易念科技：2020郵件釣魚演練分析報告（19頁）.pdf

《易念科技：2020郵件釣魚演練分析報告（19頁）.pdf》由會員分享，可在線閱讀，更多相關《易念科技：2020郵件釣魚演練分析報告（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、各行業釣魚郵件中招減少率經過一年持續的安全意識培訓和模擬社會工程演練，所有行業企業員工的安全意識和技能都有明顯的提升。 其中信息傳輸、計算機服務和軟件業的釣魚郵件中招減少率最高，是94.43%，而金融行業的中招減少率在82%到91%左右。 所有行業中交通運輸、倉儲和郵政業中招減少率最低為 66.33%?？v觀所有行業從釣魚基準測試經過一年左右的安全意識培訓及定時的模擬網絡釣魚測試，PSR平均中招減少率高達到 83.19%。這一結果驗證了我們開頭的觀點安全意識培訓和模擬社會工程演練是根本上降低企業安全風險的最優方案。模板主題中招率和使用率對比之前我們分析了不同企業在時間線上橫向和縱向的 PSR表現

2、，這個小節我們比較一下不同主題模板的釣魚郵件中招率和使用率。在易念科技的釣魚演練中，我們為客戶提供了匹配真實世界場景的各類主題模板，我們通常把主題分為 4 大類：OA升級類;員工福利類;第三方通知類和熱點場景。我們一年半收集的數據表明，“OA 升級類”和“員工福利類”主題在基準測試中獲得了最高的釣魚郵件中招率分別為 27.4%和 24.3%，使用率也高達 41.1%和 31.2%。除了這兩個主題以外，熱點場景類的主題模板因為國內疫情的原因，PSR為 22.8%排名第三，使用率在 20.48%左右。排名最后的是第三方通知類的模板中招率為 5.1%，使用率為 7.22%。從結果上看前兩類的主題郵件

3、中招率和使用率排名前二顯得理所應當，基準測試中如果員工在辦公室收到以公司名義發送的 OA 升級或者員工福利相關的電子郵件，點擊查看是再正常不過的情況。相反的因為國內以第三方名義發送的營銷廣告和釣魚郵件泛濫，員工看到以第三方名義發送的郵件甚至連打開郵件的想法都沒有，導致第三方通知類模板的中招率并不理想。再看熱點場景類的模板，比如新冠疫情類的主題郵件在3月份的中招率高達40%左右，但同樣的郵件在 6 月只有 10%左右的中招率，這表明這類模板有極強的實時性，需要不斷根據現實場景更改內容來保證演練的效果。模板類型中招率和使用率對比我們的釣魚系統通常把模板分為 3大類：URL釣魚，惡意附件釣魚和二維碼

4、釣魚。在基準測試中的中招率和使用率對比如下圖，其中 URL 釣魚的使用率最高為 74.5%，中招率為 25.1%;二維碼釣魚的中招率最高為 30.1%，但使用率最低為 5.1%，惡意附件釣魚的中招率比較低為 17.80%，使用率為 20.40%。這里我們分析二維碼釣魚中招率比較高的原因有二：其一是國內二維碼普及和接受率遠超世界其他地區;其二是二維碼釣魚可以有效的規避鼠標懸停對郵件中鏈接的檢查，增加識別釣魚郵件的困難度;雖然此類釣魚郵件的中招率尚可，但通常企業對于這種釣魚類型的接受程度卻不是很高，他們潛意識中更傾向于使用傳統的 URL的釣魚方式去做演練測試導致使用率偏低。用戶客戶端對比我們這里主

5、要對比基準測試中手機平臺和電腦平臺使用率。隨著移動端硬件配置的不斷增強，以及 4G、5G 網絡的升級優化和通訊資費普遍降低，移動互聯進入了井噴期，白領們已經習慣于通過移動端來處理工作。國內現有數據顯示，已有 68%的用戶會每天通過手機查郵件。但從我們收集的測試數據來看閱讀釣魚郵件的平臺比率，手機端平均占比 33.47%，電腦端平均占比 66.53%，說明除了少數行業，在辦公室工作的員工，還是傾向于用電腦作為郵件閱讀的主要平臺。釣魚演練時間選擇一天中在什么時間段做釣魚測試中招率會比較高?我們收集的數據指出，在工作日，除了發送完釣魚郵件后的 1到 2小時內必然會有一個最高的中招峰值，通常員工登錄郵

6、箱主要有 9 點和 14點為波峰的兩個高峰期。所以，選擇在 9點-10 點、14點-15 點做釣魚演練可能會得到比較令人滿意的數據結果。企業實施中常見的誤區誤區一：過分注重員工的情緒及感受模擬釣魚演練必須站在攻擊者的角度用真實的攻擊和方法去評估員工的安全意識和技能水平。否則，企業的“培訓”只會給組織一種虛假的安全感。同理，現實中的黑客不存在對企業員工的憐憫和同情。誠然，在演練中權衡員工的情緒是極其重要的，不然釣魚演練的效果只會適得其反。但是又不能過分注重員工的情緒及感受而影響到演練的仿真效果，企業負責人需要找到其中的平衡點。誤區二：培訓和演練完全是企業信息安全專業人員的事。演練應該團結能夠團結

7、的一切力量。讓其他團隊的人員和主管，包括人力資源、IT 甚至市場營銷一起參與其中。創造一種積極地、全公司范圍的安全文化。誤區三：信息安全意識教育培訓一次就夠了在我們所服務過的客戶中，有很多企業和組織的領導者或者人力資源部門認為，提高全員信息安全意識就只是為了國家的一些合規要求，而且搞一次就夠了，實際上信息安全意識教育遠不止搞一次培訓這么簡單。正是基于這種思想，即便搞了培訓效果也不好，這樣就陷入了一個惡性循環的怪圈之中。而在我們服務過的客戶中，每年進行 26次釣魚測試演練的居多，也呈現出了比較好的教育效果。誤區四：高層領導是例外絕大多數我們服務過的企業和組織在釣魚演練實施的過程中，會除去企業的管理者，這種情況無可厚非。但是我們從少數沒有在演練中除去管理人員的企業那得到的數據顯示管理角色在釣魚演練中的中招率并不低，外加上管理者通常手上擁有企業極其重要的信息資源，其風險等級可見一斑。我們還可以類比之前提過的 IT從業人員的例子，同樣的身處高位并不代表其安全意識就高。誤區五：員工可能無法分辨釣魚郵件和正常郵件有些企業害怕頻繁的釣魚郵件測試會影響員工對正常郵件的判斷力，從而影響到正常的工作，這里又要重新提及安全意識培訓的重要性，永遠不要讓釣魚演練和培訓割裂，企業完全可以在安全意識課程中加入釣魚郵件現狀以及如何識別釣魚郵件，強化對釣魚郵件的認知。