谷歌长文批判网络钓鱼演练：没有任何效果，应效仿消防演习改革

前情回顾·网络钓鱼最新动态

• 报告：人工智能导致网络钓鱼攻击暴增12倍

• 国内仿冒电子邮箱发起钓鱼邮件攻击事件频发！工信部发布预警

• B站企业邮箱发全员钓鱼链接致多员工被骗达8万元

• 用零信任打击网络钓鱼，美国白宫又有重要部署

安全内参7月5日消息，一位谷歌安全高管对美国联邦政府强制要求的网络钓鱼测试已忍无可忍，认为这些测试不仅让员工反感IT团队，而且没有任何实际效果。

Matt Linton是谷歌安全响应与事件管理部门的负责人，每年负责实施网络钓鱼演习。但他认为，这些测试应被类似于现代消防演习的网络安全措施所取代。

目前的网络钓鱼测试更像是早期的消防演习，那时的演习就像是火灾疏散演练——没有任何警告，突然袭击建筑中的居民，事后将失败归咎于个人。

随着时间推移，建筑物安装了更多安全设备。Linton表示，建筑消防安全不断改善，例如安装了更宽的门、采用推杆出口设计、装配消防喷淋系统等。这些措施并非为了提高个人的演习反应能力，而是整体提高了火灾生存率。如今的消防演习则是经过周密计划，并会提前进行通知。

大家不难看出他的寓意：早期的消防演习和当前的网络钓鱼演习之间有明显相似之处——两者都把责任归咎于个人，而非他们周围的基础设施。

尽管反网络钓鱼措施已经嵌入到安全产品和电子邮件客户端中，研究表明网络钓鱼攻击仍在增加。Zscaler最新年度报告显示，过去12个月内网络钓鱼增加了58%，部分原因是网络犯罪分子广泛采用AI技术。

联邦风险和授权管理计划（FedRAMP）是美国网络安全的主要标准之一。为了符合FedRAMP规定，谷歌需要遵循指南开展网络钓鱼测试。这些指南仍声称，用户“是最后一道防线，应该接受测试”。

Linton认为，为员工提供网络钓鱼培训是有价值的，但实现100%的成功率“几乎是不可能的任务”。

他在博客中写道：“网络钓鱼和社会工程等攻击手段不可能消失。只要人类是易犯错的社会性生物，攻击者就会有办法操纵人的因素。”

“应对这两种风险更有效的方法是长期追求系统的默认安全，并坚持进行体系化防御方面的投资，例如使用密钥等无法被钓鱼的凭证，并在整个生产系统中为敏感安全环境实施多方审批。谷歌对这类架构防御的投资，使我们近十年来几乎不用担心密码被钓鱼破解。”

网络钓鱼演习的问题及可能的替代方案

Linton表示，反对当前网络钓鱼测试的主要论点是“没有证据表明测试会降低网络钓鱼活动的成功率”。

一些测试（如FedRAMP强制要求项）要求组织减少或消除现有安全控制措施，让人们尽可能感受到测试失败的影响。这引发了一系列问题，例如测试对象会对真实风险产生错误的感知。一旦演习期间实施的白名单未能事后移除，容易被攻击者滥用。

此外，网络钓鱼测试还会增加事件响应者和负责对威胁检测团队发送的报告进行分类的人员的负担，让员工感到受骗。Linton表示，许多人和他有同样的看法。

例如，英国国家网络安全中心（NCSC）的指南与他提出的许多观点一致，认为网络钓鱼测试削弱了员工与安全团队之间的信任，而且用户在测试期间点击链接的原因可能多种多样。

例如，某些个人的性格特征可能促使他们点击链接。在测试期间，很多情境变量，比如工作负担特别繁重，可能会对测试结果产生不利影响。

英国国家网络安全中心指出：“应创建一个积极的网络安全文化，让员工感到舒适，能够报告网络钓鱼事件，这样他们可以成为一个有价值的早期预警系统。”

为了改进网络钓鱼测试，Linton认为应该效仿消防演习的演变过程。

与其让被测试人员毫无准备，不如提前告知他们将要进行测试，就像消防演习前，会提前几个星期就在公寓和办公楼的每个角落贴满海报一样。我们应该发出测试通知，并告知被测试者测试的益处。

Linton提出的替代方案与多年来办公室员工习惯的网络钓鱼测试大不相同：

您好！我是一封网络钓鱼邮件。

这是一场演习——仅仅是一场演习！

如果我是一封真正的网络钓鱼邮件，我可能会要求您使用真实的用户名或密码登录到一个恶意网站，或者要求您运行一条可疑的命令。

您可以在这里了解更多关于识别网络钓鱼邮件的信息，甚至测试自己识别它们的能力。无论网络钓鱼邮件采取什么形式，只要发现异常，应该立即向安全团队报告。

为了完成年度网络钓鱼演习，请报告这封邮件。

感谢您为保持安全所做的一切。

——钓鱼博士

此外，英国国家网络安全中心指出，应采取多层次的方法来减轻工作场所的网络钓鱼攻击：

• 让攻击者难以接触到用户

• 帮助用户识别和报告可疑的网络钓鱼邮件

• 保护你的组织免受“成功”网络钓鱼邮件的影响

• 迅速响应事件

Linton说：“我们应该教育员工，如果发现正在进行中的攻击，应该提醒安全团队。这仍然是对整体安全态势的有价值的必要补充。然而，没有必要制造对立，‘抓住’人们在任务中的‘失败’不放，我们什么也得不到。”

“让我们抛弃那些老掉牙的失败保护措施。我们应该效仿消防等更成熟行业的做法。这些行业已经面对过这些问题，找到了平衡的方法。”

参考资料：https://www.theregister.com/2024/05/23/google_phishing_tests/、https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。