互联网高速发展的今天,企业及其系统与外部网络的联系逐渐增多,这不仅扩大了系统被攻击的可能,对企业信息安全来说也带来更多的网络安全威胁,其中钓鱼邮件是目前主流的攻击手段,一个精心准备的钓鱼邮件不仅可能带来企业机密信息泄露的风险,而且可能会携带恶意程序,恶意程序通过渗透对企业内部的网络发起跳板攻击,这是目前互联网最主要的外部风险。根据卡巴斯基发布的2018年网络安全报告表明,垃圾或钓鱼邮件占全球总邮件流量的52.48%。钓鱼邮件的风险主要来自于员工安全意识教育缺乏,有统计表明95%的网络攻击事件是由于员工安全意识淡薄引起。因此提升企业员工对安全风险的识别能力、处置能力,让每个员工自觉成为企业网络安全的守护者,实现对网络安全风险早预防、早处置,避免或减少企业损失,是企业提高网络安全防御能力最有效的手段!
E-Phishing 是国内首个商用化的网络钓鱼仿真与意识教育平台,目的在于改变员工的风险行为,帮助员工提升对钓鱼邮件感知和认识。通过收集真实钓鱼邮件,创造仿真钓鱼情景,让员工定期亲身体验钓鱼实例。员工能够体验的“活跃威胁”包括勒索软件、商务邮件钓鱼、鱼叉式钓鱼、恶意程序和恶意附件、路过式攻击、高级会话钓鱼攻击等。企业在E-Phishing平台上可自行注册账户、管理员工,根据业务场景灵活配置钓鱼邮件进行发送测试,平台会监测员工对钓鱼邮件的操作,并根据不同操作行为提供针对性学习课程,追踪数据分析、形成企业员工风险评估。
E-Phishing平台弥补了目前国内市场上网络钓鱼识别与防范的空白,具有重要的实际应用和市场开发价值(科技查新报告 2018IC0717296)。E-Phishing 提供公网、内网、专用设备等多种服务方式,严格遵循流程制度并通过ISO27001认证。
01
平台可批量导入目标员工邮箱列表,可为员工打上集团、公司、部门、岗位、职级等等多个标识信息进行分类,在后期统计报表中,可根据以上标识进行多维度分析,全面评估企业风险。
【图】员工列表
02
首次使用E-Phishing实施钓鱼演练,需要按照平台上“使用教程”配置邮件服务器IP白名单,保障测试邮件能100%达到目标员工邮箱。
【图】使用教程
配置完成,通过简单的三步执行,即可快速开始一次钓鱼演练。
Step1:根据类型、场景标签选择钓鱼模板;
【图】Step1:选择模板
Step2:设置本次钓鱼演练基本信息,各项信息结合企业业务自定义。并选择本次要发送的目标邮箱;
【图】Step2:基本设置
Step3:本次钓鱼演练设置信息确认无误,直接点击“确认”进行实施;
【图】Step3:确认实施
03
【图】单次演练仪表板
全局仪表板:针对历次钓鱼演练数据的全局分析,包含:风险指针、风险操作统计、多次“中招”人员统计、多次演练“中招”趋势、不同钓鱼场景的“中招”统计、以及部门下钻统计。
【图】全局仪表板
04
基于M-Learning创建“邮件安全”专题学习,与E-Phishing钓鱼仿真测试联动,引导“中招”员工扫码学习,提高识别钓鱼邮件能力。
【图】“中招”后提示及引导学习页面
【图】专题学习模块
05
【图】分析报告示例
PART 1/产品亮点
内置的可编辑化模板
超过 50 个热点主题的钓鱼邮件模板可供选用,且可对选择的模板邮件内容进行自定义编辑。若现有模板库仍满足不了企业需求,还可提供定制化模板开发。
【图】钓鱼邮件模板库
【图】邮件内容编辑
PART 2/快速启动钓鱼演练
E-Phishing提供SaaS服务,通过简单三步执行即可快速开始一次演练。为确保成功投递钓鱼邮件,只需将E-Phishing发件服务器IP和演练中使用的发件地址加入企业白名单,然后通过Excel 文件轻松导入目标员工名单,即可发出第一个测试。
【图】快速演练配置
PART 3/灵活的邮件发送机制
平台提供:随机抽取发送、按照组合抽取发送、指定组合抽取发送3中机制,可自定义抽取比例及选择模板,全面满足企业的发送机制需求。
【图】发送机制配置
PART 4/配合主题的专题学习
可根据人员的“中招”情况及岗位、职级,推送针对性的学习内容,加强邮件安全方面的知识掌握。通过此种学习方式,推动企业强制性合规教育。
【图】“邮件安全”主题知识库
PART 5/多维度数据采集
不仅钓鱼邮件模板自身被定义了相关威胁类型以及攻击类型属性,对于参与模拟演练的人员也被赋予了一定的属性,E-Phishing对以下数据进行了采集来为企业提供有效全面的评估:
PART 6/全方位的仪表板监测
通过仪表板结果了解企业的安全现状。E-Phishing仪表板提供关于员工易受攻击性的演练结果概览,用实时数据衡量整个企业组织的整体风险等级.
解决痛点
1、员工对钓鱼邮件防范意识不足
频发的APT攻击事件告诉我们,员工是企业安全最薄弱的环节。大部分企业员工甚至不知道什么是钓鱼邮件,若不幸“中招”会导致企业陷入巨大风险之中。
2、传统的内容学习方式效果有限
讲师授课、张贴海报、学习考试等传统教育方法,耗费企业大量人力组织,员工参与度却不高、培训效果也不明显,企业投入产出比很低。
3、缺乏对员工角色的针对性教学
鱼叉攻击针对员工不同角色设计不同的社会工程技术,有效地将钓鱼消息和钓鱼网站做得个性化,更易于骗取信任。即便是企业的高层管理人员也有可能被欺骗。
服务特色
E-Phishing提供3种服务方式:公网服务、内网部署、工控机租赁。
1、公网服务
E-Phishing提供公网SaaS云服务,企业可自行注册账号开展模拟钓鱼攻击教育。开展方式便捷、实施周期短、成本低。
2、内网部署
由企业提供资源支持,把E-Phishing平台部署至企业内部服务器中。钓鱼演练全程均在企业内部环境完成,所有数据不会曝露在公网,保障人员信息的隐私性及数据安全性,符合管理要求。
3、工控机租赁
企业无需提供任何资源设备,主要租赁一台已部署好E-Phishing平台的工控机,直接连接企业内部网络即可实施钓鱼模拟攻击培训。
市场价值
竞争优势
模拟黑客技术的钓鱼邮件演练教学是目前信息安全领域新兴的服务模式,区别于传统的学习、考试的教育模式,教育效果更加有效。
E-Phishing与竞争者产品相比,具有明显优势:
定制化服务:可结合企业行为习惯及业务定制化模板场景及教学内容,针对性强,内容合规,教育效果最佳。
本地化服务:系统可根据企业实际情况环境,部署至企业内网进行钓鱼演练,所有数据都存储在企业内部环境,保障数据隐私性,符合企业管理规范;
一体化服务:平台提供先对企业邮箱进行穿透检测,帮助企业完善邮箱加固。在针对性实施钓鱼仿真测试,及对“中招”人员推送应对意识教育内容学习。
应用场景
1、企业邮件网关安全检测
通过模拟上百种钓鱼邮件发送方式,测试企业邮件网关对钓鱼邮件的识别能力,从而帮助企业提升邮件检测能力、完善邮件过滤机制,首先降低钓鱼邮件到达员工收件箱的几率。
2、企业模拟钓鱼邮件测试
持续更新钓鱼邮件模板,精心选择钓鱼目标,模拟多样化的钓鱼场景,发现企业存在的安全脆弱点,以及在员工安全意识及防范中存在的问题,直观展示工业互联网安全威胁。
3、员工邮件安全课程学习
提供钓鱼邮件识别与防范技巧的系列课程,强化员工对钓鱼邮件的识别能力,谨慎处理日常邮件。
4、基于模拟钓鱼的应急演练
基于模拟钓鱼攻击,检测企业普通员工及安全运维团队在遇到突发APT攻击事件时,是否能遵循企业突发事件应急响应规范及时采取措施。满足企业合规,提升企业应对网络与信息安全突发事件的管理能力。
来源:freebuf.com 2020-08-14 10:44:17 by: 易念科技
请登录后发表评论
注册