如何衡量一个用户在模拟网络钓鱼电子邮件中的失败？

Question

作为团队领导，我在我公司的IT安全部门工作。我们定期向公司网络上的所有用户发送钓鱼邮件，作为对用户如何识别恶意钓鱼邮件的持续教育的一种形式。本公司经营于受监管的金融行业，拥有多元化的用户基础，具备从IT到客户服务等不同层次的技术能力。我们经常处理敏感的客户数据和个人身份信息(PII)。

我的团队在这些模拟电子邮件上报告用户的性能。有时，终端用户在我们发送的一封模拟网络钓鱼邮件上采取多项不明智的行动，例如单击链接或打开电子邮件中的附件。

我的想法是，考虑到每一个坏行为都可能代表一个不同的攻击矢量，可以被威胁代理利用，每一个坏行为都应该被看作是一个单独的失败。毕竟，在真正的网络钓鱼电子邮件中点击恶意链接可能导致妥协，就像打开此类邮件中受感染的附件一样。一个用户可以在一封虚假的网络钓鱼邮件上采取多个坏行为，这一事实似乎突显出，这些最终用户对自己的行为并没有真正的意识或怀疑，在我看来，这只是强调了这种报告方法的价值。

问题

要最准确地衡量最终用户的行为和可能存在的弱点，一封电子邮件上的多个错误操作应该被算作1次失败，还是应该单独计算为失败？

Answer 1

我认为，专注于个人网络钓鱼的结果是失去了森林的树木。作为一个五人，在介绍钓鱼运动的结果时，我试图在客户的培训过程中向他们展示结果。对网络钓鱼邮件采取不当行动的用户没有受到组织的适当培训。

然而，考虑到这一点，作为一个内部IT团队，我认为您应该关注随着时间的推移，网络钓鱼活动的聚合结果。第一次点击后，用户是否接受了额外的钓鱼培训？在接受培训后，用户以后是否会单击类似的钓鱼邮件(检测难度大致相同)？我认为这些汇总指标才是最重要的，因为最终结果应该会影响组织内部培训过程的改变。此外，组织内部的策略应该明确定义测试是如何进行的，以及重复失败的后果是什么。(回到你最初的问题，我认为在这种情况下，重复失败意味着重复训练后在多个运动中重复失败，而不是多次点击单个运动)。

Answer 2

请确定你的目标是什么。您是否正在创建度量或度量？

度量是可以在未来上下文中使用的原始数据。如果您想了解用户如何响应电子邮件中的各种数据点，那么您将收集数据并进行报告，作为以后分析的一种手段。

度量是一种具有上下文和意义的度量。如果您想要将结果与预期参数进行比较，如果您已经根据用户行为定义了决策，如果有您想要观察的阈值，那么您可以使用这些度量并从它们中设计度量。

所以，第一个要回答的问题是你想测量什么以及为什么。如果电子邮件中的多个数据点对您来说很重要，您希望随着时间的推移进行跟踪，那么您可以创建度量标准。否则，你只是在毫无目的地收集数据。如果您看到该数据的未来用途，则该方法可能有效。

对于任何数据库设计(基本上就是您正在创建的数据库)来说，重要的问题是:我想在数据中查询什么以及如何查询？

至于失败，你需要看看成功是什么样子。你能把每个人的失败映射到他们所学到的具体事情上吗？如果没有，那么收集这些数据就没用了。如果他们被告知这些事情，你将如何处理这些数据？这些数据是可行的吗？

从基本的数据收集角度来看，您还需要确保可以独立于其他数据点来确定单个数据点的效果。你能确定元素的组合不是影响因素，不是单个因素吗？

你在处理的是人类心理，而不是机械系统。你需要用心理学的方法来回答你的问题。更好的方法不是将电子邮件分解为数据，而是直接询问人们为什么认为自己失败了，以及他们认为自己可能需要从你那里得到什么，才能让他们在未来做出不同的回应。这些数据是相关的，考虑到了所有因素，并可立即采取行动。