专注“钓鱼人防”：安全新星企业PhishMe浅析

钓鱼攻击给企业资产带来的威胁不用多说，大家从日常的新闻报道和各类安全公司给出的相关报告当中也有所耳闻，我们直接来看一些直观数据：    

91%的数据泄露都由钓鱼开始；

发现一起数据泄露的平均时间为146天；

处理一起数据泄露的平均时间为84天；

全球企业因数据泄露遭受的平均损失为4百万美元。

针对这样的形式，各安全企业对此也有各不相同的着力点，从连接安全、登录安全、浏览器设定、邮箱客户端配置、垃圾邮件过滤、钓鱼网站监测到备选交易认证渠道等。随着技术的发展，我们也愈发依赖技术来对抗不断演变的网络威胁。但在这个过程中，最重要的因素——人却极易被忽略。其实钓鱼针对的就是人，也就是企业员工，92%的信息行业从业者都在使用电子邮箱。针对员工，攻击者玩的是概率，找的是容易中招的对象。而我们今天将的PhishMe关注的就是人这最后一道防线，帮助事件响应团队快速分析并响应针对性钓鱼攻击。

人类可以是安全防御中最强大的环节，也可以是最薄弱的环节。安全管理人员正极力提高安全意识，改善终端用户行为，与此同时提高安全业绩、生产效率，加强问责制和合规性。

—— Gartner 基于计算机的安全意识培训魔力象限（Security Awareness Computer Based Training Magic Quadrant） Perry Carpenter, Joanna G. Huisman. 25 October 2016.

PhishMe简介

PhishMe是一家美国信息安全企业，帮助企业培训员工，辨别潜在的钓鱼风险。Gartner在上述魔力象限报告中，称其为钓鱼市场知名的“老兵”，并认为PhishMe是当前最大的基于计算机的反钓鱼培训服务提供商，在全球享有极高声誉。在上述魔力象限中，Gartner也将其放在了领导者的范畴当中。

Gartner的报告中写道，PhishMe专注于钓鱼行为管理，拥有庞大的市场基础，其客户满意度可作为行业基准。PhishMe品牌在安全行业相当知名，其营销能力和技术创新使其成为反钓鱼解决方案的业内标杆。

PhishMe成立于2011年，Rohyt Belani和Aaron Higbee联合创立，前者为CEO，后者为CTO。该企业A轮融资200万美元，B轮融资1300万美元，C轮4250万美元，投资方包括圣骑士资本集团、Aldrich Capital Partners领投公司。PhishMe在2015年收购了钓鱼威胁情报供应商Malcovery，体现了该公司一个新的发展方向。

PhishMe的产品及资源

能获得Gartner如此评价的企业，究竟有什么过人之处呢？我们这就来看看他们的产品和服务。简单来说，PhishMe提供的服务其实就是教育员工，分辨钓鱼邮件，当然也有上报钓鱼邮件、钓鱼威胁情报等服务。我们姑且把PhishMe的产品和服务作以下的分类：

教育培训类

PhishMe Stimulator

PhishMe Stimulator是一款SaaS钓鱼情景模拟服务，设计目的在于改变员工的风险行为，帮助员工识别并上报恶意钓鱼邮件。PhishMe会收集真实钓鱼邮件，创造逼真的钓鱼情景，让员工定期亲身体验钓鱼实例。能够体验的“活跃威胁”包括勒索软件、商务邮件钓鱼、鱼叉式钓鱼、社工、恶意程序和恶意附件、路过式攻击、高级会话钓鱼攻击等。PhishMe Stimulator拿到了2016 SC Magazine“最佳IT安全相关培训项目”奖。这个服务我们是很感兴趣的，也是PhishMe从成立之初就在做的项目，所以我们也致信PhishMe申请Live    Demo体验，奈何PhishMe在中国还没有开展业务，无法体验，甚是可惜。

CBFree

许多企业都有安全培训的合规性需求，所以PhishMe开发了一套符合SCORM标准的安全意识培训材料CBFree，适用于所有公司。这个材料是免费的，所有客户都可以申请下载。材料中包括15个互动小课程模块，培训内容涵盖高级鱼叉式钓鱼攻击、勒索软件、数据保护等等，可以单独在PDF中观看，也可以结合PhishMe的平台使用。这些材料目前提供了9种语言的版本，也有中文版。每个小课程持续时间大约5分钟，英文讲解，中文字幕，浅显易懂，适合用于公司培训。

PhishMe LMS

以上的这些免费培训资料模块在PhishMe的学习管理系统（LMS）当中，员工可以直接上手学习。除了现有的材料外，企业还可以上传自己的培训模块，并在系统中进行管理。员工开始学习之后，PhishMe LMS还能追踪哪些员工已经开始、完成或者还没开始自己登记的学习模块。系统中所有预置的模块都可以让员工进行互动学习，允许用户自己衡量对相应话题的理解程度。学习结果还能够以机器可读的格式导出。

各种报告

PhishMe针对钓鱼态势、勒索软件都有自己的报告，当然很多其他公司也是有的，并不算什么亮点，所以不作太详细的介绍。

Awareness Resources

除了上述的实景模拟服务和培训材料之外，PhishMe还做了许多提高员工反钓鱼意识的资源。为了吸引企业员工的注意力，PhishMe也是蛮努力的。画风从高逼格到小清新应有尽有。以下是他们的一些反钓鱼海报。

报告类

PhishMe Reporter

虽然 PhishMe Stimulator提供钓鱼实景模拟，教育员工识别钓鱼行为，但光靠“不点击”是不够的。钓鱼攻击来袭时，早期检测也是很重要的。安全团队想要缩短攻击者在企业网络中的时间，就需要提高可视化程度。迄今为止，企业还没有一个良好的流程，来收集、组织、分析用户上报的可疑邮件。PhishMe Reporter给企业提供了简单、性价比高的方法来填补这一信息空隙。

PhishMe Reporter是一款PC或MaC的Outlook、o365、Gmail、Lotus Notes邮箱工具条中的插件，安装简单，使用便捷。此外，基于Office插件框架，PhishMe还提供了PhishMe Reporter移动版（PhishMe Reporter for Mobile），覆盖了多种邮件客户端。PhishMe Reporter还能通过钓鱼模拟，自动识别来自未知源的邮件，保证发给安全人员或PhishMe Triage（后续将介绍）的只有潜在的恶意邮件。PhishMe    Reporter简化了员工上报可疑邮件的流程，可以让员工主动参与到企业的安全项目中来。

PhishMe认为仅仅有基于计算机的培训资料是不够的。亲身的体会和积极的鼓励才能改变员工行为，提升反钓鱼能力。员工上报了正确的钓鱼邮件或者没能识别出模拟的钓鱼行为，PhishMe Reporter都会及时予以反馈，给员工留下难忘的体验。PhishMe认为积极正面的鼓励才是构筑强大人工钓鱼防线的关键。

PhishMe Intelligence

PhishMe Intelligence提供钓鱼威胁情报，还有分析师人工审查，减少误报率。PhishMe每天分析来自各不同源的数百万条信息，自动分解，并发现新的钓鱼和恶意程序威胁。然后PhishMe情报会以STIX、JSON、CEF等机器可读方式发布，通过一个RESTful API获取，可以简单地整合到其他安全解决方案，并且转化为人工可读模式，供深入研究和诊断。用户在PhishMe的SaaS研究平台上还可以搜索各种犯罪软件家族，查找钓鱼和恶意程序攻击。另外，用户还可以订阅PhishMe Threat    Alter威胁警报，实时获得最新钓鱼威胁和恶意程序攻击信息。

检测及响应类

PhishMe Triage

PhishMe Triage是首个专门针对钓鱼的事件响应平台，帮助安全运营和事件响应人员，自动化钓鱼威胁的优先级排布、分析和响应。钓鱼攻击发生时，PhishMe Triage能够实现实时可视效果，并快速认证攻击。已经认证，攻击情报就会被推送给防御层、运营团队和事件管理解决方案。Triage还有多种部署选择，可以按照企业的具体需求和规模来优化钓鱼事件响应：

PhishMe Triage——虚拟应用，可由内部团队全权管理

PhishMe Triage Cloud——专用实例，部署于PhishMe的安全云基础设施中，用户可进行操作。

PhishMe Triage Managed——部署于PhishMe的云基础设施中，完全由PhishMe管理。

Triage能够与企业现有的安全解决方案整合，比如SIEM、反恶意程序、分析和威胁情报解决方案等，并与上游安全团队共享IOC/IOP，预防更多攻击。PhishMe的整合包括：系统日志整合、外部查询、配置整合。合作产品品牌如下：

下面我们来看看Triage是如何与Lastline Analyst整合使用

从PhishMe的所有产品当中，我们都可以看到人在其中所起的关键作用。信息安全行业常常充斥着“人是最薄弱的环节”这种言论，但正如PhishMe CEO在今年的RSA 2017上接受iSMG采访时所言，让人去适应，给人提供培训，人就能变成强大的防御，这是许多传统行业早就验证得出的结论，PhishMe只是将之应用到安全行业当中了。

PhishMe与安全意识培训市场

当然除了PhishMe CEO之外，还有许多其他厂商也同意这样的观点。因为企业组织层面需要改变或改善员工、公民及用户安全行为，终端用户安全教育与培训的市场正在快速增长。另一个驱动因素在于基于技术的安全系统还没有办法提供完美的安全防护，人因为自身固有的优势和弱点，在企业安全和风险当中扮演着不可忽视的角色。因为这一现实，加上企业和员工越来越多地使用手机、IoT设备和云解决方案，CISO必须认识到员工行为对企业安全及风险管理效率的影响有增无减，必须加以管理。

根据Gartner的统计，从2014年到2015年，该市场增长率达到55%，2016年增长率也达到相似水平，2016年市场大小预计约2.4亿美元。进入上面魔力象限的18个供应商当中，有15个年增长率都超过了25%，其中许多增长率超过70%，还有4家超过了100%。投资界也在密切关注这一市场，其中我们看到KnowBe4在A轮融资8百万美元，而PhishMe C轮融资4250万美元。

市场趋势

随着相关产品逐渐成熟，安全培训类企业也在寻求各种不同的方法来区别自己与竞争者。从2011年至2014年，许多厂家通过在产品组合中加入反钓鱼行为管理功能来突显自身的优势，但现在绝大部分厂家都已经整合了这一功能，或与反钓鱼行为管理厂商展开合作。

这两年来，各厂商更注重以下几点：

学习管理系统（LMS）：有些厂商提供强大的LMS平台，基于SaaS，拥有定制内容，功能齐全的管理仪表盘和报告系统，还会对钓鱼模拟测试和CBT培训表现的交叉指标进行全面解读。

游戏化：某些厂商较为侧重游戏化，而且这种游戏化不仅仅是将游戏作为学习工具。这里的“游戏化”包括创建跨部门排行榜等，用各种不同的方式将各部门进行排名。

多语言支持：大多数较老的厂商都支持所有主要语言群体。不过现在许多厂商通过一些非传统语言服务支持来彰显自己的不同之处，支持语言超过20种，有些厂商甚至支持50多种语言，包括某些语言的文化变体和方言。

庞大的补充内容资料库：意识到CISO和安全意识管理人员都不是职业的内容编辑、平面设计师或者营销专家，许多安全意识培训厂商提供了庞大的资料库，包含众多预先设计好的内容，作为补充材料。这些内容可能包括内部通讯材料、企业内部网络海报、邮件、安全警告、家庭安全信息等等。

各异的内容格式、长度、风格：许多企业用户和供应商都意识到自己的安全培训内容不能是千篇一律的。因此，他们也在开发不同长度、不同风格的内容，比如1-2分钟超短微课程，或者在培训材料中加入幽默元素。这样，培训人员就可能以不同形式接受相同信息，增加信息吸收率，同时也能够针对特定岗位或人员定制培训内容。

合作整合：许多厂商也在寻找与核心安全技术供应商之间的合作，比如员工监控厂商、端点检测和响应（EDR）厂商、端点保护平台（EPP）厂商、安全邮件网关（SEG）厂商及其他。这类合作的目的在于能够同时利用实时数据和日志数据，基于观察到的员工不安全行为，提供精准的及时的学习材料。另外，一旦记录到不安全或风险行为时，系统还会自动将该员工登记到相关语境的训练模块当中。这也是反钓鱼行为管理市场的演化方向——基于观察到的个人行为的、特别针对相应受众的培训。

竞争性定价：安全意识培训市场供应商众多，许多有竞争力的厂商提供的服务组合了基于计算机的培训模块、反钓鱼行为管理和安全意识支持材料。如果不仔细研究，许多产品和服务看起来都非常相似，许多曾经的特色也会在其他厂商的产品或服务中出现。因此，许多厂商下调了价格，以在报价方面体现不同。