【ITBEAR科技資訊】5月24日消息,近日,谷歌發布了一份研究報告,對眾多企業常采用的釣魚郵件測試方法提出了質疑。該報告指出,盡管許多公司通過發送模擬釣魚郵件來評估員工的應急響應能力,但這種做法的實際效果并不理想,甚至可能帶來諸多負面影響。
據了解,這類測試通常包含制造含有“誘餌”鏈接或附件的釣魚郵件,以監測員工的反應。一旦員工點擊這些鏈接或下載附件,他們就會被標記出來并接受所謂的“強化培訓”。然而,谷歌安全經理Matt Linton認為,這種方式不僅不能有效提升員工的防范意識,反而會給員工帶來不必要的困擾,同時增加信息安全部門的工作壓力。
據ITBEAR科技資訊了解,Matt Linton在報告中明確表示,目前沒有科學研究證明這種釣魚郵件測試能夠降低企業遭受真實釣魚攻擊的風險。他以谷歌自身的經驗為例,指出盡管公司進行了大量的此類測試,但仍有員工不慎點擊了來自黑客的真實釣魚郵件。
此外,從技術角度來看,進行這類測試需要企業IT管理員降低系統安全權限,并設立特定的群發郵件白名單。這種做法在一定程度上增加了系統被黑客利用的風險,因為如果這些白名單被不法分子獲取,后果將不堪設想。
研究人員還指出,這類測試導致信息安全部門的工作量大幅增加。因為除了設計和發送測試郵件外,還需要投入大量時間和資源來記錄和分析員工的行為數據。同時,員工可能會因為感到被公司“愚弄”而降低對信息安全部門的信任,這種情況在長期內可能對公司的整體安全性構成威脅。
