是時(shí)候以更積極的態(tài)度重新構(gòu)想員工培訓(xùn)了，畢竟電子郵件安全問(wèn)題基本就是人的問(wèn)題。

SANS研究所的調(diào)查顯示，近3/4的網(wǎng)絡(luò)釣魚(yú)、惡意軟件和勒索軟件攻擊都是通過(guò)電子郵件登堂入室的。

很多網(wǎng)絡(luò)釣魚(yú)都是利用看起來(lái)合法的郵件誘騙受害者點(diǎn)擊惡意鏈接或打開(kāi)附附件，從而往受害者系統(tǒng)中植入惡意軟件，為攻擊者盜取機(jī)密信息或徹底搞癱受害者的網(wǎng)絡(luò)。

另外還有攻擊者會(huì)黑掉電子郵件賬戶并冒充該賬戶擁有者向處在關(guān)鍵位置的員工發(fā)出指令，指示其共享敏感數(shù)據(jù)或往指定銀行賬戶轉(zhuǎn)賬匯款。

威瑞森《2018數(shù)據(jù)泄露調(diào)查報(bào)告》揭示，公司企業(yè)因社會(huì)工程攻擊而發(fā)生數(shù)據(jù)泄露的可能性是因存在網(wǎng)絡(luò)漏洞的3倍。

數(shù)據(jù)防泄露已經(jīng)成為當(dāng)前業(yè)內(nèi)面臨的極為重要的問(wèn)題。

美國(guó)中期選舉日漸臨近，整個(gè)美國(guó)的競(jìng)選工作人員及選舉官員都得警惕防范此類攻擊。

但電子郵件黑客攻擊威脅不是一過(guò)性的東西，每個(gè)政府機(jī)構(gòu)每天都要面對(duì)這一威脅。

在一月份的武裝部隊(duì)通信和電子協(xié)會(huì)會(huì)議上，美國(guó)國(guó)防信息系統(tǒng)局執(zhí)行主任 David Bennett 稱，國(guó)防部電子郵件收件箱中每年都會(huì)涌入130億封有問(wèn)題的郵件，而且是未經(jīng)任何自動(dòng)化掃描和檢測(cè)就躺到了郵箱里。

其他政府機(jī)構(gòu)也大多注意到了電子郵件威脅，部署了電子郵件安全產(chǎn)品以保護(hù)自身。

但即便技術(shù)防護(hù)有所增強(qiáng)，一個(gè)巨大的弱點(diǎn)依然存在：人類本身。

威瑞森的調(diào)查顯示，在網(wǎng)絡(luò)安全意識(shí)逐年上升的幫助下，如今78%的人不會(huì)去點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)鏈接了。

不過(guò)，還有4%可能毫無(wú)戒心地點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)鏈接或打開(kāi)惡意附件。

由于罪犯僅需騙到一個(gè)受害者就能滲透整個(gè)網(wǎng)絡(luò)，4%這個(gè)數(shù)字還是太高了，令員工行為成為了電子郵件安全的首要風(fēng)險(xiǎn)。

Barracuda 與 Dimensional Research 對(duì)全球630位電子郵件安全專業(yè)人員做了調(diào)查，結(jié)果顯示不良員工行為比企業(yè)是否設(shè)置了正確的防御工具更令人擔(dān)憂。

在調(diào)查中，84%的受訪者將不良員工行為列為首要問(wèn)題，工具不足僅占16%。

雖然電子郵件依然是惡意軟件被投送到公司企業(yè)內(nèi)部的主要途徑，但Slack這樣的協(xié)作平臺(tái)或 Google Drive 這種文件共享服務(wù)似乎正逐漸成為攻擊者利用的對(duì)象，引起越來(lái)越多的關(guān)注。

而且，盡管大家都認(rèn)為員工安全意識(shí)培訓(xùn)很重要，卻只有77%的受訪者稱自家公司設(shè)置有培訓(xùn)項(xiàng)目。

這種現(xiàn)象很不正常，是時(shí)候以更積極的方法重新構(gòu)想員工培訓(xùn)了，必須將電子郵件安全主要作為人的問(wèn)題而不是技術(shù)問(wèn)題來(lái)對(duì)待。

以下4種方法可供參考。

1. 高度個(gè)性化當(dāng)前很多公司企業(yè)里的電子郵件安全培訓(xùn)項(xiàng)目往往內(nèi)容寬泛且流于形式，通常都是由人力資源部門安排的非常教條的通用在線課程。

但實(shí)際上，安全培訓(xùn)項(xiàng)目應(yīng)該是根據(jù)每個(gè)員工的角色來(lái)定制的，其內(nèi)容必須符合該員工負(fù)責(zé)的業(yè)務(wù)領(lǐng)域。

舉個(gè)例子，負(fù)責(zé)財(cái)務(wù)的人員往往就是網(wǎng)絡(luò)釣魚(yú)詐騙的目標(biāo)對(duì)象，黑客可能會(huì)偽裝成合法人員要求他們進(jìn)行轉(zhuǎn)賬匯款。

對(duì)這種位置上的員工進(jìn)行培訓(xùn)，就應(yīng)該特別注重解決此類威脅。

安全培訓(xùn)項(xiàng)目中多一點(diǎn)個(gè)性化，對(duì)教育每一位員工都有很大好處。

2. 有大棒，也要有胡蘿卜電子郵件安全項(xiàng)目太容易搞成對(duì)淪為電子郵件欺詐受害者的的懲罰或羞辱，對(duì)良好行為表現(xiàn)卻沒(méi)有任何獎(jiǎng)勵(lì)。

但實(shí)際上，主動(dòng)向IT部門報(bào)告了可疑郵件的員工，文件加密軟件是應(yīng)該受到某種形式的承認(rèn)的，比如說(shuō)，向全體員工推送表?yè)P(yáng)備忘，或者直接給予禮品卡之類的物質(zhì)獎(jiǎng)勵(lì)。

電子郵件安全項(xiàng)目應(yīng)設(shè)法承認(rèn)這些沒(méi)有點(diǎn)擊惡意鏈接的人。

正向反饋是非常有效的。

3. 超越課堂式培訓(xùn)更好的戰(zhàn)術(shù)應(yīng)超越常規(guī)的課堂式教學(xué)(無(wú)論是教室上課還是網(wǎng)絡(luò)上課)。

利用現(xiàn)實(shí)世界場(chǎng)景的實(shí)質(zhì)性培訓(xùn)才是更有力的工具。

紅隊(duì)測(cè)試就是個(gè)好方法，公司企業(yè)可以安排白帽子專家黑進(jìn)網(wǎng)絡(luò)，模擬一場(chǎng)攻擊，來(lái)個(gè)攻防演習(xí)。

還可以利用大家都熟悉的高管賬號(hào)模擬賬號(hào)被黑攻擊，評(píng)估員工會(huì)如何響應(yīng)被黑賬號(hào)發(fā)來(lái)的請(qǐng)求。

這種切身體驗(yàn)式的方法可幫助公司企業(yè)及其員工更加了解自身抵御電子郵件攻擊的能力，效果比坐在教室里聽(tīng)老師講課要好得多。

4. 更多責(zé)任電子郵件安全培訓(xùn)項(xiàng)目的結(jié)果不應(yīng)該只是人力資源和安全團(tuán)隊(duì)的職責(zé)范圍，部門領(lǐng)導(dǎo)或辦公室主管都應(yīng)負(fù)有責(zé)任。

這么做可以在公司范圍內(nèi)慢慢澆鑄一種“電子郵件安全人人有責(zé)”的氛圍，也可有力支撐安全培訓(xùn)項(xiàng)目應(yīng)針對(duì)各個(gè)業(yè)務(wù)領(lǐng)域個(gè)性化定制的概念。

遵循了以上4步，政府機(jī)構(gòu)和公司企業(yè)便能更好地迎戰(zhàn)電子郵件安全威脅。