iT邦幫忙

0

使用釣魚信的社交工程演練有效嗎?

社交工程 釣魚郵件
jasonlin268 2024-05-28 10:24:562802 瀏覽

  • 分享至 

  • xImage

這個疑問其實在前兩天某一位邦友提的問題裡我有提到過,
只是想在這裡再提出來請教各位先進的意見。

前幾天收到負責資安的同仁傳過來的新聞(如以下連結),
標題是**"Google 資安人員疾呼:不要再用「釣魚信」測試員工了!適得其反!**",
他大概是想了解我的想法,
但是我也不確定該如何回答,
所以想聽聽各位先進的意見。

這幾年每年我都會對全公司同仁進行一次釣魚信的社交工程演練,
然後將演練的結果呈報給公司的高階主管參考,
另外也會將各部門的統計結果公布(只公布數字不公布個人姓名),
再請負責資安教育訓練的同仁針對不小心被釣的人員進行線上課程補充(平時每年也都會安排對全公司同仁進行一次資安訓練課程)。

不知道各位先進對這篇新聞的想法如何?
因為意見的來源是Google資安人員,
所以覺得似乎也是有些參考的價值,
只是與我們平時的做法有些相反,
或是有更好的方法?

https://www.inside.com.tw/article/35109-google-stop-trying-to-trick-employees-with-fake-phishing-emails

看更多先前的討論...收起先前的討論...
froce iT邦大師 1 級 ‧ 2024-05-28 10:44:35 檢舉
有效沒效是一回事,要不要用新作法又是另外一回事了。
建議不用那麼急著用新做法,雖然我個人也很賭爛這種釣魚郵件,但新做法你要考量到有沒有能力去處理大量回報的釣魚郵件,以及後續的處理程序要怎麼修改。
更不用說涉及到27001的話,你程序書進版、外部稽核相關事項。以及說服上級去適應新程序。
我個人會等這程序變成業界比較接受,變成一個方案(譬如舊做法是一個價格,新的又有另一個價格)以後再說。
mathewkl iT邦高手 1 級 ‧ 2024-05-28 11:03:47 檢舉
內部資訊/資安人員出人上課,省下每年釣魚測試的費用,能省錢上頭很容易點頭的
froce iT邦大師 1 級 ‧ 2024-05-28 11:21:44 檢舉
> 內部資訊/資安人員出人上課,省下每年釣魚測試的費用,能省錢上頭很容易點頭的

該做的還是得做啦,要不然稽核就不會過了。
窮嘶發發發 iT邦高手 1 級 ‧ 2024-05-28 15:22:08 檢舉
2007年我們公司開始使用GWS,回報詐騙跟廣告郵件當初就有了,只要使用 GMAIL 登入,就能使用,記得剛轉移過去,一天檢舉上千封郵件是很正常的,之後這些詐騙與廣告就大量的減少,我們都是建議USER覺得郵件有問題就直接檢舉+封鎖,除了勒索病毒剛出來那一年中過一次,到現在USER已經都記取教訓,沒再發生過類似事件了
jasonlin268 iT邦研究生 2 級 ‧ 2024-05-28 17:14:36 檢舉
根據以往的經驗,
幾年前還沒開始做釣魚信的社交工程演練時,
同仁們看到外來信件裡的連結很多都直接給它點下去,
有時開啟的連結還會被防毒軟體攔阻,
就算是有開過資安課程,
但是似乎上過課隨即就會忘記這些危險。
後來開始做社交工程演練,
演練結束後會統一公布演練內容,
並解說如何發現釣魚信件內容有哪些問題(例如判斷可疑的連結網址),
最後會把演練結果呈報高階主管,
且通知各部門主管有哪幾位同仁被釣到需參加線上課程加強輔導,
從此同仁們似乎警覺性都高了許多,
除了會在意外來郵件的連結之外,
遇到自己無法判斷的信件也會求助資訊部門協助判斷,
我自己是覺得有演練還是有些效果,
但還是需要更多各位先進的經驗與指教。

公司許多部門是有通過ISO27001:2022的認證,
所以稽核上似乎是有必要執行。
Jesse HO iT邦好手 1 級 ‧ 2024-05-28 22:48:12 檢舉
應避免二元化思考或以偏概全去討論社交演練,
否則便會失焦於對組織整體效用上。
測試練習、檢討覆盤和建立認知,
進而衍生組織意識與文化,
再用回報流程貫穿優化整個程序的不足。
"社交工程就是一種詐騙詐術,無論其目的為何!"
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

1
Ray
iT邦大神 1 級 ‧ 2024-05-28 11:36:10
最佳解答

關於這件事情, 這篇有另外一個觀點, 您參考看看:

釣魚測試(Phishing Tests) VS. 消防演練(Fire Drills) — 有趣的觀點微分析

登入發表回應
0
sx0800
iT邦新手 1 級 ‧ 2024-05-29 03:24:34

玩到最後是,非公司內網址一律不點,哪怕是董事長傳來的信件。

登入發表回應
2
supermaxfight
iT邦研究生 4 級 ‧ 2024-05-29 08:46:54

建立在沒有證據證明,然後反對
然後又提不出如何證明別人是錯的
要把別人弄成是錯的,有很多方式可以操弄
最後勉為其難地給了一堆方案
然後這些方案又是要錢,又沒有比最一開始他們反對的方案有效
就像要學生學習,不考試怎麼知道有沒有學進去
萬事皆要統計
好啊,Google也研究了一年半
這段期間是???一年半(笑

1.先演練再上課
2.先上課再演練
個人是認為2
只是沒人探討兩者要隔多久

harry731 iT邦新手 2 級 ‧ 2024-05-29 14:28:13 檢舉

個人也是覺得2比較好
原因七字帶過
不教而殺謂之虐

jasonlin268 iT邦研究生 2 級 ‧ 2024-05-31 09:11:18 檢舉

非常同意supermaxfight的看法,
目前我公司是每年提供教育訓練(也保留課程影片供自行觀看),
然後在年底左右進行一次演練,
最後再針對被釣到的同仁進行課程輔導改善。

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22195
完賽人數
600
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙