10家能夠幫助您應對網絡釣魚的公司

根據最新的《verizon資料洩露報告》顯示，網絡釣魚電子郵件通常是網絡攻擊的第一階段。這是因為其攻擊效果良好，30%的網絡釣魚郵件都會被打開，但隻有3%的受害者上報給管理人員。

但是，當企業員工接受了相關的如何發現網絡釣魚郵件的教育訓練、然後進行了模拟網絡釣魚郵件的測試之後，每一輪的強化訓練都會使得網絡釣魚郵件的受害者的百分比大幅下降。

當然，想要使得這些網絡釣魚電子郵件獲得零回應率是不可能的。因為現如今的網絡罪犯們在他們所發送的電郵資訊方面變得越來越狡猾了。慶幸的是，這不是必要的。如果一家企業有足夠多的員工都在向其安全管理人員轉發報告網絡釣魚郵件時，那麼該公司就會開始意識到，他們已經成為了網絡攻擊活動的目标，需要準備采取相應措施來處理這些網絡釣魚郵件了。

反網絡釣魚工作組

這家反網絡釣魚工作組(anti-phishing working group)為企業客戶提供了各種資源，包括釣魚教育教育訓練登陸頁面，企業客戶可以在他們自己的反網絡釣魚活動上結合該頁面使用。下文中所介紹的其他一些供應商，包括phishmeinc.公司和knowbe4，也提供相關的免費資源。

另一款免費的工具是來自 microsolved公司所提供的msi simple phish，其允許企業使用者的安全團隊在企業内部來運作自己的網絡釣魚測試。

bettercloud公司為企業使用者提供了基于雲的辦公應用程式的安全和監控服務。當與該公司屬于同一幢寫字樓的另一家公司因為網絡釣魚而損失了200萬美元，而且他們所購買的網絡安全保險根本不足以彌補其損失之後，bettercloud公司開始擔心網絡釣魚的問題了。

“他們的業務真的遭受到了重創。”bettercloud公司的進階安全工程師奧斯丁·惠普爾表示說。“而想要從此次重創中恢複是很難的。”

為此，bettercloud公司在全公司範圍内實施了員工教育訓練，然後自行建立了一個似乎是由該公司的人 力資源系統發送的網絡釣魚電子郵件的活動，但其實是來自公司外部的電子郵件位址。此次活動還伴随着更多的後續教育随訪。

“相比于其他企業組織，或者verizon公司的報告，我們幹得相當不錯。”他說。 “但仍有一些可以改進的地方。”

他補充說，當過一段時間之後，他們公司還會進行另一次網絡釣魚測試。而該公司的員工們會向他本人轉發可疑的電子郵件，很明顯，該公司已經成為某些網絡不法份子的攻擊目标了，因為一些真正的網絡釣魚郵件包括了他們企業内部的某些資訊，将需要進行一些研究了，他補充道。

據惠普爾介紹說，建立一個反網絡釣魚訓練方案計劃并不太難。

“任何一名技術人員都可以完成這件事，”他說。 “這并不需要大量的設定工作。您企業隻需要教育和教育訓練您的員工，進行測試，然後對員工進行再教育，并做後續測試就行了。”

phishme

phishme公司的釣魚模拟、訓練和報告平台目前在全球範圍内擁有超過800家企業客戶，包括其中有近一半的客戶是财富100強的企業，這些企業客戶采用他們的工具和服務來積極的讓數千名員工在模拟條件下檢測和報告網絡釣魚攻擊的威脅。

phishme公司還提供了一款網絡釣魚事件響應平台，能夠針對網絡釣魚郵件更快的響應，進行自動并優先的報告發送;而他們的另一項威脅情報服務，則能夠幫助安全威脅分析人員通過診斷他們所看到的網絡釣魚活動以驗證外部威脅。

通過将網絡安全保護意識教育訓練、簡單友善的報告和适當的安全響應對策結合起來，企業組織的員工們可以從一家公司的安全防護最薄弱的一環轉變成為企業安全保障的第一線。

“員工是抵禦魚叉式網絡釣魚最強大的層，而企業組織需要利用其員工可以提供的每一個安全優勢，以保持對于這項頂級網絡安全攻擊的防範。”phishme公司的首席執行官rohyt belani表示說。

phishme公司還提供了十幾款免費的教育訓練模版，以互動式的pdf檔案格式或符合scorm相容的檔案格式，可以通過一家企業客戶的學習管理系統運作。

phishlabs

phishlabs的客戶包括了排名美國前五大金融機構的其中四家、全球排名前25的金融機構的其中七家、領先的社交媒體和求職網站、以及頂級的醫療保健企業、零售商、保險和科技公司。

“讓模拟場景盡可能的真實。” phishlabs公司的創始人兼首席執行官約翰·拉科建議說。 “如果您希望您企業的員工們能夠及時發現并報告真實世界的網絡安全攻擊，那麼，您的模拟測試絕對需要能夠反映他們最有可能在真實世界的所看到的網絡攻擊。”

此外，一旦你企業組織的員工報告了相關的網絡安全攻擊，那麼，您的企業一定需要有一套到位的流程，使他們可以在早期對這些有針對性的攻擊做出響應，因為正是在網絡攻擊的早期，他們才以最低的成本減輕其所帶來的損失。

“但是，如果這些報告隻是被排隊堆積在服務台的話，這是不能發生的。”他補充說。

ironscales

ironscales公司為企業客戶提供網絡釣魚模拟和遊戲化的企業員工安全意識教育訓練。

遊戲化使得教育訓練的過程變得更有樂趣和互動性，ironscales公司的首席執行官eyal benishti表示說。 “人們已經厭倦了子彈和無聊的視訊。”

當涉及到行為改變時，持續的評估能夠使影響最大化，他補充說。他建議企業客戶可以至少每兩個月進行一次測試。

根據從約60多家企業所收集到的資料顯示，其結果是，網絡釣魚郵件的點選率将明顯降低，而員工向安全管理人員轉發網絡釣魚郵件的比例比之前增長了200%。

mediapro

mediapro公司為企業客戶提供教育訓練和鞏固方案，以及自适應的網絡釣魚模拟器。該公司的客戶包括微軟、t-mobile、expedia、思科、甲骨文、波音公司、萬豪酒店、costco和其他财富500強企業。

不要對企業員工就同一類型的網絡釣魚郵件進行一遍又一遍的測試是非常重要的，mediapro holdings, llc公司的董事總經理史蒂夫·康拉德表示。

“并非所有的網絡釣魚活動都是一樣的，而且也不應該是一樣的。”他說。 “您企業将需要使用不同的模式，來測試發送複雜程度完全不同的網絡釣魚郵件，而那些不同的模式會産生不同的效果。而如果一而再，再而三的發送相同或類似的網絡釣魚郵件，您郵件的最終使用者所顯示的網絡釣魚報告将是：郵件的點選率固然會大幅下降，但這并不會幫助您實作您最初的測試目标。”

knowbe4

世界頭号黑客大神凱文·米特尼克是knowbe4公司的首席黑客官，該公司聲稱擁有最流行的內建平台，能夠為上千家企業客戶提供安全意識教育訓練和模拟網絡釣魚測試。

根據該公司的首席執行官stu sjouwerman介紹說，網絡釣魚郵件通常會涉及到各種不同的網絡攻擊，包括勒索軟體(ransomware)和商務電郵攻擊(business email compromise , bec)。

“今年，由商務電郵攻擊和勒索軟體的犯罪活動所造成的損失已高達10億美元。”他說。

knowbe4公司也提供了一款免費的釣魚安全測試。該公司還提供一次性的免費電子郵件曝光檢查，以幫助确定企業雇員的電子郵件位址是否被暴露于公衆。

wombat

wombat公司聲稱擁有1000多家企業客戶，并提供自動化的網絡釣魚測試和教育訓練子產品服務。該公司是在這個領域最早的供應商之一，于2008年由卡内基·梅隆大學的一個研究項目發展而來。

此後，該公司繼續專注于研究，并定期推出有關網絡釣魚的趨勢和教育訓練效果的研究報告。例如， wombat公司與安全研究中心ponemon institute進行合作，以确定平均執行程式導緻了37倍投資的回報。

據wombat security technologies公司的首席執行官喬·費拉拉介紹說，網絡釣魚平均每年會耗費一家擁有10000名雇員的企業大約300萬美元的成本，而借助一項成功的員工安全教育訓練計劃則可以使得遭受網絡釣魚攻擊的員工數量減少90%。

他說，一個成功的員工安全教育訓練方案的關鍵在于，當他們在一個網絡釣魚測試考驗失敗後，自動為這些雇員發送一個網絡釣魚訓練模版。

此時，他們最有動力加強這方面的改善，他說。

inspired elearning

該公司為其客戶提供了反網絡釣魚訓練，模拟網絡釣魚攻擊，月度通訊，海報，數字标牌和其他工作指導，持續提供相關最佳方案的貼士，以幫助企業客戶的員工時刻将保持網絡安全放在首位。該公司的客戶包括富蘭克林鄧普頓投資公司(franklin templeton investments)、ing、芝加哥商品交易所、塔塔集團(tata)、redbox、adp、jhnson controls、bridgestone、美國農業部(the usda)和abb。

該公司表示，他們在全球擁有五百多萬的企業使用者，其所提供的方案幫助共計減少了超過92%的網絡釣魚攻擊。

其phishproof産品可作為一款完全托管的服務，而該公司的專家設計團隊則提供部署評估和教育訓練，或作為軟體即服務模型，可通過線上軟體的形式在幾分鐘内用于建立和部署評估。

blackfin

blackfin security公司是賽門鐵克的下屬子公司，該公司提供網絡釣魚模拟和教育訓練服務。網絡安全意識教育訓練可以被內建整合到線上的網絡釣魚模拟評估即時教育訓練，或者企業使用者也可以根據他們的日程來安排适合他們的後續教育訓練。

此外，該公司還提供了針對社會工程、惡意軟體、實體安全、和使用公共wifi網絡的教育訓練子產品，以及其他一般的安全議題。

這不同于賽門鐵克自己的訓練計劃，後者的計劃則緻力于幫助企業使用者的安全專業人員安裝和維護不同的賽門鐵克産品。

phishline

比反釣魚測試更進一步，phishline将目标瞄準了更廣泛的社會工程攻擊，包括短信、電話、甚至是“不小心丢失”的u盤。

今年早些時候，phishline公司為基于第三方的計算機市場推出了教育訓練材料，包括數以百計的釣魚模闆，自定義的登陸頁面，風險評估調查和多語種的安全教育訓練内容。

除了訓練和模拟服務，該公司還提供測量工具，使得企業使用者可以跟蹤他們的計劃是否成功。例如，其中的一款測量工具可用于遊戲化，是基于風險的評分工具。企業使用者可以在這裡設定訓練成績，進而可以對員工個人，部門或其他團體的評分進行比較，或對企業内部或外部的評分基準進行定制。

infosec institute

這家公司最出名的是他們的企業安全教育訓練、新兵訓練營和認證計劃。

但他們也提供了互動式的安全意識線上教育訓練子產品。他們的securityiq産品結合了基于計算機的安全意識教育訓練和一款基于雲的網絡釣魚模拟器服務。企業使用者可以設定自動的項目，随着時間的推移為其雇員發送網絡釣魚測試，或提醒雇員報名參加他們的網絡安全意識教育訓練。

盡管企業使用者在企業内部建立反網絡釣魚訓練和測試程式也是可能的，但包括諸如infosec institute在内的、以及上文中所提到的供應商則能夠為企業客戶帶來一些顯著的優勢。

“通常情況下，企業組織在其内部并不具備提供良好的網絡安全意識教育教育訓練的條件。” nss labs.的安全測試和咨詢副總裁mike spanbauer表示說。

而那些專注于網絡釣魚的供應商們則能夠時刻把握目前網絡釣魚郵件的新趨勢，并可以将其迅速整合到他們的安全訓練計劃和反網絡釣魚模拟模闆中。

本文轉自d1net（轉載）