网络钓鱼,你要怎么防范
E-Phishing 是国内首个商用化的网络钓鱼仿真与意识教育平台,目的在于改变员工的风险行为,帮助员工提升对钓鱼邮件感知和认识。通过收集真实钓鱼邮件,创造仿真钓鱼情景,让员工定期亲身体验钓鱼实例。员工能够体验的“活跃威胁”包括勒索软件、商务邮件钓鱼、鱼叉式钓鱼、恶意程序和恶意附件、路过式攻击、高级会话钓鱼攻击等。企业在E-Phishing平台上可自行注册账户、管理员工,根据业务场景灵活配置钓鱼邮件进行发送测试,平台会监测员工对钓鱼邮件的操作,并根据不同操作行为提供针对性学习课程,追踪数据分析、形成企业员工风险评估。
E-Phishing平台弥补了目前国内市场上网络钓鱼识别与防范的空白,具有重要的实际应用和市场开发价值(科技查新报告 2018IC0717296)。E-Phishing 提供公网、内网、专用设备等多种服务方式,严格遵循流程制度并通过ISO27001认证。
01
平台可批量导入目标员工邮箱列表,可为员工打上集团、公司、部门、岗位、职级等等多个标识信息进行分类,在后期统计报表中,可根据以上标识进行多维度分析,全面评估企业风险。
【图】员工列表
02
首次使用E-Phishing实施钓鱼演练,需要按照平台上“使用教程”配置邮件服务器IP白名单,保障测试邮件能100%达到目标员工邮箱。
【图】使用教程
配置完成,通过简单的三步执行,即可快速开始一次钓鱼演练。
Step1:根据类型、场景标签选择钓鱼模板;
【图】Step1:选择模板
Step2:设置本次钓鱼演练基本信息,各项信息结合企业业务自定义。并选择本次要发送的目标邮箱;
【图】Step2:基本设置
Step3:本次钓鱼演练设置信息确认无误,直接点击“确认”进行实施;
【图】Step3:确认实施
03
【图】单次演练仪表板
全局仪表板:针对历次钓鱼演练数据的全局分析,包含:风险指针、风险操作统计、多次“中招”人员统计、多次演练“中招”趋势、不同钓鱼场景的“中招”统计、以及部门下钻统计。
【图】全局仪表板
04
【图】“中招”后提示及引导学习页面
【图】专题学习模块
05
【图】分析报告示例
PART 1/产品亮点
内置的可编辑化模板
超过 50 个热点主题的钓鱼邮件模板可供选用,且可对选择的模板邮件内容进行自定义编辑。若现有模板库仍满足不了企业需求,还可提供定制化模板开发。
【图】钓鱼邮件模板库
【图】邮件内容编辑
PART 2/快速启动钓鱼演练
E-Phishing提供SaaS服务,通过简单三步执行即可快速开始一次演练。为确保成功投递钓鱼邮件,只需将E-Phishing发件服务器IP和演练中使用的发件地址加入企业白名单,然后通过Excel 文件轻松导入目标员工名单,即可发出第一个测试。
【图】快速演练配置
PART 3/灵活的邮件发送机制
平台提供:随机抽取发送、按照组合抽取发送、指定组合抽取发送3中机制,可自定义抽取比例及选择模板,全面满足企业的发送机制需求。
【图】发送机制配置
PART 4/配合主题的专题学习
可根据人员的“中招”情况及岗位、职级,推送针对性的学习内容,加强邮件安全方面的知识掌握。通过此种学习方式,推动企业强制性合规教育。
【图】“邮件安全”主题知识库
PART 5/多维度数据采集
不仅钓鱼邮件模板自身被定义了相关威胁类型以及攻击类型属性,对于参与模拟演练的人员也被赋予了一定的属性,E-Phishing对以下数据进行了采集来为企业提供有效全面的评估:
参与演练人员阅读钓鱼邮件的时间戳;
参与演练人员操作动态:阅读、点击、输入、下载、扫描等;
参与人员进行学习的时间长度;
参与人员的IP热区;
参与人员所使用设备/浏览器的种类;
PART 6/全方位的仪表板监测
通过仪表板结果了解企业的安全现状。E-Phishing仪表板提供关于员工易受攻击性的演练结果概览,用实时数据衡量整个企业组织的整体风险等级,包括:
年度演练概览:企业总体统计及部门下钻统计;
参与演练人员分布热区;
演练类型统计及待执行的演练状态;
测试人员风险行为统计分析;
反复“中招”人员统计;
多次演练结果对比分析;
解决痛点
1、员工对钓鱼邮件防范意识不足
频发的APT攻击事件告诉我们,员工是企业安全最薄弱的环节。大部分企业员工甚至不知道什么是钓鱼邮件,若不幸“中招”会导致企业陷入巨大风险之中。
2、传统的内容学习方式效果有限
讲师授课、张贴海报、学习考试等传统教育方法,耗费企业大量人力组织,员工参与度却不高、培训效果也不明显,企业投入产出比很低。
3、缺乏对员工角色的针对性教学
鱼叉攻击针对员工不同角色设计不同的社会工程技术,有效地将钓鱼消息和钓鱼网站做得个性化,更易于骗取信任。即便是企业的高层管理人员也有可能被欺骗。
服务特色
E-Phishing提供3种服务方式:公网服务、内网部署、工控机租赁。
1、公网服务
E-Phishing提供公网SaaS云服务,企业可自行注册账号开展模拟钓鱼攻击教育。开展方式便捷、实施周期短、成本低。
2、内网部署
由企业提供资源支持,把E-Phishing平台部署至企业内部服务器中。钓鱼演练全程均在企业内部环境完成,所有数据不会曝露在公网,保障人员信息的隐私性及数据安全性,符合管理要求。
3、工控机租赁
企业无需提供任何资源设备,主要租赁一台已部署好E-Phishing平台的工控机,直接连接企业内部网络即可实施钓鱼模拟攻击培训。
市场价值
竞争优势
E-Phishing与竞争者产品相比,具有明显优势:
定制化服务:可结合企业行为习惯及业务定制化模板场景及教学内容,针对性强,内容合规,教育效果最佳。
本地化服务:系统可根据企业实际情况环境,部署至企业内网进行钓鱼演练,所有数据都存储在企业内部环境,保障数据隐私性,符合企业管理规范;
一体化服务:平台提供先对企业邮箱进行穿透检测,帮助企业完善邮箱加固。在针对性实施钓鱼仿真测试,及对“中招”人员推送应对意识教育内容学习。
应用场景
1、企业邮件网关安全检测
通过模拟上百种钓鱼邮件发送方式,测试企业邮件网关对钓鱼邮件的识别能力,从而帮助企业提升邮件检测能力、完善邮件过滤机制,首先降低钓鱼邮件到达员工收件箱的几率。
2、企业模拟钓鱼邮件测试
持续更新钓鱼邮件模板,精心选择钓鱼目标,模拟多样化的钓鱼场景,发现企业存在的安全脆弱点,以及在员工安全意识及防范中存在的问题,直观展示工业互联网安全威胁。
3、员工邮件安全课程学习
提供钓鱼邮件识别与防范技巧的系列课程,强化员工对钓鱼邮件的识别能力,谨慎处理日常邮件。
4、基于模拟钓鱼的应急演练
基于模拟钓鱼攻击,检测企业普通员工及安全运维团队在遇到突发APT攻击事件时,是否能遵循企业突发事件应急响应规范及时采取措施。满足企业合规,提升企业应对网络与信息安全突发事件的管理能力。
服务案例
E-Phishing网络钓鱼仿真与意识教育平台投入市场推广运营,目前已为能源、金融、银行、电商、公用事业、工业制造等100+关键信息基础建设单位提供持续性模拟钓鱼测试教育服务,累计受众200多万名员工。主要客户类型如下:
(1)合规要求:在强监管要求下,机构重视员工安全教育工作,逐步建立企业安全合规文化。典型用户包括:交易所、券商、商业银行、保险公司、金融消费企业等。
(2)业务保障:面向全国范围内的数万员工开展风险驱动的个性化教育内容推送,及时针对员工的高风险行为进行教育,通过积分绩效评价驱动员工安全行为。典型用户包括:金融科技、汽车科技、先进制造、互联网等行业单位。
(3)风险教育:大型企业集团为加强员工对安全风险的认识,提升社工欺诈识别能力,落实安全管控要求。典型用户包括:运营商、能源、央企、公共服务等关键信息基础设施单位。
(4)数据保护:大数据企业针对使用与接触关键数据的员工与合作伙伴进行必要的学习与测试,作为使用企业数据的前置要求。典型用户包括:医疗健康、人工智能、新能源、新零售等大数据应用领域。
案例说明:
1、某知名电商
该电商安全部为加强集团9万多员工对社工欺诈识别能力,全年度持续开展基于钓鱼仿真的员工安全意识培训活动,采用E-Phishing平台针对员工的部门发送不同主题场景的钓鱼邮件,嵌入应对主题的学习课件和测试题目,员工钓鱼邮件识别率整体提升80%。
2、某高科技制造企业
在一个季度内对10631位员工开展了3次钓鱼邮件测试服务,发送第一次钓鱼邮件“中招”率达59%。基于超高的“中招”率,当月内立即组织全员进行集中的视频学习。发送第二次钓鱼邮件依然有21%的员工“中招”,继续对全员进行针对性的知识竞答。发送第三次钓鱼邮件时被钓鱼员工整体低于2%,收到较好的教育效果。企业的整体“中招”率从59%下降到2%。
3、某著名物流企业
起因为核心部门员工遭受到一次钓鱼邮件攻击,造成了一些损失,之后非常关注员工对网络攻击的防范意识。即采用E-Phishing平台先对内部邮箱网关进行安全检测,协助加固网关的安全性。在针对核心部门500多名员工以季度形式开展针对性钓鱼邮件测试及专题课程学习,员工钓鱼邮件识别率整体提升50%。