是否有一个有效的社会工程员工意识计划？

Question

社会工程被认为是主要的威胁向量之一(例如，参见：https://gallery.technet.microsoft.com/Fixing-the-1-Problem-in-2e58ac4a)。员工意识培训也被认为是减轻这一威胁的最佳手段之一(见上文链接的同一份文件)。

我的公司有一个20分钟的基于计算机的社会工程意识和预防培训模块，每年提供一次。但是我是一个计算机安全人员，我记不起它说了什么，所以我怀疑它的有效性。

对于什么是有效的社会工程意识计划，是否有任何行业意识或共识？如果是这样的话，这类程序的特点是什么？

Answer 1

请注意，我正在写一本关于这个主题的书。

社会工程就是让人们做些什么。为了解决这个问题，你需要训练你的用户去做其他的事情。每年一次20分钟的视频并不是影响他人行为的有效手段。

持续、反复的培训，嵌入到用户的正常工作程序中，是改变行为的最有效方法。再加上模拟场景(模拟钓鱼等)让用户有机会安全地练习自己的技能，从长远来看可以巩固新的行为。对这种方法的有效性进行了大量的研究和研究。

安全意识不是“火与忘”的练习。它需要一个“缓慢滴”的知识，培训和实践，支持一个平易近人，甚至移情，安全团队。

在我的书中，我把这个问题比作试图让你的全体员工减掉5磅。一旦你开始这样思考，你就会发现问题不在于“什么是最好的视频？”而是，“如何每天帮助每个人？”

Answer 2

安全意识的主要问题是，它很大程度上是关于“低挂水果”。根据我的经验，社会工程运动越广泛，它们就越不复杂。如果你把目标对准了整个大公司的员工，你只需要对一些缺乏咖啡因的办公桌工人来说，你只需要看上去半连贯的东西，就可以心不在焉地点击链接/打开文档。

当你针对更多的特定群体或个人时，需要进行更多的研究、准备和护理，以达到同样的成功水平(诚然，你可以针对更多的受众进行量身定制的运动，并有更高的知名度，但裁剪有一个内在的问题，即变得更适合群体)。更复杂的攻击与员工日常的日常活动不太一样(您无法手动验证收到的每一封电子邮件)。

在所有这些攻击中，只有极低的回报率才能被认为是成功的。您的安全意识培训需要成为第二天性，不仅是你的硬技术头脑，但可能更平凡的管理人员，和繁忙的主管。当一封可能可疑的电子邮件通过时，每个相关的人都需要立即重新考虑。它需要根据你的组织的结构、你的运作方式以及你在外部的表现而量身定做。

一个尺寸的--不--真的--不适合--任何一套训练材料都更有可能被认为是通用的，“嗯，是的，但这并不真的适用于我，对吗？”我寻找了一些类似于标准模板的东西，但是在应该包含的要点上没有发现太多的东西。

Answer 3

关于如何防范社会工程攻击的一般指导方针，包括在工业认证的最新版本中，如CISSP和CEH。

来自诸如Udemy和materials等网站的在线培训课程也有足够和有效的材料。