在当今的黑客眼里，员工才是企业信息安全最大的短板和漏洞。对企业的CSO们来说，模拟钓鱼等“安全演习”能有效提高员工的安全意识，竖起一道“人力防火墙”。

网络钓鱼是一种常见的社交工程攻击方式。无论是对企业还是个人，钓鱼攻击基本占到了网络攻击的一大部分。不过，凡事也有两面性。最近网络安全公司Wombat就发表了一份报告[wpdm_file id=1]指出，模拟的钓鱼攻击是对公司员工进行网络安全培训，提高员工安全意识的有效方式。

这份报告的数据采集和分析来自那些在金融业，制造业，医疗健康以及娱乐业等行业从事网络安全的一线负责人。他们在采用一种相对较新的方式来提高员工的安全意识，那就是，模拟攻击培训。

这份报告还讨论了财富500强企业的CSO应该如何利用这种方式，如何避免模拟钓鱼所带来的负面效果等。而不可否认的是，模拟钓鱼这种让用户亲身感受的方式是非常有效的网络安全教育。

“普通钓鱼，或者是更加定向的钓鱼，是现代网络犯罪，特别是有组织犯罪集团常用的用来进行数据或者虚拟财产盗窃的网络攻击工具。”前Garnter的网络安全分析师Perry Carpenter说：“对这种方式，目前最好的防范方法就是加强员工的安全教育，教育他们识别以及防范那些定向的社交工程攻击方式。”

而Wombat这份报告的目的就是要探讨和交流如何将模拟攻击作为持续的网络安全教育的一部分。这份报告还指出了模拟攻击在安全教育方面的一个重要特点。 那就是， 除了有效性之外， 模拟攻击的有效性是可以衡量和检测的。 这样对企业就能够从安全培训中取得最大的投入产出。

这份报告总结了如何在持续安全培训中实施和管理模拟攻击的要点：

l 取得跨部门高层的共识，通过模拟钓鱼攻击或者第三方咨询机构，让高层能够尽早介入。

l 在启动一个新的模拟攻击之前，评估现有用户的安全意识。

l 将之前的评估数据与模拟攻击后的新数据合并，将未来培训内容进行重要性排序。

l 采用教育科学的手段来强化学生的意识。

l 评估模拟攻击后的数据来计划下一次培训的时间。

l 要确保安全意识培训是一个持续性的过程。如果没有定时强化，员工的安全意识就会逐渐淡化。

Wombat的总裁及CEO Joe Ferrara认为：“通过采用包括模拟攻击在内的持续性安全意识培训能够大大降低网络安全风险。在报告中，我们看到，对第一次采用模拟攻击培训和第二次采用模拟攻击进行培训的企业来说，对模拟攻击效果的怀疑态度下降了80%。”