根据最新的《Verizon数据泄露报告》显示，网络钓鱼电子邮件通常是网络攻击的第一阶段。这是因为其攻击效果良好，30%的网络钓鱼邮件都会被打开，但只有3%的受害者上报给管理人员。

但是，当企业员工接受了相关的如何发现网络钓鱼邮件的培训、然后进行了模拟网络钓鱼邮件的测试之后，每一轮的强化训练都会使得网络钓鱼邮件的受害者的百分比大幅下降。

当然，想要使得这些网络钓鱼电子邮件获得零回应率是不可能的。因为现如今的网络罪犯们在他们所发送的电邮信息方面变得越来越狡猾了。庆幸的是，这不是必要的。如果一家企业有足够多的员工都在向其安全管理人员转发报告网络钓鱼邮件时，那么该公司就会开始意识到，他们已经成为了网络攻击活动的目标，需要准备采取相应措施来处理这些网络钓鱼邮件了。

反网络钓鱼工作组

这家反网络钓鱼工作组(Anti-Phishing Working Group)为企业客户提供了各种资源，包括钓鱼教育培训登陆页面，企业客户可以在他们自己的反网络钓鱼活动上结合该页面使用。下文中所介绍的其他一些供应商，包括PhishMeInc.公司和KnowBe4，也提供相关的免费资源。

另一款免费的工具是来自 MicroSolved公司所提供的MSI Simple Phish，其允许企业用户的安全团队在企业内部来运行自己的网络钓鱼测试。

BetterCloud公司为企业用户提供了基于云的办公应用程序的安全和监控服务。当与该公司属于同一幢写字楼的另一家公司因为网络钓鱼而损失了200万美元，而且他们所购买的网络安全保险根本不足以弥补其损失之后，BetterCloud公司开始担心网络钓鱼的问题了。

“他们的业务真的遭受到了重创。”BetterCloud公司的高级安全工程师奥斯丁·惠普尔表示说。“而想要从此次重创中恢复是很难的。”

为此，BetterCloud公司在全公司范围内实施了员工培训，然后自行创建了一个似乎是由该公司的人 力资源系统发送的网络钓鱼电子邮件的活动，但其实是来自公司外部的电子邮件地址。此次活动还伴随着更多的后续教育随访。

“相比于其他企业组织，或者Verizon公司的报告，我们干得相当不错。”他说。 “但仍有一些可以改进的地方。”

他补充说，当过一段时间之后，他们公司还会进行另一次网络钓鱼测试。而该公司的员工们会向他本人转发可疑的电子邮件，很明显，该公司已经成为某些网络不法份子的攻击目标了，因为一些真正的网络钓鱼邮件包括了他们企业内部的某些信息，将需要进行一些研究了，他补充道。

据惠普尔介绍说，建立一个反网络钓鱼训练方案计划并不太难。

“任何一名技术人员都可以完成这件事，”他说。 “这并不需要大量的设置工作。您企业只需要教育和培训您的员工，进行测试，然后对员工进行再教育，并做后续测试就行了。”

PhishMe

PhishMe公司的钓鱼模拟、训练和报告平台目前在全球范围内拥有超过800家企业客户，包括其中有近一半的客户是财富100强的企业，这些企业客户采用他们的工具和服务来积极的让数千名员工在模拟条件下检测和报告网络钓鱼攻击的威胁。

PhishMe公司还提供了一款网络钓鱼事件响应平台，能够针对网络钓鱼邮件更快的响应，进行自动并优先的报告发送;而他们的另一项威胁情报服务，则能够帮助安全威胁分析人员通过诊断他们所看到的网络钓鱼活动以验证外部威胁。

通过将网络安全保护意识培训、简单方便的报告和适当的安全响应对策结合起来，企业组织的员工们可以从一家公司的安全防护最薄弱的一环转变成为企业安全保障的第一线。

“员工是抵御鱼叉式网络钓鱼最强大的层，而企业组织需要利用其员工可以提供的每一个安全优势，以保持对于这项顶级网络安全攻击的防范。”PhishMe公司的首席执行官Rohyt Belani表示说。

PhishMe公司还提供了十几款免费的培训模版，以交互式的PDF文件格式或符合SCORM兼容的文件格式，可以通过一家企业客户的学习管理系统运行。

PhishLabs

PhishLabs的客户包括了排名美国前五大金融机构的其中四家、全球排名前25的金融机构的其中七家、领先的社交媒体和求职网站、以及顶级的医疗保健企业、零售商、保险和科技公司。

“让模拟场景尽可能的真实。” PhishLabs公司的创始人兼首席执行官约翰·拉科建议说。 “如果您希望您企业的员工们能够及时发现并报告真实世界的网络安全攻击，那么，您的模拟测试绝对需要能够反映他们最有可能在真实世界的所看到的网络攻击。”

此外，一旦你企业组织的员工报告了相关的网络安全攻击，那么，您的企业一定需要有一套到位的流程，使他们可以在早期对这些有针对性的攻击做出响应，因为正是在网络攻击的早期，他们才以最低的成本减轻其所带来的损失。

“但是，如果这些报告只是被排队堆积在服务台的话，这是不能发生的。”他补充说。

IronScales

IronScales公司为企业客户提供网络钓鱼模拟和游戏化的企业员工安全意识培训。

游戏化使得培训的过程变得更有乐趣和互动性，IronScales公司的首席执行官Eyal Benishti表示说。 “人们已经厌倦了子弹和无聊的视频。”

当涉及到行为改变时，持续的评估能够使影响最大化，他补充说。他建议企业客户可以至少每两个月进行一次测试。

根据从约60多家企业所收集到的数据显示，其结果是，网络钓鱼邮件的点击率将明显降低，而员工向安全管理人员转发网络钓鱼邮件的比例比之前增长了200%。

MediaPro

Mediapro公司为企业客户提供培训和巩固方案，以及自适应的网络钓鱼模拟器。该公司的客户包括微软、T-Mobile、Expedia、思科、甲骨文、波音公司、万豪酒店、Costco和其他财富500强企业。

不要对企业员工就同一类型的网络钓鱼邮件进行一遍又一遍的测试是非常重要的，MediaPro Holdings, LLC公司的董事总经理史蒂夫·康拉德表示。

“并非所有的网络钓鱼活动都是一样的，而且也不应该是一样的。”他说。 “您企业将需要使用不同的模式，来测试发送复杂程度完全不同的网络钓鱼邮件，而那些不同的模式会产生不同的效果。而如果一而再，再而三的发送相同或类似的网络钓鱼邮件，您邮件的最终用户所显示的网络钓鱼报告将是：邮件的点击率固然会大幅下降，但这并不会帮助您实现您最初的测试目标。”

KnowBe4

世界头号黑客大神凯文·米特尼克是KnowBe4公司的首席黑客官，该公司声称拥有最流行的集成平台，能够为上千家企业客户提供安全意识培训和模拟网络钓鱼测试。

根据该公司的首席执行官Stu Sjouwerman介绍说，网络钓鱼邮件通常会涉及到各种不同的网络攻击，包括勒索软件(ransomware)和商务电邮攻击(business email compromise , BEC)。

“今年，由商务电邮攻击和勒索软件的犯罪活动所造成的损失已高达10亿美元。”他说。

KnowBe4公司也提供了一款免费的钓鱼安全测试。该公司还提供一次性的免费电子邮件曝光检查，以帮助确定企业雇员的电子邮件地址是否被暴露于公众。

Wombat

Wombat公司声称拥有1000多家企业客户，并提供自动化的网络钓鱼测试和培训模块服务。该公司是在这个领域最早的供应商之一，于2008年由卡内基·梅隆大学的一个研究项目发展而来。

此后，该公司继续专注于研究，并定期推出有关网络钓鱼的趋势和培训效果的研究报告。例如， Wombat公司与安全研究中心Ponemon Institute进行合作，以确定平均执行程序导致了37倍投资的回报。

据Wombat Security Technologies公司的首席执行官乔·费拉拉介绍说，网络钓鱼平均每年会耗费一家拥有10000名雇员的企业大约300万美元的成本，而借助一项成功的员工安全培训计划则可以使得遭受网络钓鱼攻击的员工数量减少90%。

他说，一个成功的员工安全培训方案的关键在于，当他们在一个网络钓鱼测试考验失败后，自动为这些雇员发送一个网络钓鱼训练模版。

此时，他们最有动力加强这方面的改善，他说。

Inspired eLearning

该公司为其客户提供了反网络钓鱼训练，模拟网络钓鱼攻击，月度通讯，海报，数字标牌和其他工作指导，持续提供相关最佳方案的贴士，以帮助企业客户的员工时刻将保持网络安全放在首位。该公司的客户包括富兰克林邓普顿投资公司(Franklin Templeton Investments)、ING、芝加哥商品交易所、塔塔集团(Tata)、RedBox、ADP、Jhnson Controls、Bridgestone、美国农业部(the USDA)和ABB。

该公司表示，他们在全球拥有五百多万的企业用户，其所提供的方案帮助共计减少了超过92%的网络钓鱼攻击。

其PhishProof产品可作为一款完全托管的服务，而该公司的专家设计团队则提供部署评估和培训，或作为软件即服务模型，可通过在线软件的形式在几分钟内用于创建和部署评估。

Blackfin

Blackfin Security公司是赛门铁克的下属子公司，该公司提供网络钓鱼模拟和培训服务。网络安全意识培训可以被集成整合到在线的网络钓鱼模拟评估即时培训，或者企业用户也可以根据他们的日程来安排适合他们的后续培训。

此外，该公司还提供了针对社会工程、恶意软件、物理安全、和使用公共WiFi网络的培训模块，以及其他一般的安全议题。

这不同于赛门铁克自己的训练计划，后者的计划则致力于帮助企业用户的安全专业人员安装和维护不同的赛门铁克产品。

PhishLine

比反钓鱼测试更进一步，PhishLine将目标瞄准了更广泛的社会工程攻击，包括短信、电话、甚至是“不小心丢失”的U盘。

今年早些时候，PhishLine公司为基于第三方的计算机市场推出了培训材料，包括数以百计的钓鱼模板，自定义的登陆页面，风险评估调查和多语种的安全培训内容。

除了训练和模拟服务，该公司还提供测量工具，使得企业用户可以跟踪他们的计划是否成功。例如，其中的一款测量工具可用于游戏化，是基于风险的评分工具。企业用户可以在这里设置训练成绩，进而可以对员工个人，部门或其他团体的评分进行比较，或对企业内部或外部的评分基准进行定制。

InfoSec Institute

这家公司最出名的是他们的企业安全培训、新兵训练营和认证计划。

但他们也提供了交互式的安全意识在线培训模块。他们的SecurityIQ产品结合了基于计算机的安全意识培训和一款基于云的网络钓鱼模拟器服务。企业用户可以设置自动的项目，随着时间的推移为其雇员发送网络钓鱼测试，或提醒雇员报名参加他们的网络安全意识培训。

尽管企业用户在企业内部建立反网络钓鱼训练和测试程序也是可能的，但包括诸如InfoSec Institute在内的、以及上文中所提到的供应商则能够为企业客户带来一些显著的优势。

“通常情况下，企业组织在其内部并不具备提供良好的网络安全意识教育培训的条件。” NSS Labs.的安全测试和咨询副总裁Mike Spanbauer表示说。

而那些专注于网络钓鱼的供应商们则能够时刻把握当前网络钓鱼邮件的新趋势，并可以将其迅速整合到他们的安全训练计划和反网络钓鱼模拟模板中。