出品 | 51CTO技術棧（微信號：blog51cto）

你是否收到過網絡釣魚郵件？你有沒有想過這可能是你的公司故意發送的？

因為雇主有時會模擬網絡釣魚信息，來培訓員工警惕這種網絡威脅。但最近，谷歌的一位大佬公開發聲，反對這種廣泛采用的網絡釣魚測試方法。

Matt Linton，作為谷歌安全響應及事件管理部的領頭人，呼吁對這種做法進行全面改革。在他看來，現有的網絡釣魚測試方式不僅未能有效減少實際網絡釣魚攻擊的案例，還導致員工對IT安全團隊產生不必要的反感和疏遠。

一、適得其反的釣魚測試

Linton在X和谷歌安全博客上分享觀點時強調，頻繁的“欺騙性”測試非但沒有增強員工抵御網絡釣魚的能力，反而可能引起逆反心理，降低了整體安全文化的建設效果。

據悉，根據要求，公司必須向員工發送虛假的網絡釣魚郵件，以滿足美國政府的安全合規要求。在這些測試中，谷歌會給員工發送一封網絡釣魚郵件。如果員工點擊了郵件中的鏈接，就會被告知測試失敗，并通常需要參加某種形式的培訓課程。

然而，Linton認為，模擬網絡釣魚測試可能導致有害的副作用，還可能會削弱公司的安全。

“沒有證據表明這些測試能減少網絡釣魚攻擊事件，”Linton說道，并指出盡管進行了這樣的培訓，網絡釣魚攻擊仍在幫助黑客在網絡內部獲得立足點。他還引用了2021年的一項研究，該研究持續了15個月，結論是這些網絡釣魚測試并不能“讓員工對網絡釣魚更加免疫”。

二、火災演練的啟示

Linton主張采用類似火災逃生演練的模式來提升網絡安全意識和響應能力。

現在的網絡釣魚測試更像早期的火災演習，那時候的演習更像是突然降臨在建筑物居民身上的火災疏散演練——毫無預警地進行，之后個人因應對失敗而受到指責。但是隨著時間的推移，火災演練逐漸發生了諸多改變。

隨著建筑的安全標準不斷提升，建筑物配備了更多的安全設施。更寬的逃生門、推桿式緊急出口和自動噴水滅火系統等創新應用不斷提高建筑物的防火安全性。

顯而易見的是，這些改進都不是為了提升個人在演習中的反應能力，但它們共同作用，增加了生存率。“火災逃生”從一種針對個人應急反應的懲罰性測試轉變為了一場有組織、有預告的集體演練活動，從而顯著提高了人員的安全疏散效率。

Linton認為，網絡安全培訓也應當借鑒這一轉變，從關注個體“失敗”的懲罰轉向構建更加堅固和智能的防御體系，同時提高全體員工對安全威脅的整體認識和協同應對能力。

三、只要人類是會犯錯的社交生物，人性的弱點就會被利用

盡管防網絡釣魚控制措施已被內置到安全產品和電子郵件客戶端中，但研究表明網絡釣魚攻擊仍在增加。Zscaler最新的年度網絡釣魚報告發現，過去12個月網絡釣魚攻擊增加了58%，而網絡犯罪分子更廣泛地采用人工智能推動了這一增長。

聯邦風險與授權管理計劃（FedRAMP）是推廣網絡安全標準的美國機構之一。谷歌保持與FedRAMP的合規性，部分是通過遵循其指導進行網絡釣魚測試來實現，該指導仍然聲稱用戶“是最后一道防線，應該接受測試”。

Linton認為，為員工提供網絡釣魚培訓是有價值的，但實現100%的成功率“可能是一個不可能完成的任務”。

他在博客中寫道：“網絡釣魚和社會工程作為攻擊手段不會消失。只要人類是可犯錯的社交生物，攻擊者就會有辦法操縱人性因素?！?/p>

“對于這兩種風險，更有效的應對方法是在長期內專注于構建默認安全系統，以及投資于工程防御，如不可釣魚憑證（如通行密鑰）和在生產系統的敏感安全上下文中實施多方審批。正是由于對架構防御等領域的投資，我們被告知，谷歌近十年來不必嚴重擔心密碼網絡釣魚問題?！?/p>

四、現有測試的問題

Linton指出，反對當前網絡釣魚測試的主要論點是“沒有證據表明這些測試能減少成功網絡釣魚活動的發生次數”。

一些如FedRAMP規定的測試要求組織減少或消除現有控制措施，以最大化測試失敗的感知影響。這引發了一系列問題，比如給測試對象對真實風險的錯誤感知，以及演習期間實施的允許列表在之后未被移除，從而使它們暴露于攻擊者的濫用之下。

Linton還提到，這給事件響應人員和負責篩選發送給威脅檢測團隊報告的人員帶來了更大的負擔，同時員工感覺受到了不必要的欺騙。

當然，還有其他人支持Linton的觀點。英國國家網絡安全中心（NCSC）的指導與這位谷歌高管提出的許多觀點一致，認為這些測試侵蝕了員工與安全團隊之間的信任，并指出用戶在網絡釣魚測試中點擊鏈接有許多原因。

某些特定個體的性格特征可能會促使他們點擊鏈接，而情境變量，包括在測試發出時正管理的特別繁重的工作負荷，可能不利地扭曲測試結果。

英國國家網絡安全中心表示：“員工應轉而創造積極的網絡安全文化，讓員工在報告網絡釣魚事件時感到舒適，從這個意義上說，他們可以成為寶貴的早期預警系統?！?/p>

五、可能的替代方案

Linton關于如何改進這些測試的想法回歸到了火災演練演變至今的理念。

這些測試不應用欺騙的方式進行，而應明確告知其為測試，就像公寓和辦公樓在測試前幾周于每個角落張貼海報一樣顯眼。它們應指向測試，并告知接收者這樣做的好處。

與辦公室工作人員多年來習慣的測試相比，Linton提出的可能的替代方案大相徑庭。但谷歌的這一聲音的確反映了對傳統網絡安全教育手段的深刻反思，倡導一個更注重環境優化、文化建設和正面激勵的新型安全培訓模式。

此外，英國國家網絡安全中心表示，應采取多層次的方法來緩解工作場所的網絡釣魚攻擊：

1. 加大攻擊者接觸用戶的難度：通過技術手段過濾掉大部分明顯的垃圾郵件和網絡釣魚郵件。

2.幫助用戶識別并報告疑似網絡釣魚郵件：提供清晰的指南和簡單的報告流程，鼓勵員工有所懷疑時及時報告。

3. 保護組織免受“成功”網絡釣魚郵件的影響：即使郵件被點擊，也要確保多因素認證、權限最小化等策略能限制損害。

4. 快速響應事件：一旦發現網絡釣魚攻擊，立即啟動應急響應程序，隔離受影響系統，防止進一步傳播。

Linton補充說，教導員工遇到網絡攻擊時，及時通知安全團隊，對全面安全至關重要。無需營造對立氛圍，通過揭示員工“失敗”并無助益。應摒棄無效的傳統防護，借鑒消防等行業經驗，看看它們面對相似挑戰，如何找到均衡對策。

參考鏈接：https://www.theregister.com/2024/05/23/google_phishing_tests/