员工点开钓鱼邮件,确实是安全工作中最常见也最头疼的场景。这事儿关键不在于“会不会发生”,而在于“发生后怎么把损失降到最低”。
第一阶段:员工发现点击后(立即执行)
目标:终止连接,防止凭据外泄或恶意软件植入。
- 物理断网:立即拔除网线或关闭Wi-Fi,笔记本建议关机。
- 修改密码:在另一台安全设备上,修改该员工所有关联系统密码(邮箱、OA、VPN)。
- 上报:即时通知IT安全部门,说明点击时间、邮件主题及操作行为(仅点击/输入密码/下载附件)。
第二阶段:IT安全部门排查(事发2小时内)
目标:评估影响范围,清除持久化威胁。
| 检查项 | 具体操作 |
|---|---|
| 邮件规则 | 登录邮箱,查看“自动转发”、“收信规则”中是否存在陌生地址。 |
| 登录日志 | 检索近48小时登录IP,标记非办公地点的异常登录。 |
| 终端扫描 | 若下载附件,对终端进行全盘病毒查杀,检查计划任务与启动项。 |
| 网络流量 | 检查防火墙日志,确认该主机是否存在向外部C2服务器的异常外联。 |
第三阶段:阻断与通知(事发4小时内)
目标:阻止风险横向扩散。
- 账号锁定:临时禁用该账号,防止攻击者利用缓存票据继续访问。
- 内网隔离:若涉及终端,将其迁移至隔离VLAN,仅允许安全人员访问。
- 全员预警:发布告警邮件,包含攻击邮件特征(标题、发件人域名),提示全员切勿点击,但不提及具体员工姓名。
第四阶段:外部沟通与合规(事发24小时内评估)
目标:履行法律义务,降低商务风险。
- 商务关联方:若该邮箱曾涉及付款、合同往来,需通知相关客户/供应商“近期付款请求需电话确认”。
- 监管上报:若涉及公民个人信息泄露,需依据《网络安全法》《数据安全法》在规定时限内向属地网信办及公安机关报告。
第五阶段:复盘整改(事后3个工作日内)
目标:根因分析,提高防线。
- 技术加固:
- 强制全员工开启MFA多因素认证。
- 邮件网关开启“外部邮件”红色警示语。
- 流程优化:
- 财务/人事等高危岗位增设线下二次确认流程。
- 培训改进:
- 将本次真实案例脱敏后制作为培训材料,强调核实发件人地址优先于点击链接。
- 员工处理:
- 不进行罚款或通报批评,重点在于机制补漏而非个人追责,鼓励主动上报。