网络钓鱼成为2022年最常见的攻击手段

非营利身份与安全情报公司Identity Defined Security Alliance（IDSA）一项调查研究显示，2022年最常见的身份相关事件类型是网络钓鱼。

这项由Dimensional Research委托进行的研究还揭示，最常见的网络钓鱼事件类型为电子邮件网络钓鱼、鱼叉式网络钓鱼和语音/基于短信的网络钓鱼。

报告指出：“伴随着数字身份的激增，针对数字身份的网络攻击也增加了。截至目前，这背后最重要的原因是员工无意中点击了网络钓鱼电子邮件。”

该项调查研究采访了529名IT安全与身份专业人员，受访对象均来自员工规模超千人的企业。

网络钓鱼事件直接影响业务

62%的受访者表示，在2022年经历了网络钓鱼引起的身份相关事件。其中，93%的受访者称遭遇了电子邮件网络钓鱼攻击。

近半数（49%）受访者表示，鱼叉式网络钓鱼是自家企业去年经历的最常见网络钓鱼类型，另有27%的受访者称遭到了语音网络钓鱼或基于短信的网络钓鱼事件。

身份相关攻击还有其他推动因素，比如员工的工作账户和个人账户采用同样的密码，这个因素占了所有此类攻击的37%。黑客利用社会工程技术、员工使用未经授权的设备，以及用户和同事共享其凭证也助推了身份相关攻击，各占31%。

ESG Global分析师Jack Poller表示：“大多数攻击者的终极目标是访问并渗漏数据，而最简单的数据访问途径就是利用可访问敏感数据的现有身份。身份相关攻击在数量和多样性方面的增长均由此而生。而随着攻击数量的增长，身份在攻击者战术、技术与程序（TTP）中的作用，以及身份安全保护的重要性也越来越为人所知。”

过去一年中，超过三分之二的受访者因基于身份的攻击而影响业务。“最严重的影响是事件后恢复的成本（39%），其次是投入核心业务的精力被分散了（33%），然后是对公司声誉造成了负面影响（25%）。”

保护身份安全仍是重中之重

86%的受访者将管理和保护数字身份视为五大工作重点之一，其中17%将之当成第一要务。仅4%的公司未将数字身份管理与保护列入十大工作重点。

报告指出，更加重视数字身份管理与保护是因为公司看到了身份数量的显著增加。

而推动这种增长的关键因素包括云应用的日益普及（52%）、远程工作的兴起（50%）、移动设备使用增加（44%），以及第三方关系增多（42%）。

为应对此类事件，58%的安全团队启动了现有的事件响应计划，57%还通知了管理团队。对偶发事件的关注度也明显上升，大多数企业（80%）都表示对身份相关事件网络保险感兴趣，48%已经购买了此类保险。

Poller表示：“由于身份相关事件频发，一些网络保险承保人在提供网络保险和确定费率时都将身份安全纳入了考虑。具体来说，现在有些保单要求设置有强大的身份验证，即抗网络钓鱼或无密码身份验证。”