HW中常态化反钓鱼训练的具体战略部署
本文不精准描述具体哪天做,提前多久做,仅大致区分事前、事中、事后三个阶段。也并不适合所有企业,各家根据自己的实际情况权当参考。
第一阶段:HW前期(信息搜集期)
该阶段的主要目标是确立基准点,找出潜在的风险人群(部门、岗位、入职时间、性别等特征),也就是所谓的基线。
具体行动如下:
1、分发一些较为简单的模拟钓鱼邮件,比如说带有明显Bug的邮件。
2、特别关注那些处理机密事务或特定权限的职员,初次接触此类邮件时的表现,比如财务、行政、客服、研发以及技术支持人员。
3、应用DeepPhish EML分析平台审查过往攻击成功的钓鱼邮件,挖掘己方在防堵钓鱼邮件上的弱点,请注意:重点是审查。
4、根据这些洞察,在DP反钓鱼训练平台上预先配置一系列训练场境(钓+中+训)。
5、收集到的员工内部系统的弱密码,推动整改。
6、挑战处理:就像很多年前你和别人说防御手段无法阻断所有攻击,要上检测手段,别人可能会嗤之以鼻,该场景下同理,任何人的邮箱都可以拿到,账号盲猜、通讯录失陷、互联网暴露、社工等等。
第二阶段:HW中期(红队强攻期)
该阶段的核心目标是对抗社会工程学,提高即时应变速度,注意,重点是甄别邮件本身,即攻击链中的投递阶段,不要期待员工会点了链接后还能肉眼辨识网页的有害性,那个时候已经晚了,假设客户端程序本身有任意代码执行漏洞,点击链接或打开附件都算中招。
具体行动如下:
1、加大频率,定期实施针对性模拟攻击(大约每星期两到三次),效仿对手TTP,如来自信息技术部门发布的“紧急修补指引”(附带伪装成合法下载的有害附件),假扮上级领导催促完成“迅速批准支付”手续(内藏引导向恶意网站的链接)。
2、结合正在发生的HW相关话题(譬如“某个服务遭受入侵的消息”)。
3、设置诱饵邮箱,设置专门用于吸引黑客注意的“假账户”:故意暴露若干看起来像是普通工作人员联系信息的陷阱账号给红队下套,收件提醒归在安全口,类似蜜罐玩法,第一时间捕获红队攻击。
4、实现即时双向反馈循环,当侦测到来自敌方的钓鱼企图迹象,立刻向全体员工分发一份警示性质的无害邮件副本(看起来一模一样但不含实际危害),以此来评估大家的敏锐度,以及预警作用。
5、钓鱼网页模板也复用设置为蜜罐烟雾弹,吸引敌军爆破攻击。
6、利用DP EML分析平台深入研究敌军发动袭击的确切样本特点,优化己方防御措施和训练内容。
第三阶段:HW后期(长期斗争阶段)
该阶段目标是强化认知成果,并形成完整的工作闭环,PDCA。
具体行动如下:
1、针对不幸在HW中失陷的人员定制个性化的训练模块,在训练平台中单独设置一个虚拟组。
2、即时呈现一页简短的图文,详细解释刚才那封邮件的破绽(如发件人的电子邮箱后缀的特别之处,或者是隐藏在水面之下真正的URL目的地,假设收件人应该发现但没发现)。
3、钓鱼模版尽量不要单方面YY,可结合互联网最新的真实钓鱼套路模拟操作,避免员工挑战和反感。
3、公布各部门的安全表现排行榜单(中招率和报告率),卷部门不卷个人。KPI挂钩也可以考虑,但切忌简单粗暴。
4、建立报告机制和技术支撑措施,不要只是提醒员工转发邮件到XX邮箱,需要原始EML,尽可能保留邮件元数据便于分析溯源。
5、引入新的技术措施,检测到的所有危险邮件元素(比如可疑的附件Hash、发件人地址、或是C2地址)及时上传至SOC/SOAR/TIP以便加强全局范围内的监视力度。
6、平台生成的高危角色的的结果数据纳入风控因子,比如某部门中招率总是很高,新员工完全没有安全意识,可加高严格安全策略,EDR、零信任等,动态调整,让员工在方便和安全之间自发争取。
风险管理要点:怎样防止“演练失控”?
1、必须与决策层紧密合作
提交详细的演练规划书,明确界定何时何情况下要优先处置真实的红队攻击,而不需执行演练,是否有特殊人员、特殊时期豁免演练。
2、在技术层面杜绝意外伤害
演练样本都需要先行接受全面的安全扫描和源代码审计,保证里面不存在任何真的恶意代码,出于成本考虑,可优先使用明文代码样本,比如html。
3、演练标签
在邮件头添加独一无二的身份标签,供专业安全人员辨认。
4、数据保密
对于人员邮箱地址、演练数据,严格保密,提供数据销毁选项。
5、营造正面回馈的文化氛围
对于积极报告钓鱼线索的人员给予即时的认可和奖励,如授予数字荣誉徽章,或者积分换取奖品,配合企业文化宣传,表扬其对企业网络安全的贡献。对于不慎中招的人员宽容处理,并指定专人对其进行一对一的专业指导,帮助他们重新树立信心,同时鼓励他们在各自的团队里担任安全大使。
成效衡量
可以从以下几个维度判断工作成效如何:
1、员工辨别钓鱼邮件的能力大幅跃升,即中招率降低/EDR告警量降低。
2、来自一线员工自发提供的可疑邮件线索数量/质量。
3、红队钓鱼攻击成功的时间跨度,比如从前只需不到两个半小时,现在得五六天。
且不说HW怎么怎么样,HW的核心理念在于“借进攻之力审视防御之坚”,一方面红队运用真实的战斗经验来考验我方安全保障措施的实际效果,另一方面我方也须借助不断的实践来磨砺自身抵御外来入侵的能力。坚定推行反钓鱼训练并非制造混乱,相反它能让组织在激烈的市场环境中、复杂的敌我斗争中、日益更新的互联网世界中,锻造出一种本能式的自我防卫习惯。只有这样,当有一天敌人精心炮制的“漏洞修复提示.zip”突然降临之际,我们才能够从容应对。
支持我们,在钓鱼中招前打一针!
- EML分析工具:deepphish.cn/eml
- 反钓鱼训练平台:deepphish.cn/apt