可能破坏您的安全培训的三个常见错误 - 网安 - 专业的网络安全产业、社区、知识平台

网络钓鱼事件呈上升趋势。IBM的一份报告显示，网络钓鱼是 2021 年最流行的攻击媒介，导致五分之一的员工成为网络钓鱼黑客技术的受害者。

安全意识培训的必要性

尽管技术解决方案可以抵御网络钓鱼威胁，但没有任何解决方案是 100% 有效的。因此，公司别无选择，只能让员工参与对抗黑客的斗争。这就是安全意识培训发挥作用的地方。

安全意识培训使公司有信心，当员工在收件箱中发现网络钓鱼邮件时，他们将执行正确的响应。

俗话说“知识就是力量”，但知识的有效性在很大程度上取决于它的传递方式。在网络钓鱼攻击方面，模拟是最有效的培训形式之一，因为培训模拟中的事件直接模仿员工在发生实际攻击时的反应。由于员工不知道收件箱中的可疑电子邮件是模拟还是真正的威胁，因此培训变得更加有价值。

网络钓鱼模拟：培训包括什么？

规划、实施和评估网络意识培训计划以确保其真正改变员工行为至关重要。然而，要使这项工作取得成功，它所涉及的不仅仅是给员工发电子邮件。要考虑的主要做法包括：

现实生活中的网络钓鱼模拟。
自适应学习 - 实时响应和保护免受实际网络攻击。
基于部门、任期和网络经验水平等因素的个性化培训。
赋予员工以始终在线的网络安全思维方式并为其提供装备。
数据驱动的活动

由于员工无法识别网络钓鱼模拟和真实网络攻击之间的区别，因此请务必记住网络钓鱼模拟会引起不同的情绪和反应，因此应深思熟虑地进行意识培训。由于组织需要让员工参与应对不断增加的攻击并保护其资产，因此保持高昂的士气并营造积极的网络卫生文化非常重要。

三种常见的网络钓鱼模拟错误。

根据多年的经验，网络安全公司CybeReady已经看到公司陷入这些常见错误。

错误#1：测试而不是教育

运行网络钓鱼模拟作为捕获和惩罚“重犯”的测试方法弊大于利。

涉及压力的教育经历会适得其反，甚至是创伤性的。结果，员工不会接受培训，而是寻找绕过系统的方法。总体而言，从长远来看，基于恐惧的“审计方法”对组织没有好处，因为它无法在很长一段时间内提供必要的培训。

解决方案#1：保持敏感

因为保持积极的员工士气对组织的福祉至关重要，所以提供积极的及时培训。

即时培训意味着一旦员工点击了模拟攻击中的链接，他们就会被引导到一个简短的培训课程。这个想法是快速教育员工他们的错误，并为他们提供未来发现恶意电子邮件的基本技巧。

这也是一个积极强化的机会，所以一定要保持培训简短、简洁和积极。

解决方案#2：通知相关部门。

与相关利益相关者沟通，以确保他们了解正在进行的网络钓鱼模拟培训。许多组织忘记通知相关利益相关者，例如 HR 或其他员工，正在进行模拟。当参与者有机会感受到支持、犯错误和纠正错误时，学习效果最好。

错误#2：对所有员工使用相同的模拟

改变模拟很重要。向所有员工发送相同的模拟，尤其是同时发送，不仅没有指导意义，而且在涉及组织风险时也没有有效的衡量标准。

“警告效应”——第一个发现或陷入模拟的员工会警告其他人。这使您的员工准备好通过预测模拟来应对“威胁”，从而绕过模拟和培训机会。

另一个负面影响是社会期望偏差，它会导致员工在没有注意到的情况下向 IT 部门过度报告事件，以便获得更有利的评价。这会导致系统和 IT 部门过载。

这种形式的模拟也会导致结果不准确，例如不切实际的低点击率和过度报告率。因此，这些指标并未显示公司的真正风险或需要解决的问题。

解决方案：滴灌模式

滴灌模式允许在不同时间向不同员工发送多个模拟。某些软件解决方案甚至可以通过向不同的员工组发送各种模拟来自动执行此操作。实施一个连续的周期以确保所有新员工都正确入职并强调 24/7 全天候的安全性也很重要——而不仅仅是选中一个框以确保最低合规性。

错误 3：依赖单一活动的数据

每天有超过 34 亿次网络钓鱼攻击，可以肯定地假设其中至少有 100 万次在复杂性、语言、方法甚至策略上有所不同。

不幸的是，没有单一的网络钓鱼模拟可以准确地反映组织的风险。依靠单一的网络钓鱼模拟结果不太可能提供可靠的结果或全面的培训。

另一个重要的考虑因素是，不同的员工群体对威胁的反应不同，不仅因为他们的警惕性、培训、职位、任期甚至教育水平，而且因为对网络钓鱼攻击的反应也与上下文有关。

解决方案：实施各种培训计划

行为改变是一个进化过程，因此应该随着时间的推移进行衡量。每个培训课程都有助于培训的进展。培训效果，或者换句话说，对实际组织行为变化的准确反映，可以在多次培训课程之后并随着时间的推移而确定。

最有效的解决方案是通过多次模拟持续进行各种培训计划（至少每月一次）。

强烈建议根据员工的风险水平对其进行培训。多样化和全面的模拟程序还可以根据系统行为随时间推移提供可靠的测量数据。为了验证他们在有效培训方面的努力，组织应该能够在任何给定时间点获得有效的风险指示，同时监控降低风险的进展。

实施有效的网络钓鱼模拟程序。

创建这样的程序可能看起来很费时费力。这就是为什么我们创建了一个包含 10 个关键实践的剧本，您可以使用这些实践来创建一个简单而有效的网络钓鱼模拟。只需下载 CybeReady 手册或与我们的一位专家会面以进行产品演示，并了解 CybeReady 的全自动安全意识培训平台如何帮助您的组织以几乎零投入的 IT 工作实现最快的结果。