在AI普及之前，钓鱼邮件往往很容易被识破，这些邮件中语法错误和用词不当的情况比比皆是，因此很容易被发现，但如今情况已不同，如今的网络钓鱼攻击更具说服力，往往与真实信息无异。

因此，许多公司都在使用网络钓鱼模拟测试来培训员工，以识别和防范此类攻击。

人力资源团队经常参与这些项目的推行，尤其是在员工培训、合规和意识提升方面。虽然技术方面的工作通常由IT或安全团队负责，但人力资源团队在确保培训成效方面发挥着关键作用。

这些模拟测试的实际效果如何?

研究人员对常见网络钓鱼培训方法的实际效果展开了一项研究，他们发现，在各种培训内容中，受过培训和未受过培训的用户在失败率上的绝对差异很小。

不过，我们应谨慎看待这一结果，因为该研究仅在一家医疗机构内开展，且仅以点击率作为衡量成功或失败的标准，并未全面反映实际情况。

谷歌安全经理马特·林顿(Matt Linton)表示，网络钓鱼测试已经过时，往往给员工带来更多挫败感，而非真正改善他们的安全习惯。

另一方面，采用适应性网络钓鱼模拟测试和基于行为的培训(尤其是在入职培训期间)的公司发现，新员工的网络钓鱼风险降低了30%。

尽管任何培训都不可能尽善尽美，但教育员工识别网络钓鱼仍是良好安全策略的关键组成部分。

事实上，网络钓鱼手段不断演变，几个月前还看似贴切的模拟测试可能现在已经过时。如果培训不能跟上新威胁的步伐，员工可能无法应对现实中的网络钓鱼攻击。

因此，网络钓鱼模拟测试作为更大战略的一部分时效果最佳，对于人力资源部门而言，这意味着要关注持续教育、沟通，并营造一种安全的工作文化，让员工敢于报告可疑邮件。

网络钓鱼模拟测试的弊端

员工倦怠

网络钓鱼模拟测试的目的是训练员工识别真实威胁，但如果员工对测试感到厌倦，他们可能也会忽视真正的网络钓鱼企图，这与企业的初衷背道而驰。

对士气的负面影响

当有人点击了虚假钓鱼邮件时，他们往往会感到尴尬或自责，有时员工会担心管理层会惩罚他们，或者同事会评判他们，这种负面情绪会降低他们的自信心和学习意愿。

测试泛泛而谈，未切中要害

并非所有网络钓鱼测试都能切中要害，一些公司使用的测试示例过于通用、陈旧，无法反映员工实际面临的真实威胁，在这种情况下，人们往往会忽视这些测试。

让网络钓鱼培训在团队中发挥作用的步骤

要让任何培训项目发挥作用，首先需要了解企业面临的风险，哪些员工面临的风险最大?他们对网络钓鱼已经了解多少?

接下来，与IT或安全团队紧密合作，创建与当前威胁相匹配的网络钓鱼测试。

告知员工预期情况，解释这些测试的重要性，以及它们如何有助于防范问题。

不要责备员工，如果有人在测试中失败，应将其视为学习机会，而非惩罚依据，这样做，员工就不太可能隐瞒错误或避免报告网络钓鱼邮件。

选择供应商时，要注重内容和逼真的模拟测试，系统应易于使用，并提供有用的报告。

最后，征求员工的反馈意见，了解哪些有效、哪些无效，并利用所学知识不断改进培训。

IRONSCALES的CEO埃亚尔·贝尼斯蒂(Eyal Benishti)表示：“虽然传统的安全意识培训对于在整个企业中建立共同的知识基础至关重要，但必须认识到，员工在具体知识和可靠性方面存在差异。作为第一步，企业应使用网络钓鱼模拟测试为每位员工建立绩效基准，在此基础上，企业可以根据每位员工的经验、知识水平、部门、职位等，为其提供更具针对性的培训模拟测试。”

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。