构建信息安全感知程序（二）（1）

原文：annas-archive.org/md5/cb5e79ad1f7a31eaf76b82b01d6af659

译者：飞龙

协议：CC BY-NC-SA 4.0

第十章：培训周期

瓦莱丽·托马斯 ^(Securicon, Lorton, VA, USA)

摘要

许多因素影响组织的培训周期，例如预算、管理支持、监管合规性和材料数量。如果您的组织必须执行培训活动以满足监管合规性，那么利用这一点提供有意义的培训材料，而不仅仅是满足最低要求。确定或调整组织的培训周期不仅取决于安全部门，还取决于管理支持。在规划培训时与高级管理人员密切合作；他们将在预算、培训频率和方法方面提供指导。有效的信息安全程序得到了高级管理的支持，在长期来看，最好是提供一个得到高级管理支持的精简程序，然后将所有时间都花在需要支持的人身上。

关键词

新员工培训

嵌入式培训

持续培训

半年一次

合规性

培训周期

为了员工能够保持知识，他们需要进行多次培训。真正的教育不是一劳永逸的过程。培训周期应包括短期和长期的培训实例。在本章中，我们将讨论创建自己培训周期的各种选项。在审查选项时，请记住您不需要实施所有选项，只需根据您的组织情况选择合适的选项。

新员工

我们都听过这句话“你永远不会有第二次机会来留下第一印象。”这也适用于意识培训。新员工培训是员工第一次了解组织内部运作的初步。如果安全培训杂乱无章或不完整，那就会传达出安全对组织或其员工不是优先事项的印象。至少培训应该

■ 描述安全培训的目的

■ 突出显示安全策略的关键领域

■ 详细介绍对组织的最大威胁

■ 突出显示物理安全威胁

■ 教用户如何识别和报告可疑的电子邮件或活动

新员工应该在培训结束时理解上述列出的项目，并获得所涵盖信息和安全政策的副本（或位置）以供将来参考。此外，培训应在授予对组织资产的访问权限之前完成。

每季度一次

每位员工都需要进行定期的刷新课程；这有时被称为人员更新 [1]。保持计算机安全性的最新需要持续的警惕性；人员需要相同级别的维护或人员更新。虽然新员工培训是必不可少的，但为了员工长期保持概念，他们需要定期的复习。

为什么是季度？

许多行业标准要求每季度进行安全意识培训。如果您的组织需要遵守这些规定，请利用它。每季度培训是一个绝佳的机会，让员工了解最新的威胁和趋势。组织是否受到钓鱼邮件的攻击？如果是的话，在培训中包含这封邮件，并突出可疑的部分。不要忘记包括报告可疑邮件的程序。

这也是一个宣布政策变更的理想途径，详细说明已添加或删除的内容。包括一两篇关于当前攻击的文章将为所涵盖的材料提供真实世界的应用。

半年一次

如果您的管理层不支持每季度培训，应将半年一次培训视为最低要求的时间框架。期望员工在被教授一次后记住某事将使您的员工毫无准备和沮丧。如果培训只能每年进行两次，请确保内容集中在对您组织安全至关重要的主题上。虽然每个组织的优先事项不同，但一些例子包括

■ 笔记本电脑安全以及如何报告丢失/被盗的笔记本电脑

■ 辨识钓鱼尝试以及如何报告它们

■ 妥善处理敏感信息

■ 防止尾随

您会注意到，这些信息似乎与新员工培训类似。半年一次培训的目的是强化新员工培训中描述的基本原则，而不详细说明每项政策。

持续的

在第九章中，我们讨论了几种非正式培训的变体。这些低成本的计划可以强化全年其他必需培训活动中教授的概念。实施持续培训可以让员工时刻关注安全。一些例子包括

■ 公司笔记本电脑遗忘在公共场所的海报，以及报告安全事件的电话号码

■ 家庭使用在线安全提示的电子邮件通讯

■ 为员工工作站实施登录横幅，每天提供一条安全提示[2]

■ 社交媒体安全的午餐学习会

失败点

失败点，也称为嵌入式培训，是指在员工未能通过模拟钓鱼攻击时进行的培训。关于行业中对失败点培训的有效性存在不同意见。一些行业成员声称这种培训方法是无效的[3]，因为员工没有保留所呈现的信息。其他行业成员声称，如果正确实施，这种培训方法非常有效[4]。如果您的管理层不支持每季度为所有人员进行培训，失败点培训可以教育最需要的员工。

正确实施失败点培训的关键是测试频率。在模拟攻击失败的员工应在失败后数周内再次进行测试。这个过程通过要求他们应用学到的概念来强化所呈现的材料。然而，模拟钓鱼攻击不应该与失败的攻击看起来完全一样。在第十一章中，我们将讨论创建自己的模拟钓鱼攻击。

有针对性的培训

每年培训周期中应包括按部门进行的培训。为了达到最大的效果，这种培训应该与一般员工培训分开进行。将材料单独呈现使员工能够长期吸收和保留信息。理想情况下，这种有针对性的培训应该每季度进行一次，重点放在每个部门独特的三个关键信息或威胁上。强调每个组织所面临的独特威胁。应收账款和营销部门面临来自宏观病毒和恶意 PDF 文件的高风险，因为打开来自组织外部收到的文件是一种常见活动。帮助台是攻击者获取有关计算机账户、公司政策、操作系统详细信息和组织结构的主要目标，通过对帮助台进行虚假电话。创建每个部门的顶级威胁列表，然后创建地址不超过三个具体威胁的培训片段。

样本培训周期

如果你的意识计划是新的，并且没有当前的周期，最好计划一个强大的培训周期。获得管理层批准实施新的培训周期可能比获得修改现有培训周期的批准更容易。新员工培训不重复，因此不包括在下面的示例中。

最低

这个周期的设计包括了建议的最低培训间隔。将有针对性的培训纳入每年两次更是至关重要，因为对于那些需要与公众打交道的职位来说，这样做可以更加强调最佳实践，而不仅仅是每年两次：

■ 所有员工每年两次的培训会议

■ 通过新闻简报和海报的持续培训

■ 针对公众部门每年两次

适度

这个周期是为那些能够实施超过最低培训周期的组织而设计的，并纳入了额外的元素：

■ 所有员工每年两次的培训会议

■ 通过视频广告、午餐学习、新闻简报和海报进行持续培训

■ 针对公众部门每年两次

■ 所有员工每年两次的失败点培训

强大

这个培训周期包括多种元素，以使员工大约每六十天接受一次培训：

■ 所有员工每季度培训一次

■ 通过视频广告、午餐学习、比赛、新闻简报和海报进行持续培训

■ 定期为面向公众部门的员工进行半年一次的针对性培训

■ 每季度为所有员工进行故障点培训

调整您的培训周期

如果您已经建立了现有的培训周期，并且指标表明培训未达到目标，那么很可能需要调整培训周期。增加持续培训是一种低成本的选择。将新的持续培训与其他培训类型相结合，将获得更高的投资回报率。使用指标确定意识水平低下的领域，并调整培训周期以增加这些领域的培训。例如，如果网络钓鱼检测结果不佳，则考虑实施故障点培训，为未通过网络钓鱼评估的员工提供即时培训。程序指标在第十三章中进行了广泛讨论。

注

[1] 用户教育是否有效？www.eset.com/us/resources/white-papers/People_Patching.pdf [于 2014 年 2 月 16 日访问]。

[2] 开展持续的医疗数据安全培训 healthitsecurity.com/2013/08/05/developing-continual-healthcare-data-security-training/ [于 2014 年 2 月 16 日访问]。

[3] 为什么培训无法减轻网络钓鱼的影响 www.govinfosecurity.com/interviews/training-doesnt-mitigate-phishing-i-2148? [于 2014 年 2 月 17 日访问]。

[4] 惊人的事实：故障点网络钓鱼培训无效 blog.knowbe4.com/bid/371048/SHOCKER-Point-Of-Failure-Phishing-Training-Does-Not-Work [于 2014 年 2 月 17 日访问]。

第十一章：创建模拟钓鱼攻击

瓦莱丽·托马斯（美国弗吉尼亚州洛顿市 Securicon）

摘要

执行模拟钓鱼评估可能是一个令人畏惧的过程。本章详细介绍了逐步进行评估的过程，以解开该过程的神秘面纱。讨论了各种工具和技术，使读者能够为其组织选择最佳的工具和方法。尽管工具和技术是该过程的重要组成部分，但还必须协调其他元素才能执行成功的评估。本章还讨论了模拟钓鱼评估的规划和协调要素。

关键词

钓鱼攻击

模拟钓鱼评估

攻击

协调

报告

模拟钓鱼攻击

模拟钓鱼攻击由于多种原因在组织中日益受到欢迎。当正确实施时，模拟钓鱼攻击可以用作培训工具，测试对攻击的抵抗力，并向管理层提供指标。尽管模拟钓鱼攻击很有用，但如果你之前没有创建过，可能会有点吓人。在本章中，我们将逐步介绍这个过程，并讨论一些有助于这一过程的工具。开始进行模拟钓鱼活动可能会让人感到不知所措。请记住，你不是一次测试你组织中的所有人。这些活动或评估可以轻松地分成小组。

理解人的因素

钓鱼电子邮件利用各种人类情绪来达到期望的行动[1]。通常，钓鱼电子邮件制造紧迫感，声称如果不立即采取行动，收件人的账户将被禁用。另一种常见的攻击是电子贺卡电子邮件。这种攻击表示有人向用户发送了一张电子贺卡，他们必须点击链接来检索它。诱使员工成为攻击目标的其他策略包括使用他们的名字或发送一封看起来是来自同事的电子邮件。

方法论

如果你希望将模拟钓鱼演习纳入你的意识计划中，这是一个高层次的方法论[2]：

■ 建立基准，通过测试所有员工

■ 对所有员工进行培训（使用您选择的技术）

■ 继续测试员工

■ 使用嵌入式或持续的培训向员工进行教育

■ 向管理层报告结果

■ 根据需要进行调整

如果你的组织规模较小，可能需要数周，如果你的组织有数百到数千名员工，则可能需要数月来完成这一系列事件。

开源工具、商业工具或供应商执行？

在选择评估工具时有许多因素需要考虑，包括

■ 成本

■ 员工人数

■ 内置培训选项

■ 使用频率

■ 技术要求

■ 使用便利性

■ 长期度量报告

尽管所有这些因素都很重要，但你组织中的员工人数和预算分配通常是最重要的决定因素。

开源工具

开源软件/工具是“其源代码可用并获得了版权持有者授权的许可证，使得任何人都可以研究、修改和分发该软件以及任何目的。”简而言之，它几乎是免费的。因此，通常不会保证软件及其对环境的影响。此外，支持通常限于软件/开发者/用户论坛和有限的电子邮件回复。尽管单凭阅读文本可能会令人感到不安，但大多数渗透测试人员、漏洞分析人员和其他网络社区的技术人员使用一个或多个开源工具来完成工作。这些技术人员需要的大多数功能都不是由盈利公司制作的，因此依赖于开源社区。

开源工具中最流行的钓鱼活动工具是由 TrustedSec 的 Dave Kennedy 开发的 Social-Engineer Toolkit (SET)。它被认为是社会工程的“事实标准”(Figure 11.1)。SET 可以安装在网络内或外的机器上，具体取决于您的社会工程场景。

图 11.1 Social-Engineer Toolkit 的主菜单。

优点

除了免费之外，SET 还为钓鱼活动提供了各种资源，包括

■ 克隆现有网站以用作落地页（员工将从钓鱼消息进入/访问的页面）

■ 捕获输入到落地页的密码和其他信息

■ 提示用户从落地页运行程序

■ 配置以利用您组织的电子邮件服务器以便于传递

■ 创建要包含在电子邮件中的附件的能力

■ 与 Metasploit Framework 集成以获取高级测试选项

更新定期发布，广泛的文档可帮助您入门。总的来说，对于技术娴熟的用户来说，SET 是一个非常灵活的工具，可用于开发定制的钓鱼活动。

缺点

尽管 SET 是一个强大的工具，但由于以下几个原因，它可能不适用于所有环境：

■ 必须在 Linux 机器上安装

■ 基于命令行

■ 需要基本的 Apache web 服务器和 Metasploit Framework 知识

■ 工具本身不存储长期指标。必须从报告中记录并保存在其他地方

■ 电子邮件组不存储在工具中，必须单独维护

■ 没有专门的支持中心提供帮助

SET 为用户提供了许多基本和高级的钓鱼活动选项。不熟悉 Linux、Apache 和 Metasploit Framework 的用户可能会发现该工具难以使用。长期用户需要分别跟踪指标、电子邮件组和活动历史。有关 SET 的更多信息，请访问 TrustedSec 的网站www.trustedsec.com。

商业工具

如果您更喜欢基于图形的工具，商业产品可能更适合您。这些产品主要是基于网络的，通过供应商的基础架构进行托管。换句话说，您不需要任何硬件或 Linux 知识即可开始使用。钓鱼活动工具市场正在迅速扩展。一些最受欢迎的供应商包括 KnowBe4、PhishingBox 和 PhishMe。

优点

■ 预配置的电子邮件和着陆页模板。

■ 使用图形工具而不是修改页面源代码来更改着陆页外观的能力。

■ 大多数产品包含为未通过评估的员工提供的内置培训。

■ 产品基于网络，无需安装软件。

■ 许多产品允许您利用您组织的邮件服务器。

■ 提供用户指南和其他文档。

■ 供应商提供问题支持。

缺点

■ 订阅费用

■ 有些产品需要长期合同

■ 通常每年需要最低数量的电子邮件

商业工具还使得同时管理多个评估变得容易。图 11.2 是 PhishingBox 的仪表板。仪表板突出显示正在进行、已计划或等待授权的评估。选择正在进行的评估将为您提供有关已打开多少封电子邮件等最新信息。

图 11.2 PhishingBox 仪表板界面。

使用供应商工具的最大障碍是导入目标电子邮件地址。大多数工具需要电子邮件地址、姓名和部门的特定格式。如果选择使用供应商的电子邮件服务器执行测试，则可能需要与您的电子邮件团队进一步协调，以确保白名单上的供应商服务器以确保邮件传递。

选择商业工具

为了选择最适合您组织的工具，您应该对以下问题（或估计值）有答案：

■ 您的年度预算是多少？

■ 您希望发送多少封电子邮件，以及多频繁？

■ 是否希望为未通过评估的员工提供即时培训材料？

■ 您是否希望在电子邮件中包含附件？

许多供应商提供免费试用许可证和现场演示。考虑抽出时间参加现场演示。这不仅可以让你了解工具的概况，还是你问有关特定功能和功能的问题的机会。在选择之前评估几种不同的工具是很重要的。一些评估标准需要牢记的是

■ 创建活动的简易性

■ 电子邮件和着陆页模板的质量和数量

■ 修改模板的简便性

■ 自动将名字和部门插入电子邮件的能力

■ 创建您自己的电子邮件和着陆页的简易性

■ 报告生成和导出选项

■ 长期指标跟踪

■ 电子邮件组管理

■ 安排电子邮件发送的能力

■ 可用的用户指南和文档

由供应商执行

制作钓鱼活动并不适合所有人。如果您的预算支持更昂贵的解决方案，则可以雇佣供应商执行评估。几乎所有宣传钓鱼活动工具的供应商都提供专业服务的钓鱼评估。通常只进行一两次钓鱼评估的组织通常选择此方法。

优点

■ 易于实施。

■ 不需要购买或订阅软件。

■ 许多供应商不需要长期合同。

缺点

■ 最昂贵的解决方案。

■ 长期的度量追踪可能不可用。

■ 取决于供应商的可用性。

尽管供应商将在评估的大部分方面承担大部分工作，但作为客户，您必须提供一些项目，包括目标电子邮件地址列表和电子邮件发送时间表。最重要的是，您的组织必须内部协调，为评估做好准备，以避免安全团队和组织中其他关键职位之间的混淆。

准备工作

在这个过程中，运营协调是至关重要的。组织中的关键人员必须在执行钓鱼演习之前得到通知，以防将钓鱼演习误认为是真实攻击。您的首席信息安全官（CISO）必须了解所有计划和活动中的演习。公司的事件响应团队（IRT）的经理/处理程序在执行演习之前应该被通知。经理可以选择通知他们的团队，以防止花费时间和资源进行演习。经理也可以选择不通知他们的团队，以评估他们对攻击的响应。

向公司网络的黑客/渗透报告是非常敏感的事情。大多数人不想承认发生了入侵，并试图保持沉默。尽管这可能会“挽回面子”给公司，但它并不帮助所有公司，因为攻击数据/向量可能会传递给其他行业以防止其他入侵。除非另有明确要求的法律、法规或政策，否则最终的权限通常由公司的首席执行官和/或董事会成员，与公司的法律团队和公共关系办公室合作给出。如果要向外部机构报告事件，请确保高级管理人员参与，并遵守适用的法律/政策。

通知帮助台经理也是一个好的做法，因为他们可能会收到来自目标员工的电话。尽管帮助台经理通知员工进行潜在演习不太常见，但他们可以确保处理可疑电子邮件的程序对员工来说是最新的参考资料。对于帮助台经理报告在演习期间收到的电话和电子邮件数量也很重要。

创建一个带有相关方信息的联系人列表。确保每个主要联系人也有备用联系人。通知可能会因您选择的钓鱼邮件类型而变化。例如，如果您创建了一封看似来自人力资源部的电子邮件，则在进行钓鱼演练之前应该通知人力资源经理。此管理级别通知可以防止员工开始联系原始部门时出现混乱和恐慌。

确定攻击目标

模拟攻击可以简单也可以复杂，取决于你的意愿。它们可以设计用来衡量许多结果，包括

■ 仅点击，

■ 点击并在登陆页面输入信息，

■ 点击并在登陆页面输入密码，

■ 打开附件。

如果您的组织尚未进行模拟攻击，则仅点击目标是一个很好的起点。

选择收件人

首先选择要评估的员工将有助于确定您想要执行的攻击类型。员工可以分成组以便管理。如果您的组织跨越多个时区，请确保将员工分组在相似的时区内。非工作时间收到的电子邮件可能被视为可疑。对于非技术性员工，一般或公司特定类型的攻击最有可能导致点击。对于更有技术性的员工，针对性的钓鱼攻击更有可能导致点击。

选择钓鱼攻击类型

正如前面讨论的那样，钓鱼邮件利用人类情感欺骗受害者。这基本上意味着在选择电子邮件主题时可以做到百花齐放。

一般

一般的钓鱼攻击可以用来针对组织中的任何人。这些类型的电子邮件是您的前几封电子邮件的一个很好的起点。一些主题如下：

■ 您的包裹已发货！点击此处跟踪交付进度。

■ 任何寻求捐款的慈善机构。

■ 有人给您发送了一张电子卡！点击此处检索。

这些示例中的许多示例可以在全年利用，但最适合用于使用卡片的假期，例如情人节和十一月至十二月。许多购买的解决方案都有内置的通用消息，以帮助您入门。

公司特定

当进行组织网络的渗透测试时，道德黑客通常使用这些类型的攻击。原因很简单，这些攻击易于构建，并且大部分时间都有效。它们不仅在渗透测试中有效，在现实生活中也有效。攻击者可以在最短的时间内定位公司的网站或关联合作伙伴，例如

■ 计时软件供应商或网站，

■ 基于网页的电子邮件网站，

■ 基于网页的 VPN 网站，

■ 健康福利提供商。

这些网站的信息可以被用来模仿合法的电子邮件。此外，这些网站本身也可以被复制，以诱使员工在点击钓鱼邮件中的链接后输入信息，比如他们的用户名和密码。

针对性钓鱼

据软件公司趋势科技称，91% 的网络攻击都始于针对单个人或组织内的少数员工的钓鱼邮件[3]。钓鱼邮件的目标是单个人或组织内的小群体。攻击者会从多个来源搜索信息，以推断员工的工作职能以及他们与哪些公司、个人或团体有关联，从而制造一个可信的攻击。一封钓鱼邮件

■ 以收件人姓名称呼，

■ 看起来是由收件人熟悉的人或供应商发送的，

■ 包含带有商标和联系信息的适当签名块，

■ 通常包含一个被感染的附件，

■ 可以包含一个类似发送者的网站链接（abcbank.com 而不是 abc-bank.com）

虽然其他钓鱼邮件是大量发送的，但针对少数员工的钓鱼邮件通常少于五封。然而，额外的研究时间通常会产生回报，因为钓鱼邮件的成功率最高。

撰写电子邮件

一旦您选择了目标群体和电子邮件类型，就该开始创建电子邮件内容了。以下是创建逼真钓鱼邮件的一些关键要素：

■ 使用引人注目的主题。

■ 在消息正文中营造紧急感，以激励收件人采取行动。

■ 包含商标和其他适用的图片。

■ 确保发件人的姓名和电子邮件地址与您的电子邮件主题相匹配。

■ 如果您的电子邮件看起来来自某个人，请包含完整的签名块。

■ 对于看起来是自动生成的电子邮件，在电子邮件结尾包含隐私声明。

如果您使用供应商工具，可以在图形编辑器中编辑电子邮件外观。图 11.3 是供应商 KnowBe4 的撰写工具的屏幕截图。此特定模板包含一个登陆页面（链接被点击后浏览器会跳转到该页面），显示在右侧。如果您使用 SET，电子邮件内容需要是带有适当 HTML 标签格式的纯文本。

图 11.3 KnowBe4 的电子邮件撰写界面。

格式化链接

除非您在发送附件的攻击，否则您的电子邮件将包含一个供员工点击的链接。链接的外观或统一资源定位符（URL）在评估中扮演着重要角色。如果 URL 看起来可疑或拼写错误，员工就不太可能点击。

图形编辑工具允许您轻松修改 URL 的显示文本，使其显示为abc.com，但一旦点击就会转到cba.com。使用此技术将教育您的员工如何修改 URL 以及如何在点击之前验证链接的真实目的地。

构建信息安全感知程序（二）（2）https://developer.aliyun.com/article/1507687