如果員工的安全意識不足,無論企業系統的保安有多強勁,都是形同虛設。GitLab 最近就對所有員工進行釣魚電郵測試,結果有兩成員工上當,在假網站輸入登入資料。
GitLab 目前處於完全在家工作模式,加上在武漢肺炎疫情期間會有更多的釣魚攻擊,其保安團隊認爲有需要測試公司員工的安全意識是否足夠,因此就申請了 gitlab.company 的網域,再配合開源的 GoPhish 框架和 Google G Suite 來「冒充」公司發出釣魚郵件,看起來就像是公司 IT 部門通知其電腦需要更新的郵件。
結果發現,有 34% 的員工會點擊釣魚電郵中的連結,而 20% 員工更是不虞有詐,在假的網站上輸入了登入資訊。最後只有 12% 員工會向公司安全部門報告事件。GitLab 安全總監 Johnathan Hunt 表示,一般公司的釣魚成功率大概是 30-40%,因此 GitLab 的數字比一般為低,值得鼓舞。不過之後也需要繼續提供安全訓練,不論是否在家工作,隨着機構越來越多使用遙距或雲端辦公,用戶身份管理和多重認證也變得重要。
來源:The Register