现在是时候认真审视一下为什么我们如此依赖最终用户来发现危害我们整个公司的网络钓鱼诈骗了。随着黑客不断提高他们的社会工程学技能,网络钓鱼攻击也变得更难被发现:39%的时间他们都没有被注意到。只要电子邮件是经营企业不可或缺的一部分,无论您认为您的反网络钓鱼培训计划多么先进,您的公司仍将面临遭受社会工程攻击的风险。因为我们天天和邮件打交道,即使不断接受高端反钓鱼培训,对邮件还是存在一定程度的盲目信任。在许多情况下,黑客会小心翼翼地引起目标的情绪反应,例如,发送“来自”人力资源或首席执行官的紧急电子邮件。此类电子邮件更有可能导致不当下载或回复,从而危及整个企业。通过电子邮件共享文件是另一个必备的业务功能,但它使企业面临数据泄露的重大风险。Proofpoint《2021年网络钓鱼状况报告》表明,基于附件的攻击越来越普遍,员工往往无法区分恶意电子邮件和带有协作文件的合法电子邮件,尤其是在远程办公如此普遍的情况下。目前,基于附件的攻击的平均识别失败率为20%,远高于基于URL的攻击。为什么反网络钓鱼培训没有成功不要认为网络钓鱼只是一个由流行病引起的远程办公问题,因为它早在COVID-19之前就已经存在了。2019年,68%的组织专注于提高对基于链接的攻击的认识,只有10%的组织专注于提高对基于附件的攻击的认识。失败率最高的网络钓鱼测试中有65%是基于附件的,其中大多数电子邮件似乎来自可识别的内部帐户,例如直线领导或人力资源人员。值得注意的是,人力资源部门更容易成为附件攻击的受害者,因为他们每天都需要处理来自外部来源的简历和其他文件。例如,在2020年,黑客通过将恶意软件混入简历和医疗笔记中,成功绕过了沙盒检测。此外,让员工觉得他们会因为打开不可信的电子邮件而受到严厉惩罚的培训会引发其他问题。让员工觉得如果他们未能通过测试或错过一封危险电子邮件就会被解雇,这可能会给网络钓鱼培训带来创伤。最后,培训计划也可能被视为侮辱性的。例如,TribunePublishing在向员工发送反网络钓鱼培训电子邮件时面临强烈反对,该电子邮件承诺在全球大流行期间裁员和减薪期间为记者提供巨额奖金。这类事件可能导致安全团队与公司其他部门之间出现严重裂痕,无助于培养友情和激励员工学习安全知识。是时候停止责备最终用户了。除了用户被日益复杂的社会工程网络钓鱼攻击和其他网络攻击所欺骗之外,还有许多用户意识培训和大多数安全解决方案都无能为力的威胁。依赖签名数据库且无法检测零日攻击或未公开威胁的解决方案可能会留下巨大的安全漏洞。零日漏洞利用恶意软件继续开发,能够绕过一些最佳检测机制。但是,仍然有很多公司的安全防御主要集中在威胁检测和反钓鱼培训上。这些解决方案会给最终用户一种错误的安全感,即无论发生什么情况,他们都会受到保护,而实际上,太多的威胁可能会从防御的裂缝中溜走。如果安全解决方案无法检测到这些威胁,为什么期望员工能够发现它们呢?部署基于检测的解决方案并依靠用户意识培训无法提供企业所需的保护。即使受过良好教育的用户可以阻止更多攻击并创建更安全的在线生态系统,但过度依赖网络钓鱼培训是不够的,尤其是考虑到最近的发展给现有意识培训带来的压力。一旦企业转向大规模远程办公,网络钓鱼培训就会成为重中之重。削减安全预算可能会减少为更先进和有效的防御提供资金。简而言之,将所有鸡蛋都放在一个网络安全意识培训篮子里是不明智的。组织应将更多资源转向基于数据和技术的预防性解决方案,这些解决方案更有可能跟上快速变化的威胁形势,而不是将责任推给善意的员工。
