《2024年网络钓鱼现状全球报告》解读

Anna艳娜2024-02-29 16:29:21

你知道吗?71%的职场人士承认在工作中发生了一次或多次具有安全风险的行为,员工故意采取高风险行为的原因有多种。其中,方便、省时和情况紧急是最常见的原因。当员工在方便和安全之间做选择时,员工几乎每次都会选择前者。



Proofpoint年度报告简述


今年的报告基于对15个国家的7500名终端用户和1050名网络安全专业人士的调研。难能可贵的是,本报告不仅基于主观调研结果,还基于真实钓鱼攻击数据及钓鱼演练数据(Proofpoint于过去12个月内发送的1.83亿次钓鱼模拟邮件,以及2400封(次)用户钓鱼上报数据)。该报告对于企业用户在反钓鱼方面的知识差距及行为习惯提供了深入洞察,强调了安全意识教育、行为改变计划与安全文化建设在降低网络钓鱼攻击威胁中的重要作用。


这是一份有意思的报告,你可以发现:


  • 为什么员工会故意采取高风险行为?他们是否意识到了风险行为的后果?
  • 如何建立一个强大的网络安全文化,以促进员工对安全问题的积极态度和责任感?
  • 为什么只有少数企业提供了基于岗位角色的、基于员工特定风险的针对性安全意识培训?
  • 新兴网络威胁不断演变,如何确保员工安全意识培训的及时性、相关性及适配度?



根据调查数据,71%的职场人士承认在工作中发生了一次或多次具有安全风险的行为,例如:与家人或朋友共用工作电脑或处理私人事务,重复使用或共享账号密码,访问不良网站、点击来自未知发件人的链接或下载附件,或者向不明身份的“熟人”提供账号密码,将敏感数据上传至第三方云服务,在公共场所连接免费Wi-Fi且未启用VPN的情况下访问公司网络等等,其中96%的员工明明知道自己在冒险的情况下仍然选择这么做


员工故意采取高风险行为的原因有多种。其中,方便、省时和情况紧急是最常见的原因,还有2.5%的员工纯粹出于好奇心采取高风险行为。当员工在方便和安全之间做选择时,员工几乎每次都会选择前者。无论出于何种原因,员工采取高风险行为并不是因为他们缺乏安全意识。通常情况下,员工在采取风险行为时知道自己在做什么,也意识到了可能的不良后果,他们是在权衡利弊之后,仍然心存侥幸,愿意铤而走险,从而构成了“内部人员威胁”。



最常见的与员工相关的网络安全漏洞是什么?


毋庸置疑,最常见的莫过于员工对于社会工程学攻击(包括网络钓鱼)缺乏“免疫力”。事实上,绝大多数成功的网络入侵(74%)涉及人为因素,即有员工被欺骗而犯下了“人为错误”,从而为攻击者顺利访问企业的信息系统打开了大门。攻击者绕过安全技术防御错误的最简单且最奏效的方式,就是发送钓鱼邮件。


几乎所有钓鱼邮件都会引发邮件接收者的“情绪波动”,受害者在情绪影响的支配下,绕过理性脑的思考,从而做出不符合自己最佳利益的决策。


(如:点击链接、下载附件或扫描二维码)。社会工程学攻击之所以难防,在于它利用的是刻在人们基因里的人性弱点与情绪漏洞。每一次社会工程学攻击背后都涉及某一种或多种情绪漏洞的操纵,包括但不限于紧迫感、压力、恐惧、贪婪、顺从、惊喜、好奇心、同情心等等。



员工的网络安全“责任认知”何在?


许多员工并没有遵守一些简单的、基本的企业安全合规行为准则,宁愿冒险,拿企业的安全防线来赌一把。且许多员工对于承担网络安全责任缺乏共识,有很强烈的倾向:安全是IT安全部门的事儿!。约7%的员工声称他们根本没有安全责任,只有41%的员工表示,他们知道自己在工作场所应承担的网络安全责任,而过半员工(52%)选择不确定。这与安全团队的观点形成鲜明对比,其中85%的安全人员自以为:大多数员工知道他们自身的安全责任。这种认知与现实之间的差距表明,有必要在公司范围内从上至下,就“共同责任”、“网络安全人人有责”进行更清晰的沟通,而不仅仅是开展更多的安全培训。


真实的安全意识培训与钓鱼演练覆盖率不足


仅仅依靠安全意识宣贯与培训,不足以改变员工的不安全行为,知道不等于愿意去做,知道不等于做到位。但是,仅仅是安全意识宣贯与培训这一最基础的动作,就拿真实的培训覆盖率指标来说,都令人惊讶。据调查显示,仅有53%受访的安全专业人员表示他们对企业中的每个人都进行了安全意识培训这意味着仍有相当一大部分员工是游离于或排除在安全培训或钓鱼演练之外的,可能是高管、高管助理、外包人员等。另一个问题是,培训主题的覆盖面和相关性不够,未形成体系化的安全意识培训主题,也缺乏个性化的培训主题,员工的参与度与积极性不高。


另一个值得关注的数据是员工学习时长,企业员工每年参加安全意识培训时长在3小时以上的占32%,1-2小时占37%,1小时内占31%



本报告内容翔实,极具参考价值,还涉及钓鱼演练中招率行业趋势,如何利用威胁情报改善员工风险行为,如何超越安全培训打造安全文化等等。


原文链接:https://www.secrss.com/articles/64016

网络安全网络钓鱼
本作品采用《CC 协议》,转载必须注明作者和本文链接
2022年上半年,全球重大网络安全事件频发,勒索软件、数据泄露、黑客攻击等层出不穷,且变得更具危害性,比如今年1月份,美国布劳沃德公共卫生系统公布了一起大规模数据泄露事件,超过130万人受影响。这一趋势预计将在2023年继续。软件勒索事态恶化恶意软件是以恶意意图编写的软件的统称,包括病毒软件、勒索软件和间谍软件。相关数据显示,2020年全球超过1000家公司因未向勒索软件要求低头而遭到数据泄露。
网络空间安全动态
2021-12-14 22:41:32
12月3日,全国金融标准化技术委员会秘书处发布《金融数据安全 数据安全评估规范》并公开征求意见。这些指令将于12月31日生效,运营商将有90天时间进行网络安全脆弱性评估,180天时间实施网络安全事件响应计划。Kister随后致电德国刑事调查部门和联邦信息安全办公室,并通知相关监管机构,目前调查仍在进行中。12月2日,疑似勒索软件组织Conti在其泄露站点发布了Kisters 5%的被窃数据。
该调查在美国、英国和德国进行。对行业安全认证的不信任是调查发现的另一个关键问题。Sampson认为,网络安全认证与安全意识培训的内容开发、个人学习和能力评估之间的时间间隔与快速发展的威胁形势不匹配,导致个人在面对真实的网络威胁时的实战表现总是低于预期。
近年来机器学习的快速发展使人工智能的潜在能力显而易见。在十几次采访过程中,研究人员、投资者、政府官员和网络安全高管绝大多数表示,他们正以怀疑和兴奋的心情关注生成式人工智能的防御潜力。他们的怀疑源于一种怀疑,即营销炒作歪曲了该技术的实际功能,并且认为AI甚至可能引入一组新的、人们知之甚少的安全漏洞。但这种怀疑被真正的兴奋所掩盖和缓和。这在很大程度上是由于行业领导者OpenAI发布其生成AI产品的积极性。
网络安全文化对系统性建立组织的网络安全能力发挥着重要作用,但这种安全文化的建立不可能一蹴而就。改善安全文化首先必须消除网络安全是一个纯粹的技术课题的神话,并以一种人人都能接触以并相关的语言和规范为人们提供明确的指导。长远来看,组织帮助员工了解网络攻击心理方面的影响因素,对网络安全事件的应对能力会更强。掌握常见网络攻击(如网络钓鱼)背后的心理学,是企业可以采取的切实可行措施之一,这有助于改善其网络
新颖创新技术的兴起和迅速采用已极大地改变了各行各业的全球网络安全和合规格局,比如生成式人工智能、无代码应用程序、自动化和物联网等新技术。 网络犯罪分子正转而采用新的技术、工具和软件来发动攻击,并造成更大的破坏。因此,《2023 年网络安全风险投资网络犯罪报告》预测,与网络犯罪相关的危害成本将迅速增加——预计到 2024 年底,全球损失将达到 10.5 万亿美元。
AIGC(生成式人工智能)、大模型、AGI(人工通用智能)、MaaS(模型即服务)作为科技领域的热门技术,毫无疑问成为了2023年的关键词。“生成式AI”正以前所未有的方式影响着人们的生活和工作方式。在网络安全方面,这项技术也正深刻改变着对抗形态和攻防模式,其在打开人类认知世界新路径的同时,也成为黑客开展网络攻击的“利器”。随着生成式AI的深入发展,“双刃剑”效应日益凸显,其为网络安全带来的冲击和
针对组织的网络安全威胁逐年增加。这些警报也可以上报给 IT 团队以立即进行补救。由于人为错误是数据泄露和其他网络攻击得逞的主要原因,因此企业应投资于网络安全培训,以便其员工做好检测和报告威胁的准备。DNS 保护阻止设备访问恶意站点,MDR 保护监控每个设备的进程以识别异常并快速响应。组织还应该为成功攻击或破坏事件做好准备。
网络安全人员有时处于有利地位,有时处于不利地位。当网络安全人员认为网络安全只是应对网络犯罪活动的工作时,他们会让自己感到失去控制并且沮丧。因此,安全性要求网络安全人员接受度量结果。在关注KPI时应该将其视为一种监视仪表板,监视系统的健康状况。不断追求完美将会扭曲安全性指标,因此进行诚实的评估是关键。当某件事出错并发现重大漏洞时,往往会引起人们的关注。
Anna艳娜
暂无描述