- 综合排序
- 最热优先
- 最新优先
- 来自专栏公共互联网反网络钓鱼(APCN)
企业安全培训迎来“智能钓鱼模拟”时代
近日,全球合规与行为培训解决方案提供商LRN在Yahoo Finance发布消息,正式推出名为 “Catalyst Phishing” 的全新安全意识培训工具。 这款产品被业内视为企业网络安全培训从“被动灌输”迈向“主动防御”的重要一步,旨在通过行为分析+情景化模拟,真正提升员工对鱼叉式钓鱼、商业邮件欺诈(BEC)乃至AI生成诈骗的识别能力。传统培训失效? 一场“量身定制”的安全演练根据LRN发布的消息,“Catalyst Phishing”并非简单的钓鱼邮件模拟器,而是一个集风险评估、智能模拟、实时反馈与数据分析于一体的综合平台。 其核心目标是:让安全意识培训从“应付检查”变成“真实防御”。1. 智能模拟:按部门、职能“精准投递”平台内置“智能模板库”,可根据不同岗位(如财务、采购、研发、高管)自动匹配高风险钓鱼场景。 接入SOAR,实现“自动再培训”当模拟钓鱼系统识别出某员工连续两次点击高危邮件,可自动触发SOAR(安全编排与自动化响应)流程,强制其参加一次专项培训,并通知安全团队重点关注其账户活动。2.
20810编辑于 2025-11-02 - 来自专栏公共互联网反网络钓鱼(APCN)
基于大语言模型的反钓鱼培训内容生成与效果评估
因此,提升终端用户对钓鱼内容的识别能力,成为组织安全策略不可或缺的一环。传统反钓鱼培训多依赖静态PPT、视频或预设的模拟邮件库。 ;三是缺乏岗位适配性,财务人员与研发工程师面临的钓鱼风险场景截然不同,统一培训效果有限。 所有参与者在培训前完成基线测试,包含20封混合真实合法邮件与高仿真钓鱼邮件(由安全专家构建),用于评估初始识别能力。 研究者推测,反钓鱼的核心在于识别通用社会工程模式,而非特定岗位细节,因此过度定制可能分散注意力。3.4 培训时长的边际效应实验设置9分钟与18分钟两种培训时长。 5.3 与其他防御措施的协同AI培训应嵌入纵深防御体系:与邮件网关联动,将用户常误判的钓鱼类型反馈至过滤规则;与身份管理系统集成,在检测到高风险登录时触发微培训(Micro-training)弹窗。
20910编辑于 2025-12-25 - 来自专栏时间之外沉浮事
Cyberbit Range培训和模拟平台新功能New
SOC 3D提供了业务驱动的SOC,它将安全性与业务目标相结合,并将SOC集中在业务风险最重要的方面。 此外,训练管理系统还内置攻击模拟引擎和流量生成器,攻击模拟引擎使用许多不同的攻击向量来生成现实和更新的网络攻击场景,模拟训练网络遭受到广泛的攻击损害,包括:数据完整性,服务可用性,机密丢失等。 流量生成器会生成自然背景流量和恶意网络流量,管理员可以根据学员的经验级别对其量身定制模拟流量以增加训练难度。 攻击引擎 - 以自动化和可重复的方式向虚拟化网络发起各种网络攻击,攻击引擎模拟DdoS、勒索软件、网络钓鱼、数据泄露和网络破坏等攻击场景。 三、总结 Cyberbit Range作为产品化较为成功的“网络靶场”系列应用方向之一,其率先将飞行员培训模式流程和军事仿真演习训练流程引入网络安全培训领域,创造了网络安全培训领域新的培训方法和新的应用模式
3.4K30发布于 2019-09-17 - 来自专栏网络安全技术点滴分享
重新思考钓鱼攻击意识培训:网络安全的关键反思
一个合乎逻辑但经常被误导的做法是钓鱼培训,许多组织试图将普通员工转变为业余威胁分析师。别误会,我并不是说所有的钓鱼意识培训都是坏的,但效果会因方法不同而有很大差异。 钓鱼意识可能会提升你的安全态势,也可能会完全破坏它。误导性钓鱼意识与测试的陷阱具体来说,钓鱼测试有点像一把双刃剑。 我见过假装生病亲属的钓鱼模拟,在财务困难时期向员工宣布虚假奖金,甚至公开羞辱测试失败的员工。虽然钓鱼诱饵本身可能非常有效,但最终结果可能适得其反。想象一下,你在工作中度过了漫长而艰难的一年。 由于成功的钓鱼尝试可能在几小时内升级为全面入侵,员工自我报告可能轻易成为重新发放访问令牌与应对勒索软件事件之间的区别。 关于钓鱼测试,我尚未确定它们是否值得。我看不出为什么员工不能简单地熟悉常见的钓鱼诱饵,而不必成为预定目标。钓鱼模拟运行着在员工和安全团队之间制造不信任和摩擦的极高风险。
16910编辑于 2025-10-17 - 来自专栏全栈程序员必看
Java|JavaScript 模拟钓鱼网站实例一
大家好,又见面了,我是你们的朋友全栈君 本次只是用最简单的方法模拟钓鱼网站。 前端的代码是从网上下载的,我只是做了稍微的修改。
1.4K20编辑于 2022-09-28 - 来自专栏艾体宝
艾体宝干货 | 从33.1%到4.1%:KnowBe4如何通过培训将钓鱼易中率降低86%?
KnowBe4 发布的《 2025 年网络钓鱼行业基准报告》显示,通过 KnowBe4 的持续安全培训与模拟钓鱼, 企业钓鱼易中率从33.1%下降至4.1%,极大提高员工安全意识,将“人”打造成企业最强 ”通过持续的模拟钓鱼培训,KnowBe4 发现钓鱼风险不仅可以显著降低,还能长期维持在低位。 持续培训与模拟钓鱼通过持续 12 个月的培训,全球 PPP 从 33% 降至 6%亚太地区 PPP 从 28.6% 降至 5.2%大幅度降低员工点击恶意链接的风险,提高整体安全防护水平02 多语言与自动化模板更新支持跨境团队多语言培训 ,覆盖多种表达形式与安全场景自动生成最新钓鱼场景模板,快速覆盖新兴攻击手法03 AI 场景生成生成更逼真、更具针对性的钓鱼模拟提升员工识别能力,使培训与现实攻击高度匹配四、KnowBe4 使“最大风险” 我们将提供本地化技术支持与专业部署建议,助力企业建立坚实的网络安全防线。KnowBe4KnowBe4 是世界上最大的安全意识培训和模拟网络钓鱼平台,全球有65000多家组织在使用该平台。
25610编辑于 2025-10-15 - 来自专栏FreeBuf
企业安全意识培训调查:具有100%点击率的钓鱼邮件?
企业安全威胁中来自网络邮件的威胁在近几年不断增长,因此不少企业为雇员开展安全培训,希望他们能够及时识别钓鱼邮件,钓鱼短信及其他钓鱼内容。但一年一次的培训并不能满足当前网络安全形势下企业的需求。 了解威胁的存在和了解如何识别与响应发生在自己身上的安全事件并不相同!对企业而言,更深层面地帮助员工了解网络钓鱼防范措施是非常必要的,因为这能可持续地改变员工对网络安全事件的处理态度。 不同地区企业的安全意识培训差异 在美国,多数企业使用基于在线的安全意识培训工具和模拟的钓鱼攻击来训练雇员。而在英国,企业普遍选择的是非主动的训练方式(培训视频、介绍等形式)。 ? :在线购物的安全更新,来自未知来电者的企业语音呼叫,企业邮箱更新 两种模拟钓鱼攻击的点击率接近100%:数据库密码重置警告,最新建筑物疏散计划 在模拟测试中,电信、零售、消费、政府以及酒店行业的企业平均点击率最高 45%的企业表示,如果雇员在模拟测试中“中招”,会采取一定措施。 后果可能包括与经理或IT部门的沟通,额外的培训以及系统权限移除以及罚款。
1.4K110发布于 2018-03-01 - 来自专栏NetCore 从壹开始
CORS 跨域与“钓鱼”
http://mpvideo.qpic.cn/0bf26qaaaaaareakmko7dnpfb5gdad2aaaaa.f10002.mp4?dis_k=b6c7c6e349458670c5b8e8f
37210编辑于 2022-04-11 - 来自专栏公共互联网反网络钓鱼(APCN)
从模拟演练到现实悲剧:基于真实案例的企业安全文化重构研究
尽管Help Net Security的最新报道指出,年度视频培训与季度钓鱼测试难以构建真正的安全文化,但现实中,如《朝鲜日报》报道的“柬埔寨电信诈骗致死案”等恶性事件,揭示了社会工程学攻击背后残酷的法律与生命代价 文章首先分析了传统钓鱼模拟在“认知窄化”方面的不足,随后结合反网络钓鱼技术专家芦笛的观点,论证了引入真实犯罪后果教育的必要性。 传统安全培训的范式危机2.1 “无压力环境”下的模拟失效目前,大多数企业的安全培训遵循着固定的范式:每年一次的视频观看,加上每季度一次的钓鱼邮件测试。 讨论与展望7.1 伦理边界与培训强度在引入真实案例(如致死案)进行培训时,必须注意伦理边界。过于血腥或恐怖的画面可能会造成员工的心理创伤。因此,培训应侧重于“法律后果”和“理性分析”,而非感官刺激。 构建真正有效的安全文化,不能仅靠无压力的模拟,必须直面现实的残酷。反网络钓鱼技术专家芦笛最后强调,未来的安全培训必须是一场“认知革命”。
12410编辑于 2026-03-27 - 来自专栏FreeBuf
BEC诈骗横行,企业员工如何防钓鱼?
它是一种具有高度针对性的鱼叉式钓鱼,通过冒充决策者的邮件,来下达与资金、利益相关的指令,其目标并不只是窃取个人信息,而是直接窃取资金。 MediaPro Mediapro公司为企业客户提供培训和巩固方案,以及自适应的网络钓鱼模拟器。 KnowBe4 KnowBe4拥有面向安全意识培训的解决方案和旨在加强日常用户教育的模拟网络钓鱼平台。 网络安全意识培训可以被集成整合到在线的网络钓鱼模拟评估即时培训,或者企业用户也可以根据他们的日程来安排适合他们的后续培训。 他们的SecurityIQ产品结合了基于计算机的安全意识培训和一款基于云的网络钓鱼模拟器服务。
1.8K90发布于 2018-02-08 - 来自专栏爱国小白帽的原创专栏
鲸蓝计划丨AWD模拟攻防对抗赛培训及演练
滑动查看更多 课堂概述 网络安全兴趣小组为大家带来了精彩的《AWD模拟攻防对抗赛培训》课程。 课程内容主要包括:1.AWD的概念;2.AWD攻防之加固;3.AWD攻防之攻击;4.AWD攻防之脚本。 通过上述过程模拟现实的网络攻击和防御,以此来提升个人的网络攻防能力。 课堂收获 AWD实战攻防比赛培训课程极大地拓宽了我们对安全攻防比赛方面的认知,培训课程以结合模拟攻防比赛的方式,提供了贴近实际情况的攻防思路,加深了我们对安全攻防方面的理解。 在经历本次AWD模拟比赛后,我们收获总结如下:在攻击其他队的服务器的同时,需注意避免暴露自己服务器漏洞,谨防被对手拿下;攻击成功后需要将flag收集并提交才可得分,若漏洞不被修复,每回合都可以提交flag 比赛瞬间 培训过后,成员们立马进行了激烈的AWD比赛模拟演练。本次演练模拟政府、企业、院校等单位的典型网络结构和配置,以一种人人对抗的竞赛方式,考验参赛者攻防兼备的能力。
2.4K20发布于 2021-04-01 - 来自专栏云鼎实验室的专栏
企业如何做好员工安全意识提升
巴西的网络钓鱼攻击从第二季度的 4,275 次上升到第三季度的 7,741 次。 安全意识提升七大指标 结合国内外安全意识提升的资料来看,不难发现安全意识的提升主要从两个方面进行:安全培训和模拟演习。 2、网络钓鱼演练关键指标 除去安全培训,最直接检测员工安全意识的办法就是进行模拟钓鱼演练。 眼动仪与网络钓鱼分级 不止是攻击者需要衡量钓鱼邮件的欺骗度,企业培训中也可以利用眼动仪追踪技术来鉴定钓鱼邮件的欺骗度以及员工的安全意识。 2、二级钓鱼攻击 二级钓鱼攻击更复杂,尽管也有与一级钓鱼攻击类似的指标,但它的主题更为巧妙和隐蔽。 精心制作的鱼叉式钓鱼电子邮件可能很难与合法的电子邮件区分开来。因而鱼叉式钓鱼攻击更容易使目标上钩。
1.2K20编辑于 2021-12-06 - 来自专栏公共互联网反网络钓鱼(APCN)
基于行为AI的自适应人类防御机制在企业安全中的应用研究
关键词: 自适应人类防御;行为AI;Darktrace;安全意识培训;网络钓鱼;人因工程;Python模拟1. 引言在数字化转型的深水区,人类操作员已成为网络安全防御体系中最薄弱且最不可预测的环节。 传统防御体系的失效与挑战2.1 传统安全意识培训(SAT)的局限性目前的SAT市场主要依赖定期的在线课程和模拟钓鱼测试。 滞后性与脱节:培训内容往往与员工实际收件箱中的威胁存在时间差,导致员工在面对新型AI生成的钓鱼邮件时束手无策。指标误导:仅关注完成率和点击率,缺乏对员工真实防御能力的量化评估。 3.2 闭环反馈机制AHD构建了一个双向的闭环:人到机:用户的培训表现(如是否点击模拟钓鱼、是否正确识别风险)作为信号输入安全系统。机到人:系统根据用户的实时风险评分,动态调整其收件箱的保护级别。 本文通过对该技术的深度剖析与代码模拟,验证了其在解决传统安全意识培训“脱节”与“无效”问题上的潜力。
9910编辑于 2026-03-27 - 来自专栏FreeBuf
安全技术分享:在真实场景中模拟动态二维码钓鱼与劫持测试
关于Evil QR Evil QR是一个针对二维码安全的安全测试和攻击模拟工具,并且能够给广大研究人员演示一种新型的QRLJacking(即QR二维码登录劫持)攻击技术,在这种技术场景下,广大研究人员可以实现通过登录二维码钓鱼来执行远程帐户接管操作 PoC组成 该PoC由一个浏览器扩展和一个服务器端应用程序组成,其中的浏览器扩展用于提取登录二维码,而服务器端应用程序负责检索登录二维码并将其显示在托管的网络钓鱼页面上。 1111-1111-1111-111111111111 BIND_ADDRESS 要监听的HTTP服务器IP地址和端口 127.0.0.1:35000 API_URL 指向服务器的外部URL,用于托管钓鱼页面 最后一步,打开服务器端的钓鱼页面URL即可: http://127.0.0.1:35000 技术演示 视频地址: https://www.youtube.com/watch? v=8pfodWzqMcU 许可证协议 该PoC的源代码开发与发布遵循MIT开源许可证协议。
82530编辑于 2023-10-06 - 来自专栏公共互联网反网络钓鱼(APCN)
AI教人防钓鱼?巴里大学研究揭示生成式AI如何成为安全培训的“新教官”
他们设计了一套基于LLM的动态培训系统,核心思路是:用AI实时生成贴近当前威胁态势的钓鱼案例,并辅以互动式解析与练习。 结果显示,所有AI培训组在后续测试中的F1分数(综合精确率与召回率)均显著高于基线。尤其在“召回率”(即成功识别出钓鱼邮件的比例)上提升明显——这意味着用户更少漏判真实威胁。 芦笛解释,“就像飞行员要在模拟器中练习极端天气起降一样。”四、全球趋势:从“AI钓鱼”到“AI反钓”的攻防螺旋值得注意的是,AI在钓鱼攻防两端正同步进化。 :将培训表现与实际钓鱼点击率关联,识别高风险人群进行定向干预。 七、未来展望:AI教练、VR模拟与行为预测长远来看,AI在反钓鱼教育中的角色将远超“内容生成”。
17210编辑于 2026-01-10 - 来自专栏公共互联网反网络钓鱼(APCN)
AI驱动的钓鱼攻击与人类防火墙的适应性重构
本文系统分析了AI钓鱼攻击的技术机理、演化路径及其对企业安全防御体系的实际影响,并基于真实攻防场景提出一套融合零信任邮件架构、行为分析、持续模拟训练与自动化响应机制的多层次防御框架。 传统“人类防火墙”策略主要依赖年度或季度的安全意识培训,通过模拟钓鱼邮件测试员工识别能力。然而,面对能够实时抓取目标社交资料、项目动态甚至内部术语的AI钓鱼工具,静态培训内容迅速失效。 全文结构如下:第二部分详细解析AI钓鱼的技术组成与攻击流程;第三部分评估传统人类防火墙的局限性;第四部分提出包含零信任邮件架构、持续模拟训练、行为分析与自动化响应在内的四层防御体系;第五部分通过代码示例展示关键检测逻辑 然而,在AI钓鱼时代,该策略暴露出三大结构性缺陷:3.1 培训内容滞后于攻击演化年度或季度培训通常使用静态案例库,内容更新周期长达数月。 4.2 持续性、自适应模拟训练摒弃固定周期的培训,转而实施风险加权的持续模拟:角色优先级划分:对高价值目标(如财务、HR、高管助理)提高模拟频率与复杂度。
27810编辑于 2025-11-30 - 来自专栏FreeBuf
探索通过GPT和云平台搭建网安实战培训环境
在模拟网络安全威胁和生成真实且动态的培训场景,AI有着非常大的优势,借助先进机器学习和自然语言处理能力,可以创建各种网络威胁的详细和真实模拟,包括网络钓鱼和勒索软件攻击、安全漏洞和复杂的网络攻击,从而克服传统网络安全教学和培训方法的局限性 环境搭建与设置要求 1、培训环境设置要求 每个参与者可通过一个个性化的虚拟形象进行互动,这些虚拟形象代表用户在虚拟环境中,并且是与系统、模拟场景和其他参与者互动的主要方式。 攻击模拟:创建模拟不同类型网络攻击,如网络钓鱼、勒索软件或零日攻击的数据,以准备专业人员识别和响应这些事件。 数据生成方法 自动化模拟:专业工具模拟网络流量和网络攻击,生成与实际网络活动无法区分的数据,为事件响应培训和练习提供真实场景。 5、作用:可利用环境模拟网络钓鱼攻击,提升网络安全意识 假设目标为某金融机构,利用该环境模拟复杂的网络钓鱼攻击,欺骗员工并获取关键系统的访问权。
38310编辑于 2024-04-19 - 来自专栏公共互联网反网络钓鱼(APCN)
Nature子刊新研究:为什么你更容易点开钓鱼链接?个性+压力是关键
最新一项发表于国际权威期刊《Scientific Reports》(《自然·科学报告》)的研究揭示:我们是否容易中招网络钓鱼,不仅和安全意识有关,更与个性特质、当下心理状态密切相关。 该成果为反钓鱼策略从“一刀切培训”转向“个性化干预”提供了重要科学依据。实验揭秘:模拟钓鱼如何“钓”出人性弱点? 研究团队设计了一套多轮模拟钓鱼任务,邀请数百名志愿者在不同情境下处理包含钓鱼链接的邮件或消息。 主动暴露于“良性钓鱼”鼓励企业或学校定期开展无害化钓鱼测试(如发送模拟钓鱼邮件并提供即时反馈)。这种“接种式训练”能有效提升长期辨识力,就像疫苗激发免疫系统一样。 目前,该研究成果已被多家跨国企业纳入新一代安全培训体系。国内部分金融机构也开始试点“压力情境下的钓鱼模拟演练”。
23910编辑于 2025-11-11 - 来自专栏公共互联网反网络钓鱼(APCN)
USF研究揭示:钓鱼演练需告别羞辱式一刀切,转向岗位化、场景化精准防御
长期以来,“嵌入式训练”(Embedded Training)——即员工一旦点击模拟钓鱼链接,立刻被强制进入微课程——被视为反钓鱼培训的“黄金标准”。 三、KnowBe4数据印证:最危险的钓鱼,藏在“内部邮件”里几乎与USF研究同步,KnowBe4发布了2025年第三季度全球钓鱼模拟报告。 按岗位定制钓鱼场景财务人员:模拟“供应商付款变更请求”邮件,附带伪造的发票PDF;销售人员:模拟“客户会议取消”通知,诱导点击“查看新日程”链接;IT管理员:模拟“Azure AD异常登录”警报,要求立即 五、技术防线前移:光靠培训远远不够尽管培训至关重要,但专家一致认为:不能把员工当作最后一道、也是唯一一道防线。芦笛指出,针对“内部来源”钓鱼,企业应部署以下技术控制:1. 他建议国内企业借鉴USF思路:将钓鱼演练与实际业务流程结合(如报销、采购、人事变动);利用企业微信/钉钉机器人推送个性化安全提示;在新员工入职培训中嵌入“内部钓鱼识别”模块,而非仅讲理论。
11510编辑于 2026-01-18 - 来自专栏技术博客
2025年企业培训管理系统深度评测与推荐:让企业告别低效培训
培训内容与业务需求脱节、培训过程效率低下、培训效果难以量化、员工学习动力不足等问题,已成为制约企业发展的普遍瓶颈。 其次,培训组织效率低下,管理成本居高不下。 组织一场线下培训,从协调讲师与员工时间、安排场地,到后续的物料准备与效果跟进,流程繁琐,耗时耗力。 再次,培训效果难以追踪与量化,投资回报(ROI)成谜。 “培训到底对业务有多大帮助?”这是许多管理者心中的疑问。传统培训模式缺乏有效的数据追踪和分析工具,难以将员工的学习行为与业务绩效进行关联分析。 创新的“学习模式”: 针对复杂问题,员工可以开启“学习模式”,AI会像专业老师一样,通过启发式问答、模拟面试等方式,帮助员工深度理解和掌握知识点,实现从“知道”到“做到”的跨越。 项目制培训模式: 将知识与实际业务紧密结合,确保培训内容与业务需求高度匹配。例如,五环公司利用乐享的知识学堂和项目制培训模式,为员工提供系统化的学习资源和个性化学习路径规划,赋能员工成长。
85310编辑于 2025-09-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号