频发的APT攻击事件告诉我们，员工都是企业安全最薄弱的环节。在发起攻击时，黑客往往采用社会工程学手段对目标组织的员工下手，而这些手段中首当其冲的就是邮件钓鱼。

创造“自然抵制”安全威胁的公司文化

据统计，约92%的数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼，然后骗取受害者点击恶意链接，最后使用恶意的漏洞Payload攻击受害者计算机。换句话说，如果一个员工误点击恶意链接，黑客可能被盗取账户信息，或者电脑被人种上木马，导致企业内网因此沦陷，业务数据和敏感信息也会陷入巨大风险之中。

那么我们应该怎么应对员工被社工的问题呢？

答案其实很简单：在推行良好的安全措施的同时，对员工做好安全意识教育。或许，咱们可以反其道而行之，对自家员工试试钓鱼？Facebook CEO就曾在去年的演讲中提到，Facebook内部经常组织“钓鱼”。Facebook安全工程师指出，这样做是为了创造一种自然抵制安全威胁的公司文化，以减少大规模安全事件的发生几率。

是的，你没听错——如果你是企业安全人员，你完全可以试试在公司模拟网络钓鱼行动，找出那些粗心大意容易被钓鱼邮件欺骗的员工，进一步加强大家的互联网安全意识。凯文米特尼克在2015年曾开展企业级的安全意识培训，确保员工不会被钓鱼、垃圾邮件、恶意软件种植，以及社工攻击所坑害，在日常培养出相应的安全习惯和意识。

如何对员工进行“钓鱼训练”？

公司对内部进行模拟网络钓鱼绝对是培养和加强员工安全意识的好方法。磨刀不误砍柴工，进行一次这样的活动并不会耗费资金。Knowbe4提供了一个免费钓鱼测试服务，能让你发现员工里不稳定因素的比例。

很明显，模拟钓鱼的策略能显著提升公司应对网络攻击的防御能力，这是很有必要的一个想法。

*参考来源：thehackernews，由FreeBuf小编dawner翻译整理，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）