根据最近的威瑞森数据泄露报告在美国,钓鱼邮件通常是攻击的第一阶段。这是因为它运行得很好,30%的钓鱼信息被打开,但只有3%上报给了管理层。
但是,当员工在如何识别钓鱼邮件,然后得到的培训用假的钓鱼邮件,谁的牺牲品每一轮下降的百分比进行测试。
当然,不可能达到零响应率。罪犯们在传递信息方面变得非常聪明。幸运的是,这是不必要的。如果有足够多的员工将钓鱼邮件转发给安全部门,那么公司就会意识到自己成为了攻击的目标,并做好准备应对那些悄悄溜走的信息。
反钓鱼工作小组
的反钓鱼工作小组提供各种资源,包括钓鱼教育登陆页面企业可以在与他们的反钓鱼活动结合使用。下面的一些厂商,包括Phishme和KnowBe4的,还提供免费的资源。
另一个免费的工具MSI简单的网络钓鱼从MicroSolved,它允许安全团队在其组织内部运行自己的钓鱼测试。
BetterCloud这家公司为基于云计算的办公应用程序提供安全和监控服务。当他们办公楼内的另一家公司因网络钓鱼诈骗而损失了200万美元时,他们开始担心网络钓鱼网络安全保险不支付费用。
“他们的业务受到了不小的打击,”该公司高级安全工程师奥斯汀惠普尔(Austin Whipple)说。“很难从中恢复过来。”
作为回应,BetterCloud在全公司范围内开展了培训,然后创建了自己的钓鱼电子邮件活动,看起来像是人力资源系统的通知,但实际上来自外部电子邮件地址。随后,他们接受了更多的教育。
“相比其他组织,或Verizon的报告中,我们干得相当不错,”他说。“但是,仍然有一些我们可以提高的地方。”
一旦经过一些时间,就会有另一个钓鱼测试,他补充说。员工前进可疑电子邮件对他个人,他补充说,这是明确表示,公司已经专门针对因为一些真正的钓鱼邮件包括将需要一些研究内幕信息。
根据惠普尔的说法,建立反钓鱼训练计划并不太难。
“任何一个技术人员都可以做这件事,”他说。“这不需要太多的设置。教育你的人民,做测试,然后再教育人民,做后续测试。”
PhishMe
PhishMe的钓鱼模拟该公司的培训和报告平台被全球800多家客户使用,其中包括《财富》(Fortune) 100强企业的近一半。该平台让数千名员工参与模拟,让他们具备检测和报告网络钓鱼威胁的条件。
PhishMe还提供了网络钓鱼事件响应平台,它能够自动并优先报道网络钓鱼电子邮件的更快的响应,并威胁情报服务,帮助威胁分析兽医他们看到对验证外部威胁的网络钓鱼活动。
通过将意识培训、简单的报告和适当的安全反应相结合,员工可以从公司最大的安全弱点变成第一道防线。
at的首席执行官Rohyt Belani说:“人类是对抗鱼叉式网络钓鱼最强大的防御层,组织需要利用人类所能提供的一切安全利益来保护自己免受这种顶级攻击。PhishMe。
PhishMe还提供了十几个免费的培训模块,在交互式PDF文件或SCORM兼容文件的形式,可以通过公司的学习管理系统中运行的。
PhishLabs
客户包括美国五大金融机构中的四家该公司在全球25大金融机构中占了7家,领先的社交媒体和求职网站,以及顶尖的医疗、零售、保险和科技公司。
“让模拟尽可能真实,”John LaCour建议,创始人和首席执行官PhishLabs。“如果你想让你的员工发现并报告真实世界的攻击,模拟需要反映他们最可能看到的真实世界的攻击。”
此外,一旦员工报告了这些攻击,公司就需要有相应的流程,以便他们能够在早期对有针对性的攻击做出反应,此时减轻这些攻击的成本最低。
“但如果这些报告只是排在求助台的队列里,那就不可能发生,”他补充道。
IronScales
该公司提供钓鱼模拟和游戏化培训对于员工的安全意识。
游戏化让培训变得有趣和互动IronScales。“人们厌倦了子弹和无聊的视频。”
他补充说,持续的评估可以在改变行为方面产生最大的影响。他建议至少每两个月进行一次测试。
[相关:安全意识培训的6个贴士]
根据从大约60家公司收集的数据,由于员工转发钓鱼邮件的频率比以前增加了200%,点击率会因此大大降低。
MEDIAPRO
MEDIAPRO提供培训和加固方案以及一个自适应钓鱼模拟器。客户包括微软、T-Mobile、Expedia、思科、甲骨文、波音、万豪、好市多等财富500强企业。
该公司董事总经理史蒂夫•康拉德表示,重要的是不要对员工反复测试相同类型的钓鱼信息MediaPro控股有限责任公司
“不是所有的钓鱼活动都是平等的,也不应该是平等的,”他说。他说:“你需要使用一种模型,发送复杂程度不同的钓鱼信息,这些信息会产生不同的结果。发送同样或类似的信息给你的终端用户会在钓鱼报告中显示出很好的效果——你的点击率会下降——但这不会实现你的商业目标。”
KnowBe4
凯文•米特尼克(Kevin Mitnick)担任首席黑客官的公司KnowBe4,并声称自己是安全意识培训最流行的集成平台和模拟测试的网络钓鱼,与成千上万的企业客户。
据at首席执行官斯图·斯朱沃曼(Stu Sjouwerman)表示KnowBe4在美国,钓鱼邮件被卷入了各种攻击,包括勒索软件和商业邮件的危害欺诈。
他说:“今年BEC和勒索软件的犯罪规模将达到每年10亿美元。”
KnowBe4还提供了免费网络钓鱼安全测试多达100名员工。该公司还拥有一个一次性免费邮件曝光检查它可以识别员工的电子邮件地址,并将其公开给公众。
袋熊
该公司声称拥有1000多家企业客户并提供自动化的网络钓鱼测试和培训模块。一个在这个领域最早的厂商,袋熊在2008年在卡内基 - 梅隆大学的前身研究出来。
该公司继续关注研究是有道理的,它定期发布关于钓鱼趋势和培训效果的研究报告。例如,袋熊与波耐蒙研究所(Ponemon Institute)合作确定,平均表现的程序可以带来37倍的投资回报,
根据公司首席执行官乔·费拉拉的说法袋熊安全技术,钓鱼费用平均10000名员工的企业每年$ 3百万 - 和一个成功的培训计划,可以减少员工下跌高达90%的网络钓鱼攻击的数量。
一个成功的关键程序,他说,是在他们失败的网络钓鱼测试员工自动发送到网络钓鱼的培训模块的权利。
他说,这是他们最有动力改进的地方。
激发了网络学习
本公司提供反钓鱼训练,模拟钓鱼攻击,每月通讯,海报,数字标牌和其他工作帮助提供建议的恒定流和最佳实践,为员工可以帮助保持安全顶级的头脑。
客户包括富兰克林邓普顿投资、荷兰国际集团、芝加哥商品交易所、塔塔、RedBox、ADP、Jhnson Controls、普利司通、美国农业部和ABB。
该公司表示,它在全球拥有超过五级百万的用户,并计划减少超过92%的网络钓鱼succeptibility。
它的PhishProof产品是一种完全管理的服务,由公司的专家团队设计和部署评估和培训,或者是一种带有在线软件的软件即服务模型,可以在几分钟内创建和部署评估。
Blackfin处理器
Blackfin处理器的安全,赛门铁克的一部分,提供网络钓鱼模拟和训练。感知培训可以与即时在线培训整合到钓鱼模拟评估中,或者用户可以根据自己的时间表安排后续培训。
此外,还有关于社会工程、恶意软件、物理安全、使用公共WiFi网络等一般安全话题的培训模块。
这与赛门铁克自己的培训计划不同,后者的重点是帮助企业安全专业人员安装和维护赛门铁克产品。
PhishLine
服用抗网络钓鱼检测一步,PhishLine靶向更广泛的社会工程攻击,包括短信,电话甚至是“意外跌落” USB记忆棒。
今年早些时候,PhishLine推出第三方计算机为基础的培训材料,包括数以百计的钓鱼模板,自定义目标网页,风险评估调查和多语种的安全培训内容的市场。
除了训练和模拟,该公司还提供测量工具,使得公司可以跟踪他们的计划的成功。一个测量,例如,其可用于游戏化,是基于风险的得分。企业可以设立在那里的训练成绩可以相比,员工个人,部门或其他团体,或以内部或外部基准定制仪表板。
信息安全研究所
这家公司最出名的在人的企业安全培训,新兵训练营,和认证计划。
但他们也提供交互式的在线安全培训模块。他们的SecurityIQ该产品在一个基于云的服务中结合了基于计算机的安全意识培训和钓鱼模拟器。公司可以设置自动活动,向员工发送钓鱼测试,或者报名并提醒学员进行安全意识培训。
尽管可以在内部建立反钓鱼训练和测试程序,供应商,如资讯安全研究所提供上面列出了一些显著的优势,以企业的人。
“很多时候,组织并没有准备好在内部提供良好的教育,”Mike Spanbauer说,他是at的安全测试和咨询副总裁NSS实验室。
具体是谁专注于网络钓鱼厂商都在钓鱼邮件了解新趋势,可以将策略迅速进入他们的培训计划和反钓鱼仿真模板。
这篇文章,“10家公司可以帮助你对抗网络钓鱼”最初发表于方案 。