Проблема: Неэффективность вложений — стандартные фишинговые симуляции не снижают реальный риск, а лишь улучшают метрики «кликабельности» (click-through rate) за счет тренировки пользователей на шаблонные сценарии, не отражающие векторы APT и zero-day.

Причины:
1. Десенсибилизация — после более 3-4 раундов пользователи перестают реагировать на симуляции (эффект привыкания), ложные срабатывания в SOC растут.
2. Отсутствие контекста инцидента — не интегрируются реальные IOC (например, хэши свежевыявленных вредоносов из вашей собственной инфраструктуры).
3. Нецелевое обучение — без анализа поведения пользователя в CASB/DLP (скачивание сомнительных макросов из легитимных источников) симуляции бесполезны.

Решение:
1. Контекстные симуляции — генерируйте атаки на основе реальных событий вашего EDR (пример для PowerShell: `Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; ID=1} | Where-Object {$_.Properties[5].Value -like 'Invoke-Phishing'}`). Направьте кампанию на хосты, где детектились подозрительные скрипты.
2. Измерение реального поведения, а не метрик — оценивайте:
- `Time to Report` (время до сообщения в SOC) — через SIEM (пример: фильтр по почтовому ящику `security@domain.ru` в `EventID 1024 Exchange`).
- `False Positive Rate` (сколько легитимных писем пользователь пометил как фишинг).
3. Гибридный подход:
- 70% кампаний — статичные (технические тесты спам-фильтра).
- 30% — адаптивные, с генерацией через PhishSim с подгрузкой актуальных IoC из Threat Intelligence (например, AlienVault OTX). Команда для автоматической загрузки: `curl -X GET "https://otx.alienvault.com/api/v1/indicators/hostname/evil.com/general" -H "X-OTX-API-KEY: your_key" | jq '.pulse_info'`.

Критично: все симуляции должны быть согласованы с чек-листом Приказа ФСТЭК №21 (п. 5.8 — минимум 2 кампании в год) и не нарушать ст. 272 УК РФ (доступ к ПДн пользователей только при подписанном согласии на тренинг в рамках политики ИБ).