可能破壞您的安全培訓的三個常見錯誤 - 網安 - 專業的網絡安全產業、社區、知識平臺

網絡釣魚事件呈上升趨勢。IBM的一份報告顯示，網絡釣魚是 2021 年最流行的攻擊媒介，導致五分之一的員工成為網絡釣魚黑客技術的受害者。

安全意識培訓的必要性

盡管技術解決方案可以抵御網絡釣魚威脅，但沒有任何解決方案是 100% 有效的。因此，公司別無選擇，只能讓員工參與對抗黑客的斗爭。這就是安全意識培訓發揮作用的地方。

安全意識培訓使公司有信心，當員工在收件箱中發現網絡釣魚郵件時，他們將執行正確的響應。

俗話說“知識就是力量”，但知識的有效性在很大程度上取決于它的傳遞方式。在網絡釣魚攻擊方面，模擬是最有效的培訓形式之一，因為培訓模擬中的事件直接模仿員工在發生實際攻擊時的反應。由于員工不知道收件箱中的可疑電子郵件是模擬還是真正的威脅，因此培訓變得更加有價值。

網絡釣魚模擬：培訓包括什么？

規劃、實施和評估網絡意識培訓計劃以確保其真正改變員工行為至關重要。然而，要使這項工作取得成功，它所涉及的不僅僅是給員工發電子郵件。要考慮的主要做法包括：

現實生活中的網絡釣魚模擬。
自適應學習 - 實時響應和保護免受實際網絡攻擊。
基于部門、任期和網絡經驗水平等因素的個性化培訓。
賦予員工以始終在線的網絡安全思維方式并為其提供裝備。
數據驅動的活動

由于員工無法識別網絡釣魚模擬和真實網絡攻擊之間的區別，因此請務必記住網絡釣魚模擬會引起不同的情緒和反應，因此應深思熟慮地進行意識培訓。由于組織需要讓員工參與應對不斷增加的攻擊并保護其資產，因此保持高昂的士氣并營造積極的網絡衛生文化非常重要。

三種常見的網絡釣魚模擬錯誤。

根據多年的經驗，網絡安全公司CybeReady已經看到公司陷入這些常見錯誤。

錯誤#1：測試而不是教育

運行網絡釣魚模擬作為捕獲和懲罰“重犯”的測試方法弊大于利。

涉及壓力的教育經歷會適得其反，甚至是創傷性的。結果，員工不會接受培訓，而是尋找繞過系統的方法。總體而言，從長遠來看，基于恐懼的“審計方法”對組織沒有好處，因為它無法在很長一段時間內提供必要的培訓。

解決方案#1：保持敏感

因為保持積極的員工士氣對組織的福祉至關重要，所以提供積極的及時培訓。

即時培訓意味著一旦員工點擊了模擬攻擊中的鏈接，他們就會被引導到一個簡短的培訓課程。這個想法是快速教育員工他們的錯誤，并為他們提供未來發現惡意電子郵件的基本技巧。

這也是一個積極強化的機會，所以一定要保持培訓簡短、簡潔和積極。

解決方案#2：通知相關部門。

與相關利益相關者溝通，以確保他們了解正在進行的網絡釣魚模擬培訓。許多組織忘記通知相關利益相關者，例如 HR 或其他員工，正在進行模擬。當參與者有機會感受到支持、犯錯誤和糾正錯誤時，學習效果最好。

錯誤#2：對所有員工使用相同的模擬

改變模擬很重要。向所有員工發送相同的模擬，尤其是同時發送，不僅沒有指導意義，而且在涉及組織風險時也沒有有效的衡量標準。

“警告效應”——第一個發現或陷入模擬的員工會警告其他人。這使您的員工準備好通過預測模擬來應對“威脅”，從而繞過模擬和培訓機會。

另一個負面影響是社會期望偏差，它會導致員工在沒有注意到的情況下向 IT 部門過度報告事件，以便獲得更有利的評價。這會導致系統和 IT 部門過載。

這種形式的模擬也會導致結果不準確，例如不切實際的低點擊率和過度報告率。因此，這些指標并未顯示公司的真正風險或需要解決的問題。

解決方案：滴灌模式

滴灌模式允許在不同時間向不同員工發送多個模擬。某些軟件解決方案甚至可以通過向不同的員工組發送各種模擬來自動執行此操作。實施一個連續的周期以確保所有新員工都正確入職并強調 24/7 全天候的安全性也很重要——而不僅僅是選中一個框以確保最低合規性。

錯誤 3：依賴單一活動的數據

每天有超過 34 億次網絡釣魚攻擊，可以肯定地假設其中至少有 100 萬次在復雜性、語言、方法甚至策略上有所不同。

不幸的是，沒有單一的網絡釣魚模擬可以準確地反映組織的風險。依靠單一的網絡釣魚模擬結果不太可能提供可靠的結果或全面的培訓。

另一個重要的考慮因素是，不同的員工群體對威脅的反應不同，不僅因為他們的警惕性、培訓、職位、任期甚至教育水平，而且因為對網絡釣魚攻擊的反應也與上下文有關。

解決方案：實施各種培訓計劃

行為改變是一個進化過程，因此應該隨著時間的推移進行衡量。每個培訓課程都有助于培訓的進展。培訓效果，或者換句話說，對實際組織行為變化的準確反映，可以在多次培訓課程之后并隨著時間的推移而確定。

最有效的解決方案是通過多次模擬持續進行各種培訓計劃（至少每月一次）。

強烈建議根據員工的風險水平對其進行培訓。多樣化和全面的模擬程序還可以根據系統行為隨時間推移提供可靠的測量數據。為了驗證他們在有效培訓方面的努力，組織應該能夠在任何給定時間點獲得有效的風險指示，同時監控降低風險的進展。

實施有效的網絡釣魚模擬程序。

創建這樣的程序可能看起來很費時費力。這就是為什么我們創建了一個包含 10 個關鍵實踐的劇本，您可以使用這些實踐來創建一個簡單而有效的網絡釣魚模擬。只需下載 CybeReady 手冊或與我們的一位專家會面以進行產品演示，并了解 CybeReady 的全自動安全意識培訓平臺如何幫助您的組織以幾乎零投入的 IT 工作實現最快的結果。