根据上个月在USENIX SOUPS Security conference上发表的一篇论文,安全和网络钓鱼意识项目会随着时间推移而逐渐消失,员工需要在大约6个月后重新接受培训。
本文的目的是及时分析网络钓鱼培训的有效性。
利用组织在德国公共管理部门,必须通过强制性的网络钓鱼意识培训计划,来自多所德国大学的学者对国家地理信息和国家调查局(SOGSS)2200名员工中的409名进行了调查。
研究人员在一段时间内测试了网络钓鱼培训的有效性,并在定期,以确定SOGSS员工何时会失去检测网络钓鱼电子邮件的能力。
员工被分成多组,分别在4个月、6个月、8个月、10个月和12个月进行测试,在接受了一个现场网络钓鱼培训课程后。
研究团队发现,尽管调查人员在初始培训后的四个月后仍能正确识别网络钓鱼电子邮件,但在六个月及以后,情况并非如此,建议进行新的培训。
学者说:“我们开发了四种不同的提醒措施。
”四种提醒措施被分发到了四种分组(每组一个):(a)文本,(b)视频测量,(c)交互式示例,和(d)简短文本。
“在本教程结束后的12个月内,我们比较了四个提醒组的知识保留[…]。在四种提醒措施中,视频措施和交互式示例措施表现最好,其影响在推出后至少持续六个月。
学者们得出结论,虽然培训员工检测网络钓鱼电子邮件可能有助于组织抵御一些攻击,但这种培训需要是周期性的,包括重复训练课程,最好每六个月进行一次交互式或视频培训。
关于研究团队工作的更多详细信息,请参阅一篇名为“随时间推移的网络钓鱼意识和教育调查:何时以及如何最好地提醒用户”“[PDF
