将其告知 IT 团队。IT 团队现在有一个小时的时间可以在下一个员工处理电子邮件之前进行干预(通过通信,或通过DNS 防火墙之类的东西阻止恶意链接的域)。这一行动对个人和整个组织都有好处。而往往高上报率会使IT 和组织具有主动性,而不是被动反应。这就是完善的网络安全文化所代表的,这也是网络安全意识培训计划的主要目标。
提高上报率的关键因素:
l 上报渠道的完善度
l 上报的流程培训
l 上报的意识培训
而组织者怎么去提供追踪上报的技术?在上报渠道读记录接入统计系统
l 电话/企业微信/邮件等上报方式
l 邮件系统上报插件
l 办公oa上报渠道
图8 弹性系数
单一的点击率、上报率往往会出现很多不确定的因素,导致结果出现偏差。所以需要定义一个平衡两者的指标:弹性系数。
【弹性系数=上报率/点击率】
理想的弹性系数是14,而上报率和点击率分别为70%和5%。该指标能趋于稳定的评测出组织内的真实安全意识以及安全建设的成熟度。
了解了以上7个指标,我们就能依据场景,制定不同的目标和方案,为各自的企业做好安全意识的提升了。
从文章开头提到的的回报率来说,把思维转换到组织者的角度来想。我们应该如何展示或者说是提高回报率呢?笔者通过查询多篇国外专利安全意识培训公司的报告和方案,梳理形成以下三个目标:
1.最大化的暴露风险点
2.最大化的体现损失度
3.最大化的体现安全意识的弹性系数变化
安全意识提升应该从组织开始分层次的细化去提升,当然大家可以选取自己的层次和角度去看待后面的内容。
图9 最大化暴露风险点
风险点由个人累计到部门组织风险,如果不最大化的排查相应风险点,将存在很大的安全隐患。具体分析计划需站在组织者的角度进行。
以目标为导向:首先需要对整个组织进行一次模拟演习,建立组织的平均弹性系数。然后随着计划和实施需要将整体的弹性系数维持在一个稳定的14倍。
l 首先需要了解一个组织的目标是什么?
总体提高组织的安全意识成熟度(提高弹性系数)。
l 过程怎么表现?
通过折线图来展示随着时间的变化,员工/部门/组织的弹性系数变化。
l 怎么去做?
按照层级,细化数据分析,注意减少各层级间的偏差,统一提高弹性系数。
l 决定因素?
组织一定要全力支持整个项目,帮助项目组最大化的挖掘风险点。
整体项目实施中,需要大量的数据进行支撑,从而形成直观的组织总体安全意识成熟度模型,以及安全投入回报率折线图。
不同的部门,安全意识成熟度是参差不齐的,比方说:行政/人力等部门的点击率可能高于销售团队,而开发团队高于安全团队;外包人员点击率高于子公司,长沙子公司的又高于西安子公司的。可以将这些小组的指标与组织的整体水平进行比较,以了解哪些区域更值得进行集中培训和测试,随后细化到团队/小组。
l 目标是什么?
缩小部门间的弹性系数差,提高组织总体的弹性系数
l 过程怎么体现?
通过数据和图表来展现,随着时间的变化,部门间的偏差变化
l 怎么去做?
从最初的模拟演练中对比筛选出,最好和最差的部门,随后通过安全意识培训+测试去缩短二者之间的偏差。如此往复,缩短每个部门之间的偏差。随后加强测试的强度,来巩固安全意识提高弹性系数。
l 4.决定因素?
安全培训的三大指标决定弹性系数,部门的配合程度决定投入的成本。
从组织的整体层面,到部门的中型层面,逐层细化,去循环往复的解决部门间的偏差。以部门为单位去展示曲线变化。
与部门层面类似,由于人员基础素质、教育背景、日常所处环境的不同,安全意识成熟度存在明显差异。在员工层面,我们应该分析哪些特定的员工相对于他们的部门或者是整个组织而言,风险更高。那就对他们进行针对性培训。
1.目标是什么?
减少员工间的弹性系数差,提高整个部门的弹性系数
2.过程怎么体现?
通过部门内,以员工为单位的折现图来展现,随着时间的变化,员工间的偏差变化
3.怎么去做?
保留一次有效的安全培训测验结果或者是模拟演练的结果,晒选出一个名单,将这个员工放入到一个培训桶内,随后通过安全意识培训+测试去减少桶中的员工。
4.决定因素?
安全培训的三大指标决定弹性系数,员工的配合程度决定投入的成本。
5.需要注意什么?
即使有这些指标数据,但对相应数据应该谨慎处置,避免造成不必要的摩擦纠纷及负面影响。
整体方案就是:从组织层面开始,先进行一次模拟演练然后分析数据,整理出以下数据
l 组织初始的弹性系数
l 各部门初始的弹性系数
l 部门间的偏差
l 员工间的偏差
随后,针对于低于组织初始弹性系数的部门进行安全意识提升。首先整理出这些部门在模拟演练中的4大指标,然后抽取处于部门内的中下员工,这时我们就从数据中得到了组织内的风险点。哪些部门、哪些员工的安全意识薄弱。
我们对这些培训桶中的员工进行安全意识培训,当其三大指标合格时,针对性的发起部门模拟演练。得到员工的安全意识指标以及部门的培训后的弹性系数。如果此系数大于组织的平均值,则该部门从培训桶中剔除。
循环往复的进行该步骤(注意投入的正向回报),就可以逐渐的剔除每一个部门。这时我们需要留下一组数据,那就是多次模拟演练中频繁打开和点击的员工,对他们进行定制化的安全意识培训。直到他们的安全意识达标。
需要注意,组织上下需明确安全意识培训目的,培训的投入和员工/部门的态度形成正比。
通过最大化的体现安全事件造成的损失,引起组织层面的重视和注意,达到提升安全意识的目的。具体损失情况如下例子所示:
eg1:某HR在招聘网站登记的邮箱被攻击者拿到、攻击者伪装成求职者,将带有远控的邮件发给HR,HR点击办公电脑被入侵,随后打破网络隔离,攻击者入侵内网,将内网服务器植入勒索病毒,并打包拷贝走所有的员工信息+重要业务数据。
eg2:攻击者发现某银行的vpn客户端可以外网下载,这时他们伪装成银行的客户。去周边的每个银行咨询业务并记录银行员工的工号、姓名、电话、邮箱等信息,而银行员工因为业务的指标就热心的提供了所有的信息,包含微信等联系方式。随后攻击者利用得到的员工通讯录,发起钓鱼攻击,高精度的DIY定制邮件内容:xxvpn需要升级,请大家随后重新设置密码。银行部分员工点击并输入原始的账号密码,随后员工发现密码规律【初始密码是大写英文首字母+银行成立年份】,随后批量爆破出vpn的凭据【爆破未中招的员工】,随后进入内网入侵系统,【该银行内部网络隔离监测系统都不完善,内网吹弹可破】拿到大客户的存款信息。
我们国内的仿真练习,都是点到为止,没有完成的利用链和对应的模拟损失。致使部分员工/部门/组织无法意识到安全意识的重要性。所以需要针对组织的行业性质制作一套对应的模拟损失。
eg1中
l 员工信息=灰黑产中的价格
l 重要业务数据=代码重构投入的研发经费
l 勒索病毒=赎金的总和
eg2中
l 大客户的存款信息=灰黑产的价格+存款的利息(大客户可能会流失)
l 内网入侵=内网重要系统重构研发经费+安全排查
l 事件曝光=舆论造成的股票下跌+大客户流失
所以在项目中,模拟演练中要制定模拟损失,体现在数据和图表中,一方面随着时间的变化能体现回报率,另一方面也可以直观的体现安全意识的重要性。制定好组织的模拟损失后,需要不同层面的配合和支持。在组织层面:采取不遮掩、不回避、不阻断的态度最大程度支持项目实施,在部门层面也是依据部门性质核算制定模拟损失,配合演练实施方进行演练,并及时的核算攻击链造成的损失。而对于个人,应该真实上报并详细的记录自己的处置过程。
在上述工作完成的基础上,就要考虑如何展示回报率了:最大化的体现弹性系数随时间的变化。
所有的展示都依靠数据,总共分为三部分:安全培训+模拟演习前的弹性系数,安全培训+演习后的弹性系数,延长时间线后的弹性系数。
三个部门的数据汇总输出随着时间变化,组织/部门/员工的安全意识提升。每一次的节点都需要标注模拟损失和投入的资源。三个层次的变化图表可以展示给不同的验收者。
最后补充一下项目的后续说明,当员工达标后,开始针对部门提升不同的演习难度,最后强化部门的弹性系数维持在14左右。由员工到部门,部门到组织,自下而上的收敛风险点提升组织总体的安全意识成熟度。当组织总体的弹性系数达到14倍左右,这个项目就进入了收尾验收的地步。
不止是攻击者需要衡量钓鱼邮件的欺骗度,企业培训中也可以利用眼动仪追踪技术来鉴定钓鱼邮件的欺骗度以及员工的安全意识。眼动仪可以帮助我们记录快速变化的眼睛运动数据,同时可以绘制眼动轨迹图、热力图等,直观而全面地反映眼动的时空特征。眼动分析的核心数据指标包括停留时间、视线轨迹图、热力图、鼠标点击量、区块曝光率等,通过将定量指标与图表相结合,可以有效分析用户眼球运动的规律,尤其适用于评估设计效果。我们可以参考英国普尔伯恩茅斯大学科技学院心理学系做的实验“通过眼动追踪了解网络钓鱼电子邮件处理和感知可信度”来为企业检测员工的安全意识以及衡量不同的钓鱼邮件具有的欺骗度。
根据网络钓鱼邮件、页面欺骗度不同,我们通常把钓鱼攻击分为4个级别,分别是:
一级钓鱼攻击是最容易识别的,通常有很多指标可以识别出它是“钓鱼攻击”,大多数普通用户都应该觉得能很容易找出这类邮件不对劲儿的地方。可以用下列指标来划分一级钓鱼攻击:
l 非指向性问候和结束语;
l 拼写错误和糟糕的语法;
l 简易的信息/不太可能成立的理由;
l 引起贪婪、恐惧或者好奇的心理;
l 奇怪的邮件地址/未知的发件人。
二级钓鱼攻击更复杂,尽管也有与一级钓鱼攻击类似的指标,但它的主题更为巧妙和隐蔽。可以用下列指标来划分二级钓鱼攻击:
l 非指向性问候和结束语;
l 拼写正确但有一些语法问题;
l 信息更复杂但仍然很基本;
l 引起贪婪、恐惧或者好奇的心理;
l 文本中出现恶意链接;
l 奇怪的邮件地址/未知的发件人。
三级钓鱼攻击接近于真实生活中的鱼叉式钓鱼攻击以外的针对性钓鱼攻击。三级钓鱼攻击邮件复杂且难以识别。 可以用下列指标来划分三级钓鱼攻击:
l 指向性问候和结束语;
l 正确的拼写;
l 正确的语法;
l 复杂的信息;
l 会引起恐惧或好奇的心理;
l 文本中出现恶意链接;
l 有时候会出现奇怪的邮件地址,但是发件人看起来是合法的;
l 很多时候出现商标。
这一级别的钓鱼攻击非常高级、非常个性化,而且很多时候非常成功。这一级别钓鱼攻击的有趣之处在于,它可能具备个人化信息、商标、无拼写错误等特征,但它也有可能是地球上最简单的邮件,这种手法就是鱼叉攻击。
鱼叉式钓鱼攻击与其他类型的钓鱼式攻击的不同之处在于,鱼叉式钓鱼针对的是特定人员或特定公司的员工。鱼叉式钓鱼这种有针对性的攻击更加危险。网络犯罪分子会精心收集目标对象的信息,使”诱饵”更具诱惑力。精心制作的鱼叉式钓鱼电子邮件可能很难与合法的电子邮件区分开来。因而鱼叉式钓鱼攻击更容易使目标上钩。
在众多的安全防御手段中,通过网络钓鱼演习提高员工安全意识和钓鱼邮件识别能力,是在当前防御愈演愈烈的网络安全形势下,最经济的一种防御手段。因此未来企业安全建设工作中,要做到有效提升员工安全意识,就需要做到网络钓鱼演习标准化、指标化,员工安全意识可度量。
关注云鼎实验室微信公众号,回复“企业安全意识提升”获取本文技术思维导图。
参考链接:
https://apwg.org/trendsreports/
https://www.cira.ca/blog/cybersecurity/phishing-test-metrics-measurement
https://www.livingsecurity.com/blog/metrics-to-track-in-your-cybersecurity-awareness-training-campaign
https://www.proofpoint.com/us/blog/email-and-cloud-threats/reporting-phishing-simulations-essential-metric-measure-phishing?utm_source=social_organic&utm_social_network=twitter&utm_campaign=21_Nov_Blog&utm_post_id=5c931e63-24cb-4cd8-9cd3-e13798b82bd7
https://www.microsoft.com/security/blog/2021/08/18/trend-spotting-email-techniques-how-modern-phishing-emails-hide-in-plain-sight/
https://www.buaq.net/go-58701.html
https://www.fireeye.com/content/dam/fireeye-www/regional/zh-CN/products/pdfs/wp-spear-phishing-attacks.pdf
http://www.infocomm-journal.com/cjnis/article/2017/2096-109x/2096-109x-3-7-00007.shtml
https://www.hackbase.net/article-254958-1.html
关注云鼎实验室微信公众号,回复“企业安全意识提升”获取技术思维导图。
本文作者:云鼎实验室
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/170584.html