全球独立安全和隐私合规评估机构Schellman的安全倡导者和新兴网络趋势分析师Jacob Ansari表示,企业在日常工作流程中需要注意不要让内部通信看起来像是网络钓鱼。例如,与其在电子邮件中发送链接供员工点击,不如指示登录公司内部网。公司领导层应停止通过电子邮件附件发送Office文档,而是将文档放在适当的文件存储库中并将其传达给员工。链接和附件是网络钓鱼攻击的主要工具,最大限度地减少其合法使用增加暴露网络钓鱼攻击的机会。 3、培训和测试员工发现网络钓鱼电子邮件的能力 许多(如果不是大多数)员工自以为能够发现网络钓鱼电子邮件,他们可能过于自信了。CyZen的高级网络安全顾问Michael Schenck说:我们都听说过如何鉴别钓鱼邮件的基本特征,例如不按姓名称呼您或在电子邮件正文中出现的语法错误。不幸的是,越来越多的黑客开始通过自然语言AI机器人来改进邮件内容,使其更加难以识破。 企业需要持续对员工培训和测试,让员工安全意识保持在最前沿,最好聘请第三方测试公司定制网络钓鱼攻击。HelpSystems的Digital Defense产品管理副总裁Mieng Lim建议:“定制攻击通常会使用各种工具,并且可以以‘低速且缓慢’的方式进行,尽可能隐蔽,这样才能测试出员工抵御网络钓鱼的真正能力。” 培训还应针对特定的受众量身定制。Expel安全运营副总裁Jonathan Hencinski说:“安全团队可以针对最有可能面对的网络钓鱼活动对特定业务部门进行培训。”“例如,开发人员可能会看到以云计算厂商为主题的活动,而招聘人员可能会看到以简历为主题的网络钓鱼诱饵。” 4、鼓励用户举报钓鱼邮件 企业还可以考虑设置一个钓鱼邮件举报的奖励系统,游戏化可以让每个员工都保持警觉,同时让事情变得有趣。它还可以保持对话的进行,对用户和IT部门来说是个双赢的选择。 Carvalho建议为潜在的网络钓鱼创建一个内部报告系统。如果IT安全团队核实电子邮件是网络钓鱼邮件,就将发现者放入一个奖池中,每月抽奖1000美元。“企业很快就会拥有一支积极主动的员工安保队伍,”他说。“通过将网络钓鱼防御机制从恐惧驱动转变为赏金驱动,企业每年支出1.2万美元的成本就能降低数百万美元的风险——这只是企业网络风险缓解预算的一小部分,性价比非常高。” 就动机而言,胡萝卜比大棒更有效。“永远不要排斥或惩罚成为猎物的用户,”Nuspire网络威胁分析师Josh Smith强调:“大棒只会让网络钓鱼受害者受到二次伤害。” Netacea首席安全研究员Cyril Noel-Tagoe表示,如果您希望人们举报电子邮件,那么您应该让事情变得简单。“繁琐的报告流程(例如,将可疑电子邮件的副本附加到新电子邮件并将其发送给IT)——应该被用户友好的替代方案代替,例如集成到电子邮件客户端中的报告按钮,”他说。“这将有助于促进一种规范地报告可疑电子邮件的文化。” 5、监控暗网 “监控暗网应该是任何企业在网络钓鱼电子邮件到达员工收件箱之前的核心防御策略,因为许多网络钓鱼操作都是从在暗网市场或论坛上泄露或出售的公司凭据开始的,”Searchlight Security首席技术官Gareth博士指出:“持续监控暗网中的公司名称和公司电子邮件地址可以在犯罪分子侦察阶段及时发现企业是否即将成为网络钓鱼活动的目标。” 最难防范的网络钓鱼是那些从被入侵的合法企业电子邮件地址发出的邮件,因此企业需要通过暗网监控及时发现邮件账户密码是否已经泄露,并要求受影响的个人立即更新密码。 6、了解哪些类型的信息会让你成为目标 当然,每个人都应该意识到潜在的网络钓鱼危险,但新员工尤其需要保持警惕,Schellman的Ansari说:“网络钓鱼者在LinkedIn或类似的职业社交网站上寻找新入职人员,然后通过邮件或短信来发动针对性攻击,因为新人是最脆弱的。安全团队需要注意警告新员工注意防范这些潜在的攻击。” 另一个需要时刻保持警惕的群体是高级管理层。“最近出现了针对高价值个人的捕鲸攻击,”安全测试公司Lumu的创始人兼首席执行官Ricardo Villadiego说:“企业需要为高级领导者制定专门的数据隐私政策和预案。企业应鼓励高管和高级员工在社交媒体上减少隐私暴露,并确保尽可能从公共档案中清除或减少个人信息。” 7、使用正确的工具和技术来防止网络钓鱼 完全杜绝员工收到网络钓鱼电子邮件是不可能完成的任务,托管IT服务提供商Intrust IT的业务增长主管Dave Hatter认为,企业至少可以减少钓鱼邮件数量:使用一个好的电子邮件预过滤解决方案,该解决方案能够在在垃圾邮件到达邮件服务器之前进行拦截。对于使用Microsoft 365的用户,建议使用Microsoft 365高级威胁防护来提供额外的过滤。