译文 | 如何道德且有效地进行钓鱼测试？

网络钓鱼模拟——或网络钓鱼测试——已经成为各种规模组织的网络安全培训项目的一个流行特征。人们可以看到它的吸引力:网络钓鱼测试允许安全人员精心设计并向全体员工发送电子邮件，这些邮件被设计得像真正的恶意网络钓鱼邮件一样真实和诱人，而真正的恶意网络钓鱼邮件经常对企业进行轰炸。这些典型的诱惑包括错过交货通知、发票付款请求和名人八卦。

在安全团队的控制下，对这些电子邮件的回复可以被量化并（至少在一定程度上）用于确定组织内员工的一般安全意识。有多少附件被打开或链接被跟踪?有多少邮件被标记为可疑或完全被忽略?与其他诱饵相比，哪个诱饵被证明是最具影响力的?是否某些部门或用户更有可能成为受害者?这些数据可以帮助安全部门更好地进行网络安全意识培训和教育，并识别出需要解决的潜在弱点。

然而，一些引人注目的事件也引发了围绕网络钓鱼测试实践关键要素的重要道德问题。近日，英国西米德兰兹郡的一家铁路公司因其对员工进行的钓鱼准备测试中使用的主题而引起了争议。

在一封看似来自西米德兰兹火车公司(WMT)财务和工资部门的电子邮件中，员工被告知将获得奖金，以感谢他们在COVID-19大流行期间所做的努力。收件人被鼓励点击微软Office 365的链接，该链接会指向“来自WMT总经理朱利安·爱德华兹的个人信息”。实际上，这个链接指向一个Sharepoint网站，其中包含一个由微软建立的模拟钓鱼演习，点击的人会收到一封来自微软人力资源团队的电子邮件，建议他们注意要求员工登录凭证的通信。不用说，没有奖金可拿。

承诺支付一笔钱是网络罪犯用来欺骗受害者的常见而有效的策略。但在网络钓鱼测试中使用这种策略引发了一些问题:什么是公平游戏，什么不是公平游戏，以及如何确保道德界限不被跨越。除此之外，应该采取什么措施来确保钓鱼测试仍然是对各方有用、有效和有益的网络安全培训和教育活动，而不是弊大于利?

Cygenta的联合首席执行官和联合创始人、社会技术负责人Jessica Barker博士告诉CSO Online说:“当涉及到网络钓鱼测试场景时，组织应该在道德界限内运作，因为网络钓鱼模拟做得太过分可能会造成伤害。”“利用奖金和医疗保健等高度情绪化的诱饵——特别是在COVID -19疫情的背景下——与接受者的情绪健康玩游戏，这反过来会损害工作场所的心理安全、信任和文化。”

Barker补充说，这只会破坏整个网络安全团队的努力，疏远他们想要接触的那些人。“人们通常不喜欢被欺骗，他们通常不相信欺骗他们的人。我经常听到的一个反对意见是，罪犯在钓鱼中使用情感诱饵，那么我们为什么不应该呢?罪犯也会对财产造成物理破坏，使系统下线，扰乱服务，但物理社会工程师和测试员不会这样做，这是有充分理由的。模拟不应该造成主动伤害。”

网络安全公司(CybSafe)的行为科学主管John Blythe博士也认为，企业确实应该仔细选择电子邮件模板，避免那些可能会给员工带来不快的话题。

DigitalXRAID首席执行官 Rick Jones 指出：“甚至像REvil这样的犯罪团伙也在推行某些标准，因为他们现在禁止人们使用其SaaS勒索软件针对政府、公共、医疗保健或教育机构。” DarkSide最近还表示，它无意通过殖民管道攻击造成政治、经济或社会混乱，而是以纯粹的经济收益为目的来开展活动。进行网络钓鱼模拟的人与进行真实活动的犯罪团伙具有相同的技能，但他们有必须遵守的标准和道德规范。

以下是确保更好的网络钓鱼测试的5个注意事项。

Barker 解释说，在准备既合乎道德又富有成效的网络钓鱼模拟时，关键的出发点是理解网络钓鱼测试的目标。“在钓鱼模拟的设计阶段，我建议的关键是考虑你为什么要计划测试。如果你认为网络钓鱼模拟是一种“gotcha”练习，我建议你退后一步并反思一下，因为那不是训练，那是一种技巧。如果你认为测试是训练，你想训练什么行为?”

组织必须明白，测试场景的目的是建立对网络钓鱼电子邮件外观的基本了解，并让用户对他们发现可疑迹象的能力充满信心，Jones补充道。

对于更有效的网络钓鱼测试，重点不应放在降低点击率上，而应在提高报告率上。

—— Jessica Barker博士

“太多的网络钓鱼模拟仍然关注点击率，” Barker继续说道。“人们总是会点击链接，尤其是在精心设计的网络钓鱼中。对于更有效的网络钓鱼测试，重点不应放在降低点击率上，而应在提高报告率上。归根结底，要正确地进行网络钓鱼模拟，就必须理解并尊重组织环境。”

Blythe认为，网络钓鱼测试的下一个关键因素是透明度。“组织需要对员工开放，确保他们在进行模拟网络钓鱼活动时告知员工，并明确强调这是一种教育工具。如果不能建立信任，员工很快就会变得愤愤不平，觉得自己被监视，或者等着被发现。”

这种透明的方法也吸引了Jones。“应该逐渐向用户介绍网络钓鱼的概念，教他们注意什么以及如何应对，”他认为。“在这个过程中形成的交流文化才是你应该寻找的。”

正面强化不仅在网络钓鱼测试的短期和长期有效性方面发挥着至关重要的作用，它还可以对组织的方法是否被认为符合道德产生重大影响。

例如，不要责备或惩罚那些没有通过网络钓鱼测试的员工——这会产生消极、轻视和幻灭的感觉——而是把更多的注意力放在公开庆祝你想要鼓励的反应和行为上。“这种积极的增强作用更具影响力；它借鉴了社会认同的原则，可以更有效地吸引人们，”Barker说。

DarkTower 的情报总监 Gary Warner 引用了他担任 IT 主管时的一个例子，推荐了一种类似的“胡萝卜不是大棒”方法来模拟网络钓鱼。“我告诉我的老板，我可以花 100 美元改善可疑电子邮件的报告。我拿了我们收到的最新报告并对其进行了全面分析。然后我在全公司范围内发了一封电子邮件，内容如下：

‘服务中心的Joe收到了一封看起来像这样的可疑邮件(插入截图)。乔知道该怎么办!他将邮件转发到了[email protected]。如果乔点击了这个链接，它就会用XYZ病毒感染他的电脑，并开始从我们的网络窃取数据并将其发送到俄罗斯!为了感谢乔对公司的关照，我们派他去餐馆吃双人牛排晚餐。谢谢你保护公司，乔!你看到可疑的电子邮件了吗?请转发到[email protected]!你可能会把公司从毁灭性的网络攻击中拯救出来，并为自己赢得奖品！’

之后报告率上升了大约 1000%，我每个月要花100美元来参加我们的颁奖晚宴。”

虽然该示例中使用的诱饵 Garner 可以与 WMT 的网络钓鱼测试工作中使用的诱饵相提并论，但整体方法差异很大，因为它传达清晰、信息丰富，并且没有高度情绪化的“立即点击”类型的语言。这是一个很好的例子，说明如何使用正强化来鼓励用户在成功的基础上再接再厉，并将良好的安全行为作为一种习惯。

一旦从测试过程中获得数据，后续行动与测试的规划和执行阶段同样重要。不仅应该关注用户，还应该关注更广泛的组织如何从模拟的结果中获益。

“这是陈词滥调，但数据是网络安全中的王者，”Jones说。“从安全日志或设备的技术数据到用户的信息，一切都提供了重要的知识。员工是企业的第一道防线，因此决策者必须意识到他们所带来的风险，尤其是成功的网络钓鱼攻击可以让恶意软件绕过现有的所有其他安全工具。” 但是，在与模拟失败的人接触时，安全教育和鼓励必须胜过责备。

Blythe解释说：“当人们真的点击了模拟的网络钓鱼邮件时，他们应该会收到及时、有用的反馈。”这种反馈应该是简短而吸引人的，而不是为了得到最好的结果而进行冗长的强制性培训或惩罚。“总的来说，我们应对人类网络风险的方法需要更多地利用同理心，”他补充道。“从长远来看，与指责和轻视那些屈服于模拟攻击的员工相比，一种寻求帮助和授权员工改变行为的更加理解的方法更有可能取得成功。”

Jones补充说，在与英国信息专员办公室等管理机构进行沟通时，也可以使用来自网络钓鱼模拟的数据。“这使企业能够证明他们意识到他们的内部威胁，并且他们正在采取措施减少它。揭示员工对组织构成的威胁程度并提供通过鼓励和沟通推动积极变革的证据是一个关键的结果。

一个组织必须探索的最后一个重要问题是，网络钓鱼测试是否在任何给定的时间都是正确的。“在某些情况下，运行网络钓鱼模拟根本没有帮助，例如当已经存在网络安全方面的恐惧文化时，”Barker建议道。“网络钓鱼模拟只是一种工具，与所有工具一样，需要在正确的时间以正确的方式使用它们。”

Jones说，其中一个方面可能包括使用淡化的网络钓鱼测试，作为对真正的网络罪犯在攻击中使用的更令人苦恼的策略的温和介绍。“为了确保员工不会对真正的危险一无所知，我们有可能就网络罪犯可能使用的策略进行建设性讨论，而不让员工在模拟中接触这些话题。”

Blythe 表示，无论如何，模拟网络钓鱼只是整个战略的一部分，这是很重要的，该战略旨在长期建立员工良好的安全行为。“同样值得注意的是，如果最终目标是减少成为网络钓鱼攻击受害者的员工数量，还有其他安全行为需要解决。”

最终，如果网络钓鱼检测的目标是使用任何必要的方法来欺骗用户点击，这样他们可以发送敦促他们做得更好，不仅将最有可能失败的教育用户网络钓鱼攻击的风险，而且还会让他们远离网络、失去动力，甚至可能受到情感影响。相反，如果采取的方法是合乎伦理的、具有同理心的，符合组织文化的方法，并得到积极的强化和建设性的互动的支持，这教导了员工电子邮件攻击所带来的真正威胁，并鼓励员工在一段时间内采取更安全的行为。最终，网络钓鱼测试就可以成为推动企业提高安全意识的一个有用工具。