更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号
分类: 网络与安全
2022-08-30 14:26:41
在渗透测试中,常见的就是网络钓鱼了,网络钓鱼模拟也已经成为了网络安全培训机构的一个主流技术,大致方法就是安全人员制作且向员工发送电子邮件,内容涵盖一些诱饵信息,网络钓鱼有哪些注意事项呢?请看下文:
1)了解网络钓鱼测试的目的
网络钓鱼测试的目的,是为了能够对网络钓鱼电子邮件有一个基本的了解,并且让用户对他们发展的钓鱼活动充满信心,高效的网路钓鱼测试,不应该是降低点击率,而是提高报告率,现如今大部分的网络钓鱼模拟仍然在关注点击率,归根结底来说,正确进行网络钓鱼模拟,完全是为了了解组织环境并尊重它。
2)构建信任
组织需要对员工持开放心态,确保在运行模拟网络钓鱼活动时,会通知他们,并明确强调它是一种教育工具,如果没有建立信任,员工很快就会变得怨恨,应该逐渐向用户介绍网络钓鱼的概念,教他们注意什么以及如何应对。
3)正面引导、积极强化
正面的积极强化不仅在网络钓鱼测试的短期和长期有效性方面发挥着至关重要的作用,还可以对组织的测试方法是否被认为符合道德产生着重大影响。
4)将网络钓鱼测试失败转化为安全培训契机
一旦从测试过程中获得数据,后续行动与测试的计划和实施阶段一样重要,这时不仅应该关注用户,还应该关注更广泛的组织部门和人员从模拟结果中受益。
5)在正确时间使用正确的工具
需要特别注意网络钓鱼测试工具的最佳时机,网络钓鱼模拟只是一种工具,与所有工具一样,需要在正确的时间以正确的方式使用它们,为了确保员工不会对真正的危险一无所知,可以就网络犯罪分子可能使用的策略进行建设性的讨论,而无需在模拟中让员工直接接触这些主题。
