釣魚測試(Phishing Tests) VS. 消防演練(Fire Drills) — 有趣的觀點微分析
最近有一篇反對傳統釣魚演練的文章在資安圈轉傳,Google 資安人員呼籲大家不要使用傳統的 Phishing Tests,而是改用 Fire Drills ,想針對這個議題提出正反的觀點。
Google 資安專家 Matt Linton 觀點:
Matt Linton 提出了一個更人性化的釣魚演練替代方案。
作者認為,目前企業進行釣魚演練測試的做法類似於過去對員工進行的消防演習,強迫員工個人識別危險並以適當方式應對,如果員工「失敗」就需要接受進一步教育訓練,這有負面影響,文章提出:
- 沒有證據表明這些測試能減少實際的成功釣魚活動。
- 研究表明這些測試無法有效防止員工上當受騙。
- 有些測演練會繞過現有的反釣魚防護,造成風險被高估,增加資安團隊的工作負擔。
- 員工對這種「被欺騙」的做法感到不安,影響了與資安團隊的信任。
作者認為,訓練員工百分之百避免上當受騙是不可能完成的任務(是沒錯啦!!)。
相反,更好做法是教會員工如何識別釣魚郵件並立刻向資安團隊報告(謎之音:要資安人員夠…比較常看到外商會統計回報率)。就像消防安全專業領域已經從傳統的火災演習轉向預先通知的疏散訓練一樣,提出資安領域應該要像消防演練的模式.
因此作者建議停止進行釣魚測試,改為進行「釣魚消防演練( phishing fire drills)。
這個方法的目標為:
- 教育員工識別釣魚郵件。
- 告知員工如何回報釣魚郵件。
- 讓員工練習按照預期方式報告釣魚郵件。
- 收集有用的數據,如報告時間、報告人數等。
其實這個觀點還蠻不錯的,但這些觀點是否就可以取代釣魚郵件?
反對的觀點
一開始文章提出目前企業的釣魚演練測試類似於過去的消防演習,但這一點不一定能夠對應。釣魚演練的目的是測試和提高員工的資安意識,不是像消防演習的緊急應變能力,直接比較是否恰當?
另外,作者認為釣魚演練無法有效防止社交工程,這點同樣沒有提供足夠的佐證資料與足夠的證據支持這個觀點,有許多企業認為透過社交工程釣魚演練後,提升了員工的資安意識與回報率。
文章中提到一些演練會繞過現有的防護機制,高估了實際資安風險。有些企業可能會評估最壞的情況,考量資安設備和人是不同目標,讓員工能夠在沒有任何技術控制下來識別釣魚郵件,或許可以當作評估員工的真實應對能力的參考之一。
消防演習這個方法會不會是流於形式?照以前就學或是企業內的經驗,真正的消防演習大多數人都是當成例行公事,慢慢走樓梯或搭梯離開辦公室,無法真正評估資安意識和應變能力,在 Fire Drills 一樣會有這個問題發生
相比之下釣魚演練的結果是否更具參考價值?
傳統的釣魚演練測試方式雖然有蠻多問題存在,但是目前還是行業的主流方法,可以在現有基礎上持續優化,結合更多元化的方式,提高測試的實質效果,或許可以結合兩個方法在企業之中,一年各執行一次釣魚測試與釣魚消防演習。
本篇透過 AI 協助分析原文與翻譯,透過AI來協助完成文章
