读社会工程：防范钓鱼欺诈（卷3）04工具包

1. 情绪和政策

1.1. 你需要关注你的员工，考虑他们的感受，以及他们会对你的钓鱼攻击有何反应

1.2. 体谅每个人的感受优先于教学需要是很糟糕的，因为它会限制你开展教学环节

1.3. 为了正确地训练你的钓鱼攻击肌肉，你需要随着时间推移来增加钓鱼攻击的“举重砝码”​

1.4. 政策并非一个有趣的话题，没有人想要把时间花在制定一些所有人都要遵守的规则上

2. 老板是例外

2.1. 不要认为自己地位高就可以从规则中豁免

2.2. 当老板100%投入到培训中时，员工的态度也会显著改变，变得积极和顺从

2.3. 当员工看见高层愿意接受培训并且接受测试时，他们就不会感觉自己是被单独挑出来的

3. 修补其中一个漏洞

3.1. 无论原因是什么，选择只测试一部分人就好像只修补两个漏洞的其中一个一样

3.2. 每个人受钓鱼攻击和培训的影响的程度都是不一样的

• 3.2.1. 选择随机数目的员工或者一小部分员工接受测试，并不能告诉你公司在钓鱼攻击中整体表现如何

3.3. 相比于全员投入而言，小样本测试效果并不好，虽然有些情况下这可能是必要的

4. 太多训练使人厌倦

4.1. 教练会告诉你为什么有些东西不好，给你展示一些短片来告诉你怎么做才是正确的，并希望你能从中学到一些东西

4.2. 只测试员工一次，并只给他们一次培训来告诉他们如何识别钓鱼邮件，这和把他们派往法国的一个月前只给他们上一堂法语课没什么两样—都没有什么效率

4.3. 极其受挫的情绪

• 4.3.1. 对于感觉自己一直以来都没有进步的员工，以及因为没有员工在学习所以感觉培训浪费金钱的公司来说，当用这种方式思考时，失望是常态

4.4. 缺乏安全意识

• 4.4.1. 不仅训练是低效的，而且由于上述的受挫情绪，很多员工会在识别钓鱼邮件方面做得不如那些持续接受测试和培训的员工

4.5. IT 部门和其他部门之间缺乏联系

• 4.5.1. IT部门和其他部门之间的关系会变得更对立，而非成为一个团结一致并服务于你的“团队”​

4.6. 缺乏标准

4.7. 重要的是一致性和承诺

• 4.7.1. 培训必须持之以恒—至少每个季度或者每隔一个月进行一次，而且你必须严格执行

• 4.7.2. 争取预算总是很艰难的

4.8. 培训的主要目的是对钓鱼攻击的威胁有所了解，以及展示培训对员工所起的作用

5. 发现钓鱼攻击

5.1. 你应该选择最容易成功的那条路

5.2. 你想要员工报告他们“捕获”的所有钓鱼攻击

5.3. 你想要员工在收到更多关于这些邮件的信息前不要轻举妄动

5.4. 你也想要鼓励那些可以培养安全意识的值得提倡的行为

5.5. 报告钓鱼邮件是通过邮件或者网页的形式来通知合适的团队进行处理的

5.6. 如果对员工来说报告钓鱼邮件是容易的，那么他们就会更愿意报告，也更容易接受钓鱼攻击培训

5.7. 你需要和你的员工一起努力，让培训成为他们都想参加的一项活动

6. 坏人在周一休假

6.1. 限制钓鱼攻击培训的日期或时间，就好比确信大老鼠只会在满月之夜出来吃了你

6.2. 坏人不会只在你不开员工大会的时候攻击你

6.3. 教会你的员工在任何时间都能发现所有的钓鱼攻击邮件，而不是教他们弄清楚钓鱼攻击邮件是来自公司还是来自坏人

7. 眼不见心不烦

7.1. 不付出时间和精力是不会有所改进的

7.2. 需要为员工提供一个可以报告可疑邮件的地方

7.3. 唯一的改进办法是给员工创造一个可以报告的途径

• 7.3.1. 保证公司安全

• 7.3.2. 保证员工安全

• 7.3.3. 保护你辛苦建立的数据和资产

8. 工具包

8.1. 符合你和你的培训项目的需求的工具可以消除你的挫败感，帮你快速推进项目，并让你将注意力集中于培训效果而不是实际过程

8.2. 不管你如何选择，你都可以适时改变，或者坚持你的想法

8.3. 无论你的选择如何—让你的员工意识到钓鱼攻击的危险并学会防御

9. 商业应用

9.1. Rapid7 Metasploit Pro

• 9.1.1. 熟练的渗透测试人员是很难找到的，因此有效利用他们的时间是很重要的

• 9.1.2. 可以通过闭环漏洞验证来显示风险程度并进行风险优先级划分，还能通过模拟钓鱼邮件攻击来对安全意识进行衡量

• 9.1.3. 端到端（end-to-end）的钓鱼攻击项目允许你安全地对用户的行为进行测试，并提供对未成功通过测试的用户的分析

• 9.1.4. 优点

• 9.1.4.1. 可以衡量用户安全意识，还可以选择通过渗透测试来评估安全措施的有效性

• 9.1.4.2. 一个功能全面的攻击安全工具，它不仅能用于钓鱼攻击，也涵盖了漏洞发掘、证书检查和Web App测试

• 9.1.4.3. 一款本地部署应用，可以确保个人网络调查结果的隐私

• 9.1.4.4. 包含UserInsight，为你提供包含钓鱼攻击在内的用户全局风险概览

• 9.1.4.5. 只需要一次授权，Rapid7即可向不限数量的用户提供不限次数的钓鱼攻击项目

• 9.1.5. 缺点

• 9.1.5.1. 本地部署应用需要托管和维护

• 9.1.5.2. 钓鱼攻击模板非常初级

• 9.1.5.3. 内置的钓鱼攻击训练模式很初级

>  9.1.5.3.1. 可以使用第三方训练方案

• 9.1.5.4. 有些用户可能会反感漏洞发掘功能，可以选择关闭该功能

9.2. ThreatSim

• 9.2.1. 允许组织机构根据终端用户的行为评估和降低风险

• 9.2.2. 是一个安全意识培训平台，可以帮助培训员工来识别潜在威胁并制定安全决策

• 9.2.3. 早期的产品允许组织机构发送模拟钓鱼攻击邮件给终端用户，并为那些落入陷阱的员工提供即时训练

• 9.2.4. 是以SaaS的形式提供的，并根据终端用户数以订阅形式出售

• 9.2.5. 优点

• 9.2.5.1. 丰富的自定义选项

• 9.2.5.2. 漏洞检测功能

• 9.2.5.3. 高级钓鱼攻击模拟功能

• 9.2.5.4. 容易使用

>  9.2.5.4.1. 肯定是为新手用户设计的，但是它也有健壮性

• 9.2.5.5. 多语言支持

• 9.2.6. 缺点

• 9.2.6.1. 信息过载

>  9.2.6.1.1. 提供的信息对有些用户来说太多了

9.3. PhishMe

• 9.3.1. 一种SaaS解决方案，利用浸入式教学法来对员工进行识别和规避钓鱼攻击的培训

• 9.3.2. 通过使用PhishMe，组织机构的所有员工都被置于真实的钓鱼攻击体验中

• 9.3.3. 高级报告能力可以为每个单独项目分别追踪用户和群体行为，并根据时间统计回应的趋势

• 9.3.4. 利用报告功能，你可以提供证据来说明组织机构内易受攻击的部分和安全行为管理的进展

• 9.3.5. 优点

• 9.3.5.1. 程序化的方法

>  9.3.5.1.1. PhishMe并不提供一次性评估工具，而是帮助组织机构建立可持续的培训项目，并依据其企业文化和商业需求来进行个性化设置

• 9.3.5.2. 真实的情景和内容

>  9.3.5.2.1. 为了紧跟最新的钓鱼攻击趋势并让内容贴近现实，PhishMe一直在更新内容，并会通知组织机构的信息安全人员最新出现的威胁

• 9.3.5.3. 主动报告

>  9.3.5.3.1. PhishMe的专利产品PhishMe Reporter是一种邮件插件，它允许用户以一种标准化的格式主动汇报可疑邮件给安全机构或者应急反应小组

• 9.3.5.4. 标杆分析

>  9.3.5.4.1. 组织机构可以使用系统化的训练，并在匿名情况下与其他PhishMe用户的训练结果进行对比

• 9.3.5.5. 企业级平台

>  9.3.5.5.1. PhishMe提供的SaaS解决方案在专门的安全设备上运行

• 9.3.6. 缺点

• 9.3.6.1. PhishMe拒绝提供其产品的缺点

9.4. Wombat PhishGuru

• 9.4.1. 可以通过发送模拟钓鱼邮件来评估你的员工易受攻击的程度并鼓励他们加强训练

• 9.4.2. 优点

• 9.4.2.1. 自动功能提高了模拟钓鱼攻击的效率，使得外部钓鱼攻击的成功率大幅下降

• 9.4.2.2. PhishGuru的自动注册功能与其安全教育平台相关联，允许你自动为落入陷阱的员工安排接下来的深度训练

• 9.4.2.3. 可以选择一周中的哪几天或一天中的哪段时间向终端用户进行随机的模拟钓鱼攻击

• 9.4.2.4. 钓鱼攻击邮件中内嵌了员工落入陷阱后会收到的教育提示

• 9.4.2.5. 可以自定义智能报告结果的范围

• 9.4.2.6. 每个月都会添加新的钓鱼攻击模板来模拟外部钓鱼攻击

• 9.4.3. 缺点

• 9.4.3.1. 在未经许可的情况下，PhishGuru不能提供含有其他公司的商标的钓鱼攻击模板

9.5. PhishLine

• 9.5.1. 一种企业级的SaaS解决方案，可模拟真实世界的社会工程学和钓鱼攻击，提供在线安全意识训练、基于风险的调查以及详细的报告和指标

• 9.5.2. 优点

• 9.5.2.1. 多重渠道的攻击模拟

>  9.5.2.1.1. 并不限于传统的基于链接的钓鱼攻击模拟>  9.5.2.1.2. 能够让用户对便携式媒体、文字、语音、模拟门户页面、智能附件等钓鱼攻击形式进行测试和衡量

• 9.5.2.2. 报告和度量

>  9.5.2.2.1. 会收集很多可用数据，使得在专业平台上进行历史数据分析变得更加轻松

• 9.5.2.3. 对用户的服务承诺

>  9.5.2.3.1. 是由安全专家开发并提供技术支持的

• 9.5.2.4. 将基于风险的调查整合于真实世界的安全培训

>  9.5.2.4.1. 用户可以使用PhishLine来进行针对性的网络安全意识训练和基于风险的调查，并将从解决方案中得到的关键指标和发现应用于自己的全局安全措施和风险培训项目中

• 9.5.3. 缺点

• 9.5.3.1. 对于刚开始使用这款软件的人来说，界面和定制功能可能看起来比其他工具要复杂

10. 开源应用

10.1. SET

• 10.1.1. 为评估者提供了一种测试其培训和安全意识项目有效性的机制

• 10.1.2. 大卫·肯尼迪创建，是一个试图绕过很多常规安全保护机制以查看技术控制和用户安全意识是否可以阻止攻击的技术工具

• 10.1.3. 是由信息安全机构对自我测试的需求发展而来的

• 10.1.4. 最常见的漏洞发掘是通过社会工程学和钓鱼攻击进行的，SET使用这些技术来识别培训和安全意识训练中的漏洞

• 10.1.5. 给了组织机构编写可信的钓鱼邮件的能力，使终端用户无从知晓将要发动的潜在的钓鱼攻击

• 10.1.6. 将最新的钓鱼攻击技术与快速建立模拟恶意网站的能力相结合

• 10.1.7. 使得组织机构可以轻松地进行安全测试，尤其是针对那些处于最险要位置的终端用户

• 10.1.8. 优点

• 10.1.8.1. 能够测试用户对外界常见的特定攻击的反应效率

• 10.1.8.2. 为渗透测试者提供便捷高效的方式来编写真实可信的钓鱼邮件并借此发动攻击

• 10.1.8.3. 追踪点击钓鱼邮件的用户，并统计落入钓鱼攻击陷阱的人员比例

• 10.1.8.4. 呈现如何避开一些当今顶尖的防御技术的真实情景；

• 10.1.8.5. 能够估算组织机构抵御攻击的能力如何

• 10.1.9. 缺点

• 10.1.9.1. 一些公司使用开源软件有困难

• 10.1.9.2. 无法设定邮件发送时间

• 10.1.9.3. 没有图形用户界面；SET是通过命令行运行的

• 10.1.9.4. SET更像是鱼叉式钓鱼攻击平台，发动攻击前需要对目标进行调查

10.2. Phishing Frenzy

• 10.2.1. 一款由Ruby on Rails构建的基于Linux的开源应用，也是渗透测试者用于管理钓鱼邮件攻击的工具

• 10.2.2. 优点

• 10.2.2.1. 真正的弹性框架

• 10.2.2.2. 可以和Phishing Frenzy的其他用户共享模板和情景

• 10.2.2.3. 功能丰富

• 10.2.2.4. 开源软件可以随意添加自己想要的功能

• 10.2.3. 缺点

• 10.2.3.1. 只能在Linux上运行

• 10.2.3.2. 创建模板的过程复杂而低效

• 10.2.3.3. 有一定的学习曲线

• 10.2.3.4. 无法定时发送邮件

11. 深入钓鱼攻击

11.1. 钓鱼攻击者的动作更快、手段更高明、攻击方式更富于变化了

• 11.1.1. 唯一的办法是不断学习，并在一切网络活动中保持安全意识

11.2. 钓鱼攻击并非一种娱乐消遣，它是坏人实实在在的生意

11.3. 高级钓鱼攻击意味着你对收到的邮件不得不多加防范

• 11.3.1. 如果在家收到不明邮件，请不要打开，并将它删除

• 11.3.2. 如果在公司收到，请报告给合适的内部机构来处理

• 11.3.3. 如果邮件来自认识的人，在点击任何附件或者链接之前仔细思考一下

• 11.3.4. 永远不要通过邮件提供认证信息或者个人信息

• 11.3.4.1. 多花五秒的时间，使用已知的安全的方式来提供个人信息，可以保障个人信息的安全

11.4. 紧跟流行的钓鱼攻击方式

11.5. 把钓鱼攻击和普通社会工程学教育纳入你的安全意识培训中

• 11.5.1. 你的工作一开始也许不能覆盖所有的情况，但通过这些方法来提醒你的员工总比希望问题自己消失要更好

11.6. 为组织机构设定合理的目标

• 11.6.1. 目标设定高度取决于你的企业文化和领导力

• 11.6.2. 钓鱼攻击教育并非一劳永逸

• 11.6.3. 除非钓鱼攻击威胁不复存在，否则有效的钓鱼攻击培训项目不会终止

• 11.6.4. 合理的目标是有效开展项目的基础

11.7. 规划培训项目

• 11.7.1. 除了每月、每季度或每年随机发送一些钓鱼邮件，一个持续的钓鱼攻击培训项目还有很多要做的事情

• 11.7.2. 前期准备工作越充分，培训项目进展就会越顺利

11.8. 适当回应

• 11.8.1. 致力于通过创建安全文化和对员工进行培训来排除安全隐患，而不是排除你的员工

• 11.8.2. 好的培训能让雇主和雇员都从中受益匪浅

• 11.8.3. 通过塑造员工对钓鱼攻击的防范能力和警惕性，你所培养的好习惯将会带入到他们的个人生活中去

• 11.8.4. 好的安全培训项目唯一的缺点是会花费很多时间、精力和资源

• 11.8.5. 开除的代价是需要找人接替他们的位置，然后又需要对新人进行全套的安全培训

• 11.8.6. 帮助员工就是帮助你自己

• 11.8.6.1. 在你参与其中的同时，确保公司管理层人员和C级管理者都参与到了项目之中