降低网络钓鱼攻击的风险

如今，网络钓鱼已演变成黑客用来渗透组织的最有效的工程攻击手段。网络钓鱼的目标是让人们不知不觉地下载恶意软件或泄露他们的访问凭据。最好的防御是作好个人警惕和防护工作。

　　在刚刚结束的“网络安全意识月”提醒人们，个人和集体行为是包含网络安全事件风险的行为。

　　以下是大多数组织能够以适度的成本实施的措施，并大大提高个人的警惕措施，从而降低网络钓鱼成功攻击的风险。

　　安全意识培训

　　安全意识培训是减少网络钓鱼攻击的最简单的措施。在许多组织中，每个人都需要参加基本的安全意识培训。通常培训大纲包括：

　　1.适当的组织和个人的互联网使用。

　　2.钓鱼和其他类型攻击的定义。

　　3.黑客动机概述。

　　4.网络钓鱼攻击和其他恶意入侵的不良后果。

　　5.遵守密码策略以及如何保护个人访问凭据。

　　6.如何发现可疑的传入电子邮件。

　　7.组织的电子监视防御的限制。

　　8.审查机密信息管理政策，包括：

　　•妥善处理机密信息。

　　•告诫不要点击来源不明电子邮件中的链接或附件。

　　•提醒不要在没有适当授权的情况下发出组织信息。

　　•鼓励向网络安全团队报告可疑的电子邮件。

　　9.报告网络钓鱼和其他安全事件。

　　10.网络安全小组如何调查网络钓鱼和其他事件。

　　11.物理安全和进入建筑物。

　　背景筛选

　　有时，一些黑客加入组织作为雇员或承包商只是收集内部信息。背景筛选是基于收集的信息预先处理未来网络钓鱼攻击的重要政策。而筛选不应仅限于员工，而应包括供应商员工和合同工，因为几乎每个人都能获得某种形式进入一些机构网络和设施的机会。

　　不筛查或随意筛选会让黑客收集内幕信息用于未来的攻击。

　　网络钓鱼意识培训几乎徒劳无功，因为那些已经经过训练，并警告和威胁工作人员不要点击可疑的电子邮件附件，但他们仍然这样做。员工似乎对此还不太重视。

　　每个组织都应该操作访问控制系统，以确保只有明确授权的人才可以访问系统和设施。每个人都需要学会坚定地挑战他们不认识的人和事。

　　频繁的物理安全监督包括：

　　1.在访问控制系统离开组织后，不会严格删除他们。

　　2.为个人担任的角色提供太多的机会。

　　模拟社会工程演习

　　有时，网络安全团队应将网络钓鱼消息作为一种演练发送给员工，以评估组织中安全意识培训的有效性。

　　排除演练价值的事件包括：

　　1.不举行演习。

　　2.举办过多的演练，可能让大量的员工烦恼。

　　3.制裁惩罚失误的员工，而不是使用这种相关事件来加强培训。

　　信息分类政策

　　组织应该发展，员工应该阅读和签署信息分类和管理政策。分类为组织数据的类别分配了一定的价值和敏感性。每个信息分类包括用于查看，编辑和共享数据的不同规则。

　　网络安全团队应该不断监控与网络上浮动的组织相关的信息。发现机密信息应触发调查。这些过程应保护机密信息，并使被动信息收集对攻击者更加困难。

　　破坏政策和这些过程的因素包括：

　　1.每个信息类别的模糊或复杂和冗长的定义。

　　2.未能调查潜在事件。

　　3.未能惩罚员工违规行为。