Google 資安專家呼籲測試釣魚信件弊大於利，應改成資安演習

一名 Google 安全專家已受夠發送釣魚信件給員工了，這只會讓資安部門更顧人怨。

Google 安全回應與事件管理部門經理 Matt Linton 在美國聯邦法規要求下，每年得在公司實施一次釣魚信件測試，但是他相信這種測試壞處多過好處，應該改個方式。

現今企業內的釣魚信件類似早期的火災演習，突然無預警觸發警鈴測試大樓住民的疏散行動，做錯的人會遭到指責，並要求再教育。現代大樓逐漸強化住宅安全，包括門更寬、由內向外推開門閂的設計，以及灑水頭等，這些設施是從整體來提升火災時的人命生存機率，而不是要求提升個人對警報的回應，而且是定期舉行、事件宣佈，絕不會突然發出的驚喜（或驚嚇）。

相較之下，釣魚信件的使用者教育仍停留在很原始的階段。事實上，美國聯邦風險與授權管理計劃 (FedRAMP) 規定企業要由資安部門實施釣魚信件測試，宣稱「使用者是防護的最後一道防線，必須測試個人的警覺性」。

Linton 說，釣魚信件防護訓練是有價值，但不可能做到 100%，因為釣魚技倆和社交工程這種攻擊手法不會消失，因為人是社會性的動物，攻擊者總有方法操控人性弱點。

他說，實施釣魚信件防護這麼多年以來，沒有證據顯示釣魚攻擊有減少趨勢，會被騙的人還是會被騙。而 FedRAMP 的指引還要求企業資安部門降低現有安全防護以便提高攻擊成功機率，例如測試信件刻意不像真正的釣魚信件，或建立能繞過過濾機制的白名單，若這份名單一旦落入駭客手中將讓公司安全門戶洞開。

而且大量信件被點擊後產生的訊息，將對資安部門形成沈重負擔。而和眾多產品線有關的員工可能還會收到多次測試信件，因此也備受困擾。不僅如此，他們還可能感覺遭資安部門戲耍而降低信任感，對企業安全將有不利影響。

與其讓員工產生被騙、被測試、被指責的感受，Linton 認為正確的釣魚信件防護應建立正向的網路安全文化做起，捨棄「測試」而改成「演習」，即被告知明確的實施時間，且員工應該要能放心通報釣魚信件，才能真正建立早期預警系統。

來源：The Register