不要吃陌生人給的餅乾，不要喝陌生人的飲料，不要跟不認識的人走，晚上不要單獨一人在黑暗地方....
這些都是爸媽會叮嚀小朋友的話，因為小朋友没有危機意識；而<放開那女孩的手!>...可能是爸爸們的危機意識。
一、主題起源
今年5月在客戶端聽到他們要組隊去參加金管會的紅藍隊訓練，可以自家組成5人一隊或是與其它銀行組成一隊。
而近期也有客戶在詢問社交工程演練平台以及員工意識教育訓練，所以今天要來寫二款訓練平台。
二、藍隊防禦演練平台
就像我們對小朋友的危機意識教導，一般的技術人員也不會天生就知道網路攻擊的手法及惡意，因此透過訓練提高資安意識、防禦技巧、應變能力、熟練事件調查是有必要的。
市場上有許多藍隊專長養成實戰課程，聽說價格不便宜；而市場上也有<藍隊演練平台>，透過模擬環境讓資安人員直接面對網路威脅，學習如何預防或阻止攻擊，並且了解現行防護不足的地方。

1. 模擬企業環境，如 DMZ、防火牆、AD、郵件伺服器和檔案伺服器。
2. 模擬真實APT組織攻擊案例在環境中重現，讓人員從防禦方的角度體驗應用程式漏洞利用、惡意程式植入、橫向移動、資料外洩等攻擊手法。
3. 也有常見的網路攻擊，如連接埠掃描、垃圾郵件和漏洞掃描，檢查電子郵件和存取檔案伺服器等，讓資安人員學習如何從雜訊中分辨真正的攻擊行為。
4. 結合國際標準-MITRE ATT&CK & NICE Framework，量化資安團隊每位成員的學習狀況。
5. 了解現行資安防護不足之處，作為後續導入資安解決方案的參考。

三、社交演練平台及資安意識訓練
政府的資通安全法規以及金融機構辦理電腦系統資訊安全評估辦法都有要求針對使用電腦系統人員，於安全監控範圍內，寄發演練郵件， 加強資通安全教育，以期防範惡意程式透過社交方式入侵。
本地廠商不乏提供社交演練平台，政府單位也有提供免費的平台供政府單位使用；而國外Mail security gateway產品也會提供社交演練平台模組，此外他們也會包含<社交意識訓練平台>。

1. 以人為本的平台，保護人員，提供最新攻擊的教育訓練，提高員工資安意識。
2. 評估用戶弱點: 透過具有真實場景的釣魚模板，了解用戶的行為以及他們的意識。
3. 改變不安全的行為: 提供多樣的學習方式，讓用戶參加威脅趨勢且即時的教育訓練，和模擬網路釣魚活動提高認知及安全訓練。
4. 評鑑及追踪: 以同行為基準，針對需要改進的領域採取行動，量化訓練成果，持續追踪。