密歇根州的安全审计师们随机挑选了五千名雇员执行了一次模拟钓鱼攻击测试结果显示将近三分之一的被测者打开了邮件。打开邮件的人中有四分之一的被测者点击了邮件中的链接，还有五分之一的人输入了用户ID和密码。

作为审计工作的一部分，这项秘密测试暴露出州政府电脑网络中的漏洞，包括没有要求所有员工都参加网络安全意识培训。钓鱼攻击的机制——即，黑客试图以合法实体为掩护诱骗收件人打开邮件链接，然后窃取身份信息或带来其他问题。

密歇根州审计长办公室官员米勒（Kelly Miller）表示，邮件的主题通常是一个过期密码。

希拉里竞选总统期间，那些与俄罗斯有关系的黑客正是利用钓鱼式攻击窃取了其总统竞选主席波德斯塔（John Podesta）的邮件。

审计师们在测试中有14项发现，其中五项属于”物质类”——最严重的。范围从防火墙的无效管理到不能有效确认是否只有授权设备可以联网。

“未授权的设备或许不能满足该州的要求，因为它们增加了网络感染或网络被破坏的风险，” 审计师说。

技术，管理和预算部门对此项测试的多个发现表示赞同，但对部分发现表示不完全赞同。该部门称，审计师们设计的钓鱼邮件被多次报告到“安全提示”邮箱，还有其他控件可限制这类攻击的效果。

该部门正在制订一项标准以采用行业最佳实例的安全配置，而对标准的评估将在4月完成。

新闻发言人加勒布 （Caleb Buhs）称，多亏有安全生态系统的多层保护，州政府网络的数据才得以安全保存。密歇根州已经开始落实审计师们的建议。审计为州政府提供了一个很好的路线图，可以为未来的技术基础设施投资做好先后顺序的规划。

该审计师的测试覆盖了三年时间（2014-2017），他认为州政府没有为管理网络设备操作系统的更新创建并部署一个有效进程。他标出了十个高等或中等程度的漏洞。

总的来说，审计长林格勒（Doug Ringler）认为州政府应努力设计，管理和监控一个有效的安全IT网络。

民主党批评者，参议院少数党领袖吉姆（Jim Ananich）称，密歇根政府官员没能阻止黑客的进攻，他们难辞其咎。

本文翻译自USNews

声明：本文来自士冗科技，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。