如果员工安全意识不足,无论企业系统的资安系统有多完善,都形同虚设。GitLab 最近测试所有员工对钓鱼信件的警觉性,结果有 20% 员工上当,在假网站输入资料。
GitLab 目前是完全在家上班模式,加上Cv新冠疫情期间会有更多钓鱼攻击,资安团队认为有必要测试员工的安全意识是否足够,因此申请 gitlab.company 网域,再配合开源 GoPhish 框架和 Google G Suite「冒充」公司寄送钓鱼信件,看起来就像 IT 部门通知大家电脑需要更新的公告信。
结果发现,有 34% 员工会点击钓鱼信里的连结,20% 员工更不疑有他,在假网站输入登入资讯,只有 12% 员工向安全部门回报。GitLab 安全总监 Johnathan Hunt 表示,一般公司的钓鱼成功率约 30%~40%,GitLab 虽比较低,值得鼓励,不过还是需要继续资安训练。不论是否在家工作,随着越来越多使用远距或云端上班,用户身分管理和多重认证已越来越重要。
- To test its security mid-pandemic, GitLab tried phishing its own work-from-home staff. 1 in 5 fell for it
