根据最新的《Verizon数据泄露报告》显示，网络钓鱼电子邮件通常是网络攻击的第一阶段。这是因为其攻击效果良好，30%的网络钓鱼邮件都会被打开，但只有3%的受害者上报给管理人员。

但是，当企业员工接受了相关的如何发现网络钓鱼邮件的培训、然后进行了模拟网络钓鱼邮件的测试之后，每一轮的强化训练都会使得网络钓鱼邮件的受害者的百分比大幅下降。

当然，想要使得这些网络钓鱼电子邮件获得零回应率是不可能的。因为现如今的网络罪犯们在他们所发送的电邮信息方面变得越来越狡猾了。庆幸的是，这不是必要的。如果一家企业有足够多的员工都在向其安全管理人员转发报告网络钓鱼邮件时，那么该公司就会开始意识到，他们已经成为了网络攻击活动的目标，需要准备采取相应措施来处理这些网络钓鱼邮件了。

　　反网络钓鱼工作组

这家反网络钓鱼工作组(Anti-Phishing Working Group)为企业客户提供了各种资源，包括钓鱼教育培训登陆页面，企业客户可以在他们自己的反网络钓鱼活动上结合该页面使用。下文中所介绍的其他一些供应商，包括PhishMeInc.公司和KnowBe4，也提供相关的免费资源。

另一款免费的工具是来自 MicroSolved公司所提供的MSI Simple Phish，其允许企业用户的安全团队在企业内部来运行自己的网络钓鱼测试。

BetterCloud公司为企业用户提供了基于云的办公应用程序的安全和监控服务。当与该公司属于同一幢写字楼的另一家公司因为网络钓鱼而损失了200万美元，而且他们所购买的网络安全保险根本不足以弥补其损失之后，BetterCloud公司开始担心网络钓鱼的问题了。

“他们的业务真的遭受到了重创。”BetterCloud公司的高级安全工程师奥斯丁·惠普尔表示说。“而想要从此次重创中恢复是很难的。”

为此，BetterCloud公司在全公司范围内实施了员工培训，然后自行创建了一个似乎是由该公司的人 力资源系统发送的网络钓鱼电子邮件的活动，但其实是来自公司外部的电子邮件地址。此次活动还伴随着更多的后续教育随访。

“相比于其他企业组织，或者Verizon公司的报告，我们干得相当不错。”他说。 “但仍有一些可以改进的地方。”

他补充说，当过一段时间之后，他们公司还会进行另一次网络钓鱼测试。而该公司的员工们会向他本人转发可疑的电子邮件，很明显，该公司已经成为某些网络不法份子的攻击目标了，因为一些真正的网络钓鱼邮件包括了他们企业内部的某些信息，将需要进行一些研究了，他补充道。

据惠普尔介绍说，建立一个反网络钓鱼训练方案计划并不太难。

“任何一名技术人员都可以完成这件事，”他说。 “这并不需要大量的设置工作。您企业只需要教育和培训您的员工，进行测试，然后对员工进行再教育，并做后续测试就行了。”

　　PhishMe

PhishMe公司的钓鱼模拟、训练和报告平台目前在全球范围内拥有超过800家企业客户，包括其中有近一半的客户是财富100强的企业，这些企业客户采用他们的工具和服务来积极的让数千名员工在模拟条件下检测和报告网络钓鱼攻击的威胁。

PhishMe公司还提供了一款网络钓鱼事件响应平台，能够针对网络钓鱼邮件更快的响应，进行自动并优先的报告发送;而他们的另一项威胁情报服务，则能够帮助安全威胁分析人员通过诊断他们所看到的网络钓鱼活动以验证外部威胁。

通过将网络安全保护意识培训、简单方便的报告和适当的安全响应对策结合起来，企业组织的员工们可以从一家公司的安全防护最薄弱的一环转变成为企业安全保障的第一线。

“员工是抵御鱼叉式网络钓鱼最强大的层，而企业组织需要利用其员工可以提供的每一个安全优势，以保持对于这项顶级网络安全攻击的防范。”PhishMe公司的首席执行官Rohyt Belani表示说。

PhishMe公司还提供了十几款免费的培训模版，以交互式的PDF文件格式或符合SCORM兼容的文件格式，可以通过一家企业客户的学习管理系统运行。

　　PhishLabs

PhishLabs的客户包括了排名美国前五大金融机构的其中四家、全球排名前25的金融机构的其中七家、领先的社交媒体和求职网站、以及顶级的医疗保健企业、零售商、保险和科技公司。

“让模拟场景尽可能的真实。” PhishLabs公司的创始人兼首席执行官约翰·拉科建议说。 “如果您希望您企业的员工们能够及时发现并报告真实世界的网络安全攻击，那么，您的模拟测试绝对需要能够反映他们最有可能在真实世界的所看到的网络攻击。”

此外，一旦你企业组织的员工报告了相关的网络安全攻击，那么，您的企业一定需要有一套到位的流程，使他们可以在早期对这些有针对性的攻击做出响应，因为正是在网络攻击的早期，他们才以最低的成本减轻其所带来的损失。

“但是，如果这些报告只是被排队堆积在服务台的话，这是不能发生的。”他补充说。

　　IronScales

IronScales公司为企业客户提供网络钓鱼模拟和游戏化的企业员工安全意识培训。

游戏化使得培训的过程变得更有乐趣和互动性，IronScales公司的首席执行官Eyal Benishti表示说。 “人们已经厌倦了子弹和无聊的视频。”

当涉及到行为改变时，持续的评估能够使影响最大化，他补充说。他建议企业客户可以至少每两个月进行一次测试。

根据从约60多家企业所收集到的数据显示，其结果是，网络钓鱼邮件的点击率将明显降低，而员工向安全管理人员转发网络钓鱼邮件的比例比之前增长了200%。

(责任编辑：安博涛)