依靠员工意识不仅不足以防止复杂的社会工程攻击,一些培训方法还会产生其他问题。现在是我们认真审视为什么我们如此依赖最终用户来捕捉可能危及整个公司的网络钓鱼诈骗的时候了。随着黑客继续推进他们的社会工程技术,网络钓鱼攻击变得越来越难以发现,并且有39%的机会被遗漏。虽然您可能认为您的反网络钓鱼培训计划是最新的,但只要电子邮件是业务运营所必需的,您的组织就会继续面临风险。由于我们每天都在处理电子邮件,尽管正在进行复杂的反网络钓鱼培训,但仍存在一定程度的盲目信任。在许多情况下,黑客会想方设法引起目标的情绪反应——例如,通过“从”HR或CEO发送紧急消息。这些更有可能导致不适当的下载或电子邮件响应,从而损害整个组织。通过电子邮件共享文件是另一个重要的业务功能,它使组织面临重大的违规风险。根据Proofpoint的“2021年网络钓鱼状况报告”,基于附件的攻击变得越来越普遍,员工通常无法区分恶意电子邮件和他们需要处理的文件,尤其是在远程工作如此普遍的情况下。目前,基于附件的攻击的平均失败率为20%,远高于基于URL的攻击的12%。为什么反钓鱼培训没有成功?如果您认为这只是与COVID相关的问题,请三思,因为它早于COVID。2019年,68%的组织专注于提高对基于链接的攻击的认识,而只有10%的组织专注于基于附件的攻击。虽然失败率最高的网络钓鱼测试中有65%是基于附件的,但大多数电子邮件看起来都像是来自可识别的内部帐户,例如主管或HR人员。值得注意的是,由于人力资源部门每天都要处理来自外部来源的简历和其他文件,因此他们成为附件攻击受害者的风险更大。例如,在2020年,黑客能够通过在简历和病假表中潜入恶意软件来避开沙箱。此外,威胁要打击打开来自不可靠来源的电子邮件的员工的培训会产生更多问题。让员工觉得如果他们未能通过测试或错过一封危险的电子邮件就会被解雇,这会造成网络钓鱼培训的创伤。最后,程序也可能被认为是侮辱性的。例如,在记者因全球COVID-19爆发而被裁员和裁员之际,TribunePublishing发送了一封反网络钓鱼培训电子邮件,承诺提供大量奖金后,遭到了一些强烈反对。像这样的事件可能会导致安全团队与公司其他部门之间严重脱节。它也无助于建立友情,或激励人们更多地了解安全知识。是时候停止责备最终用户了。除了用户被日益复杂的——和社会工程化的——网络钓鱼活动和其他网络漏洞所欺骗之外,一个巨大的威胁是用户意识培训——以及大多数安全解决方案——无能为力。依赖签名数据库且无法检测零日漏洞或未公开威胁的解决方案可能会留下重大漏洞。零日恶意软件不断被开发出来并逃避一些最好的检测机制。然而,许多组织的安全防御主要集中在威胁检测和反网络钓鱼培训上。这些解决方案会给最终用户一种错误的安全感,即他们无论如何都会受到保护,而许多威胁可能会从裂缝中溜走。如果安全解决方案无法检测到这些威胁,您为什么期望员工能够检测到它们?部署基于检测的解决方案并依赖用户意识培训不会提供您的业务所需的保护。即使受过更好教育的用户可以阻止更多攻击并创建更安全的在线生态系统,但过度依赖网络钓鱼培训是不够的——尤其是考虑到最近的发展给现有的意识培训带来了压力。一旦组织大规模转向远程工作,网络钓鱼培训就被移到了优先级列表的下方。削减安全预算可能会使资金从更先进、更有效的措施中转移出去。简而言之,将所有鸡蛋都放在网络安全意识篮子里是没有效果的。组织应将更多资源转向基于数据和技术的预防性解决方案,这些解决方案更有可能跟上快速变化的威胁形势,而不是将责任推给善意的员工。
