谷歌呼吁減少企業(yè)“釣魚郵件測試”，其負(fù)面影響大于潛在收益

谷歌發(fā)表報告稱，利用釣魚郵件測試員工應(yīng)對能力的方法并不可取，實(shí)際效果不佳且存在諸多問題。眾多企業(yè)通常用此方式進(jìn)行所謂的應(yīng)急預(yù)案測試。

這種測試往往包括設(shè)置多份釣魚郵件，并在其中植入鏈接裝置來觀察哪位員工點(diǎn)擊或下載，后對選中員工進(jìn)行所謂“強(qiáng)化培訓(xùn)”；然而，谷歌安全經(jīng)理馬特·林頓（Matt Linton）指出，此類測試非但無益，反而引發(fā)員工困擾和信息安全部門的額外壓力。

馬特·林頓表示，目前尚無科學(xué)依據(jù)證明這類測試能有效降低企業(yè)遭受釣魚郵件攻擊的可能性。據(jù)IT之家報道，以谷歌自身為例，盡管多年來進(jìn)行過多次釣魚郵件測試，仍有部分員工誤點(diǎn)黑客所發(fā)釣魚郵件。

從技術(shù)角度看，為進(jìn)行釣魚測試，企業(yè)IT管理員需降低系統(tǒng)權(quán)限，設(shè)立“放水”的群發(fā)郵件白名單，若該白名單不幸落入真黑客之手，反而加大風(fēng)險。

研究人員進(jìn)一步指出，這類測試使信息安全部門工作量劇增，因群發(fā)郵件及記錄用戶行為的成本占據(jù)公司相關(guān)部門的時間與操作資源。

同時，員工可能因公司信息安全部門的“捉弄”而失去信任，導(dǎo)致“狼來了”效應(yīng)，長期來看對公司安全性構(gòu)成威脅。