被忽视的“忽视率”指标
钓鱼演练是“人为因素”安全风险管理的关键一环,企业开展钓鱼演练时往往最关注的1个度量指标是“中招率”,然而,网络安全中最大的挑战之一是未知的不确定性。“忽视率”:即在一个钓鱼演练周期内既没有中招,也没有上报风险的员工比例。这部分员工往往占比很高(达70%~80%,甚至更高),他们出于某些原因有意或无意地错过或忽略了钓鱼演练,应该被视为潜在的风险群体。但很多时候,“忽视率”这一指标会被安全团队认为无足轻重,并未纳入度量指标体系,因为他们默认:只要不中招的就是反钓鱼意识强的,是低风险的。
实际上,这部分员工代表着人为因素风险中的“最大未知数”:他们要么不知道如何准确识别或上报钓鱼邮件、要么没有实质性参与钓鱼演练(例如:业务人员长时间未查看收件箱或员工正好在休假期间而错过了演练,事后才知道有演练)、要么对钓鱼风险视而不见或抱有侥幸心理(反正出了安全问题,安全团队会兜底)、要么缺乏上报风险的动力或意愿(中招了会被通报或强制学习,而上报了并不会得到认可或奖励)、要么对钓鱼演练持有负面情绪(安全团队又开始玩“猫捉老鼠”的游戏了)、要么安全责任心不足或缺乏联防联控意识(不采取任何行动,只要自己不中招就行)。当下一次精心策划的真实钓鱼攻击发生时,这部分之前被视为低风险的员工很可能会拖后腿,无法发挥保护组织数字资产的预期作用,也预示着更高的数据泄露风险。
传统的以“中招率”为核心指标的钓鱼演练,仅仅揭示了高风险群体的“冰山一角”,而对组织中的潜在未知风险缺乏可见性,并不能有效地衡量组织整体的反钓鱼能力。另外,过分依赖或追求低“中招率”可能会走入“错误安全感”的误区,低“中招率”并不意味着组织在面临真实钓鱼攻击时可以高枕无忧。实际上,演练“中招率”的高低取决于很多因素。例如:钓鱼模板的识别难度等级、钓鱼模板的个性化程度、钓鱼策略的多样性(长期使用一种钓鱼策略会让员工麻木)、钓鱼演练的时机与频率、钓鱼演练中情绪操控的复杂性、员工收到邮件时的工作量和压力水平、员工现有的反钓鱼意识水平和对钓鱼策略的熟悉程度等等都会影响“中招率”结果。在一些企业钓鱼演练实践中,很容易出现人为捏造低“中招率”的假象。为了向上级领导展示更低的“中招率”和更好的培训效果,就在演练中发送更简单的钓鱼模板,即使是没有参加过钓鱼培训的新员工也可以很容易地识别出来。或是在同一时间向全体员工发送相同的钓鱼模板,钓鱼演练的消息可能很快就会在公司内传开,这些消息也会人为地降低“中招率”。
被忽视的“停留时长”指标
“停留时长”是指从钓鱼模拟邮件或真实钓鱼邮件到达收件箱后员工发现并上报风险的时间间隔,这是一个衡量钓鱼响应速度的关键指标。“停留时长”直接影响网络攻击者的机会之窗,较长的停留时间增加了成功入侵的可能性,为攻击者提供了更多时间来利用漏洞。“天下武功,唯快不破”,网络攻防是一场与时间赛跑的较量。对于防御方来说,速度(减少停留时长)可以最大限度地降低风险和减少损失。特别是随着大规模“AI+钓鱼”攻击的兴起,员工报告钓鱼攻击的速度有助于安全团队第一时间遏制与处置钓鱼攻击事件。
“停留时长”是一个长期以来很少受到关注的指标,也很少有钓鱼演练平台能够反映这一指标。“停留时长”数据对于评估员工对钓鱼攻击的脆弱性是非常宝贵的。员工识别钓鱼邮件的时间越长,对组织安全的风险就越大。更短的停留时长表明员工的安全意识增强,对潜在钓鱼威胁的反应能力更强,从而减少了组织的整体风险暴露。钓鱼攻击企图越快被发现,对组织可能造成的损失就越小。缩短威胁停留时长,提升平均威胁响应时间对于安全运营工作意义重大。据IBM《数据泄露成本报告》显示,2024年全球数据泄露的平均成本为488万美元,其中成本包括运营中断损失、修复与恢复费用、法律费用、监管罚款和声誉损害等等。该调查还发现,缺乏安全素养的员工与训练有素的员工是最大的成本放大因素和成本缓解因素:每起数据泄露造成140万美元的差异,员工安全行为的速度和技巧可以为公司节省上百万美元。
钓鱼演练“停留时长”在安全意识计划中也扮演着重要的角色,它提供了员工识别和应对潜在威胁的可测量数据。这一指标是当前安全意识培训和员工安全认识水平有效性的关键指标。通过衡量停留时长,组织可以:
-
评估威胁就绪程度:通过观察员工的反应时间来确定他们对处理钓鱼攻击的准备程度。
-
差异化安全意识培训:根据组织内不同群体的反应时间,定制安全意识培训以满足特定需求。
-
促进组织安全文化:使用停留时长数据来强调警惕和快速反应的重要性,加强每个员工在维护组织安全方面的作用。
欲掌握更多钓鱼演练策略及度量指标有关的实用技能,欢迎参加2025年首期网络安全文化“特训营”,课程内容及开课时间详见公众号文章:网络安全文化“特训营”全新启航:助您实现质的飞跃
讲师介绍:Hardy一名“终身”安全意识与文化布道者,企业学员累计超300万+
-
超安全文化研究院-院长
-
注册信息安全意识官(CSAO)认证-核心开发者
-
中国网络空间安全人才教育论坛-网安意识工作组副组长
-
原某世界500强前30集团公司-网络安全意识与文化负责人
原文始发于微信公众号(超安全):钓鱼演练最容易被忽视的2个度量指标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论