We're sunsetting PodQuest on 2025-07-28. Thank you for your support!
Export Podcast Subscriptions
A THANKSGIVING SPECIAL: Phishing Failures, Red Team Career Advice, and Cybersecurity Ethics
2024/11/28
Hacker And The Fed
C
Chris Tarbell
被称为“在线犯罪的埃利奥特·内斯”,因其在打击网络犯罪方面的卓越成就而闻名。
H
Hector Monsegur
从黑客到网络安全专家,蒙塞古尔的职业转变和对网络安全的贡献。
Chris Tarbell和Hector Monsegur讨论了钓鱼训练的有效性。他们分析了一项针对20000名员工进行的为期八个月的钓鱼模拟测试的结果,该测试显示56%的员工至少点击过一次钓鱼链接,即使进行了内部培训,仍然有相当一部分员工反复点击钓鱼链接。他们认为,仅仅依靠员工培训不足以应对日益复杂的网络攻击,需要结合技术控制措施,例如邮件安全提供商、Web内容过滤和DNS安全,来增强安全性。他们还讨论了如何对反复点击钓鱼链接的员工进行问责,并建议采取更严格的培训或纪律处分。
Hector Monsegur强调了安全研究人员在漏洞披露方面面临的困境。一方面,如果不公开披露漏洞,他们可能会持有零日漏洞;另一方面,公开披露可能会扰乱正在进行的调查或危及用户安全。他建议安全研究人员在披露漏洞前应尝试与相关组织进行沟通,如果沟通无效,则可以考虑公开披露。他还建议,如果安全研究人员发现正在进行的恶意活动,应与执法部门合作。
Deep Dive
The hosts discuss the effectiveness of phishing training based on a study from the University of Chicago and the University of California, Davis. They explore the challenges and potential solutions, including technical controls and employee education.
- 56% of users clicked on phishing links in a study involving 20,000 employees.
- Technical controls like email security providers and DNS filtering can deter phishing attempts.
- Training is important but must be complemented with technical measures.
Shownotes Transcript