谷歌大佬忍无可忍发声！拒绝用模拟网络钓鱼邮件“欺骗”员工

你是否收到过网络钓鱼邮件？你有没有想过这可能是你的公司故意发送的？

因为雇主有时会模拟网络钓鱼信息，来培训员工警惕这种网络威胁。但最近，谷歌的一位大佬公开发声，反对这种广泛采用的网络钓鱼测试方法。

Matt Linton，作为谷歌安全响应及事件管理部的领头人，呼吁对这种做法进行全面改革。在他看来，现有的网络钓鱼测试方式不仅未能有效减少实际网络钓鱼攻击的案例，还导致员工对IT安全团队产生不必要的反感和疏远。

一、适得其反的钓鱼测试

Linton在X和谷歌安全博客上分享观点时强调，频繁的“欺骗性”测试非但没有增强员工抵御网络钓鱼的能力，反而可能引起逆反心理，降低了整体安全文化的建设效果。

据悉，根据要求，公司必须向员工发送虚假的网络钓鱼邮件，以满足美国政府的安全合规要求。在这些测试中，谷歌会给员工发送一封网络钓鱼邮件。如果员工点击了邮件中的链接，就会被告知测试失败，并通常需要参加某种形式的培训课程。

然而，Linton认为，模拟网络钓鱼测试可能导致有害的副作用，还可能会削弱公司的安全。

“没有证据表明这些测试能减少网络钓鱼攻击事件，”Linton说道，并指出尽管进行了这样的培训，网络钓鱼攻击仍在帮助黑客在网络内部获得立足点。他还引用了2021年的一项研究，该研究持续了15个月，结论是这些网络钓鱼测试并不能“让员工对网络钓鱼更加免疫”。

二、火灾演练的启示

Linton主张采用类似火灾逃生演练的模式来提升网络安全意识和响应能力。

现在的网络钓鱼测试更像早期的火灾演习，那时候的演习更像是突然降临在建筑物居民身上的火灾疏散演练——毫无预警地进行，之后个人因应对失败而受到指责。但是随着时间的推移，火灾演练逐渐发生了诸多改变。

随着建筑的安全标准不断提升，建筑物配备了更多的安全设施。更宽的逃生门、推杆式紧急出口和自动喷水灭火系统等创新应用不断提高建筑物的防火安全性。

显而易见的是，这些改进都不是为了提升个人在演习中的反应能力，但它们共同作用，增加了生存率。“火灾逃生”从一种针对个人应急反应的惩罚性测试转变为了一场有组织、有预告的集体演练活动，从而显著提高了人员的安全疏散效率。

Linton认为，网络安全培训也应当借鉴这一转变，从关注个体“失败”的惩罚转向构建更加坚固和智能的防御体系，同时提高全体员工对安全威胁的整体认识和协同应对能力。

三、只要人类是会犯错的社交生物，人性的弱点就会被利用

尽管防网络钓鱼控制措施已被内置到安全产品和电子邮件客户端中，但研究表明网络钓鱼攻击仍在增加。Zscaler最新的年度网络钓鱼报告发现，过去12个月网络钓鱼攻击增加了58%，而网络犯罪分子更广泛地采用人工智能推动了这一增长。

联邦风险与授权管理计划（FedRAMP）是推广网络安全标准的美国机构之一。谷歌保持与FedRAMP的合规性，部分是通过遵循其指导进行网络钓鱼测试来实现，该指导仍然声称用户“是最后一道防线，应该接受测试”。

Linton认为，为员工提供网络钓鱼培训是有价值的，但实现100%的成功率“可能是一个不可能完成的任务”。

他在博客中写道：“网络钓鱼和社会工程作为攻击手段不会消失。只要人类是可犯错的社交生物，攻击者就会有办法操纵人性因素。”

“对于这两种风险，更有效的应对方法是在长期内专注于构建默认安全系统，以及投资于工程防御，如不可钓鱼凭证（如通行密钥）和在生产系统的敏感安全上下文中实施多方审批。正是由于对架构防御等领域的投资，我们被告知，谷歌近十年来不必严重担心密码网络钓鱼问题。”

四、现有测试的问题

Linton指出，反对当前网络钓鱼测试的主要论点是“没有证据表明这些测试能减少成功网络钓鱼活动的发生次数”。

一些如FedRAMP规定的测试要求组织减少或消除现有控制措施，以最大化测试失败的感知影响。这引发了一系列问题，比如给测试对象对真实风险的错误感知，以及演习期间实施的允许列表在之后未被移除，从而使它们暴露于攻击者的滥用之下。

Linton还提到，这给事件响应人员和负责筛选发送给威胁检测团队报告的人员带来了更大的负担，同时员工感觉受到了不必要的欺骗。

当然，还有其他人支持Linton的观点。英国国家网络安全中心（NCSC）的指导与这位谷歌高管提出的许多观点一致，认为这些测试侵蚀了员工与安全团队之间的信任，并指出用户在网络钓鱼测试中点击链接有许多原因。

某些特定个体的性格特征可能会促使他们点击链接，而情境变量，包括在测试发出时正管理的特别繁重的工作负荷，可能不利地扭曲测试结果。

英国国家网络安全中心表示：“员工应转而创造积极的网络安全文化，让员工在报告网络钓鱼事件时感到舒适，从这个意义上说，他们可以成为宝贵的早期预警系统。”

五、可能的替代方案

Linton关于如何改进这些测试的想法回归到了火灾演练演变至今的理念。

这些测试不应用欺骗的方式进行，而应明确告知其为测试，就像公寓和办公楼在测试前几周于每个角落张贴海报一样显眼。它们应指向测试，并告知接收者这样做的好处。

与办公室工作人员多年来习惯的测试相比，Linton提出的可能的替代方案大相径庭。但谷歌的这一声音的确反映了对传统网络安全教育手段的深刻反思，倡导一个更注重环境优化、文化建设和正面激励的新型安全培训模式。

此外，英国国家网络安全中心表示，应采取多层次的方法来缓解工作场所的网络钓鱼攻击：

1. 加大攻击者接触用户的难度：通过技术手段过滤掉大部分明显的垃圾邮件和网络钓鱼邮件。

2.帮助用户识别并报告疑似网络钓鱼邮件：提供清晰的指南和简单的报告流程，鼓励员工有所怀疑时及时报告。

3. 保护组织免受“成功”网络钓鱼邮件的影响：即使邮件被点击，也要确保多因素认证、权限最小化等策略能限制损害。

4. 快速响应事件：一旦发现网络钓鱼攻击，立即启动应急响应程序，隔离受影响系统，防止进一步传播。

Linton补充说，教导员工遇到网络攻击时，及时通知安全团队，对全面安全至关重要。无需营造对立氛围，通过揭示员工“失败”并无助益。应摒弃无效的传统防护，借鉴消防等行业经验，看看它们面对相似挑战，如何找到均衡对策。