一位谷歌安全大亨已经受够了联邦授权的网络钓鱼测试,他说这些测试让同事们恨IT团队,却没有额外的好处.
马特·林顿领导着谷歌的安全响应和事件管理部门.
他的任务是每年推出钓鱼演习,他认为测试应该被相当于消防演习的网络安全测试所取代.
如今的钓鱼测试更像是早期的消防演习,更像是火灾疏散演习--在没有任何警告的情况下突然出现在建筑物的居民身上,后来又将失败归咎于他们个人.
自那以后,建筑物安装了更多的安全功能.
林顿列举了更宽的门及其推杆出口设计,以及消防喷头作为改善建筑消防安全的创新的例子.
这些措施都不是为了改善居民个人对演习的反应,但他们一起提高了存活率,现在消防演习得到了更好的规划,宣布了更好的程序.
读者们,你可能知道他在做什么.
这些早期的火灾测试与现代网络钓鱼演习之间的相似之处显而易见--在这两种情况下,责任更多地落在个人身上,而不是他们周围的基础设施上.
尽管安全产品和电子邮件客户端中加入了反网络钓鱼控制,但研究指出,网络钓鱼攻击正在增加.
Zscaler最新的年度钓鱼报告发现,在过去的12个月里,钓鱼增加了58%,网络罪犯对人工智能的广泛采用推动了这一激增.
联邦风险与授权管理计划(FedRAMP)是促进网络安全标准的美国组织之一.
谷歌维护FedRAMP的合规性,并在一定程度上是通过遵循其指导方针运行钓鱼测试来做到这一点的.
谷歌仍声称,用户“是最后一道防线,应该接受测试”.
林顿认为,为员工提供钓鱼培训是有价值的,但要达到100%的成功率“很可能是一项不可能完成的任务”.
他在博客中写道,“钓鱼和社交工程不会作为攻击技术消失.
”“只要人类是容易犯错的社会生物,攻击者就有办法操纵人为因素.
”此外,“应对这两种风险的更有效方法是长期专注于安全的默认系统,并专注于对工程防御的投资,例如不可仿冒的凭据-如密钥-以及对整个生产系统中的敏感安全上下文实施多方批准.
我们被告知,正是因为对这样的架构防御进行了投资,谷歌近十年来从未认真担心过密码钓鱼.
林顿说,反对当前钓鱼测试的主要论点是,没有证据表明这些测试会减少成功的钓鱼活动的发生率.
一些测试,如FedRAMP要求的测试,要求组织减少或取消现有的控制,以最大限度地提高测试失败的感知影响.
这带来了一连串的问题,比如让测试对象对真正的风险产生了错误的感觉,以及在演习期间实施的允许列表没有被删除,从而使他们容易被攻击者滥用.
此外,事件响应人员和负责分类报告发送给威胁检测团队的人员的工作量也增加了,所有这些都让工作人员感到不必要的欺骗,林顿说,他并不是唯一一个这样做的人.
例如,英国国家公务员制度委员会的指导意见同意谷歌人提出的许多观点,称它们侵蚀了员工和安全团队之间的信任.
用户在网络钓鱼测试中点击链接的原因有很多.
特定个人的某些个性特征等因素可能会迫使他们点击链接,而包括发布测试时正在管理的特别有压力的工作负荷在内的情况变量可能会不利地扭曲结果.
员工应该相反地创建一种积极的网络安全文化,以便员工在报告网络钓鱼事件时感到放心,从这个意义上说,他们可以成为有价值的伯爵对于如何改进这些测试,林顿的想法可以追溯到消防演习演变成今天的样子.
与其用欺骗的方式进行测试,它们是一种测试的事实应该一目了然,就像公寓和写字楼在进行测试前每周都会在角落贴上海报一样.
他们应该指出一项测试,并将好处告知接受者.
与多年来办公室工作人员已经习惯的测试相比,林顿对可能的替代方案的想法有很大不同.
此外,NCSC表示,应该采取多层次的方法来减轻工作场所的网络钓鱼攻击.
林顿说:“教育员工有关正在进行的攻击警告安全团队仍然是一项有价值和必要的补充,以全面的安全态势.
”然而,没有必要把这件事变成对抗性的,我们不会通过‘抓住’人们在任务中的‘失败’而获得任何好处.
他说,“让我们停止从事同样失败的保护,跟随更成熟的行业的脚步,比如消防,它以前就面临过这些问题,并且已经采取了一种平衡的方法.”.